云原生技術在為企業(yè)帶來快速交付與迭代數(shù)字業(yè)務應用的優(yōu)勢之外,也帶來了新的安全要求與挑戰(zhàn)。本書面向云原生安全攻防實戰(zhàn),從產(chǎn)業(yè)變革到新場景應用,深入淺出地分析了云原生安全的風險,并根據(jù)各類攻擊場景有針對性地設計了新一代云原生安全防護體系。本書共分六個部分14章,前三部分介紹云原生安全行業(yè)的發(fā)展趨勢和產(chǎn)業(yè)變革,對云原生安全技術和風險進行了詳細分析;第四部分介紹云原生的攻擊矩陣及高頻攻擊技術案例;第五部分講解如何構建新一代的原生安全防御體系,并對重點行業(yè)實踐進行了深入剖析;第六部分簡要分析5G、邊緣計算等新興場景下的云原生安全新思考。本書適用于網(wǎng)絡安全從業(yè)者和學習者,以及從事云原生行業(yè)的開發(fā)、運維和安全人員閱讀。
張 福青藤云安全創(chuàng)始人&CEO,畢業(yè)于同濟大學,專注于前沿技術研究,在安全攻防領域有超過15年的探索和實踐經(jīng)驗,曾先后在國內(nèi)多家知名互聯(lián)網(wǎng)企業(yè),如第九城市、盛大網(wǎng)絡、昆侖萬維,擔任技術和業(yè)務安全負責人。擁有10余項自主知識產(chǎn)權發(fā)明專利、30余項軟件著作權。榮獲“改革開放40年網(wǎng)絡安全領軍人物”“中關村高端領軍人才”“中關村創(chuàng)業(yè)之星”等稱號。胡 俊畢業(yè)于華中科技大學,是國內(nèi)知名安全專家,中國信息通信研究院可信云專家組成員,入選武漢東湖高新技術開發(fā)區(qū)第十一批“3551光谷人才計劃”,曾在百納信息主導了多款應用及海豚瀏覽器云服務的開發(fā)。青藤云安全創(chuàng)立后,主導開發(fā)“青藤萬相·主機自適應安全平臺”“青藤蜂巢·云原生安全平臺”等產(chǎn)品,獲得發(fā)明專利10余項,發(fā)表多篇中文核心期刊論文。程 度畢業(yè)于首都師范大學,擅長網(wǎng)絡攻防安全技術研究和大數(shù)據(jù)算法研究,在云計算安全、機器學習領域有很高的學術造詣,參與過多項云安全標準制定和審核工作,現(xiàn)兼任《信息安全研究》《信息網(wǎng)絡安全》編委,曾發(fā)表多篇中文核心期刊論文,榮獲“OSCAR尖峰開源技術杰出貢獻獎”。楊 更畢業(yè)于清華大學和南加州大學(USC),二十年職業(yè)生涯始終專注于信息安全領域。2013年從西雅圖回國,歷任亞馬遜中國、美團、小米首席安全官,全面負責產(chǎn)品安全、數(shù)據(jù)安全、企業(yè)安全、用戶隱私、風險控制等安全相關業(yè)務領域,任職期間極大提升了企業(yè)的安全能力。龍華橋畢業(yè)于武漢大學,曾先后就職于多家知名企業(yè),如盛大、愛立信等,主要從事安全技術研發(fā)及管理工作。2014年作為聯(lián)合創(chuàng)始人加入青藤云安全,領導青藤攻防團隊參與到攻防實戰(zhàn)中去,對企業(yè)安全需求和安全技術有著豐富的實戰(zhàn)經(jīng)驗和獨到的專業(yè)見解。
第1部分 趨勢篇
云原生時代的產(chǎn)業(yè)變革與安全重構
第1章 云原生的發(fā)展促進了產(chǎn)業(yè)變革 2
1.1 云原生相關概念 2
1.2 企業(yè)正加速向云原生發(fā)展 5
1.3 云原生給組織帶來的變化 7
1.3.1 體系流程的變化 7
1.3.2 開發(fā)模式的變化 8
1.3.3 應用架構的變化 11
1.3.4 運行平臺的變化 15
第2章 云原生時代安全需要重構 16
2.1 組織重構 17
2.2 技術重構 20
第2部分 概念篇
云原生場景中關鍵概念解析
第3章 容器安全技術概念 28
3.1 容器與鏡像基礎概念 28
3.1.1 容器基礎概念 28
3.1.2 鏡像基礎概念 29
3.2 容器與鏡像安全原則 30
3.2.1 容器安全原則 30
3.2.2 鏡像安全原則 31
3.3 容器隔離限制技術 32
3.3.1 容器兩大限制技術 32
3.3.2 容器五大隔離技術 33
3.4 鏡像安全控制技術 37
第4章 編排工具安全技術概念 41
4.1 Kubernetes基礎概念 41
4.1.1 Kubernetes功能 42
4.1.2 Kubernetes架構 42
4.1.3 Kubernetes對象 45
4.2 Kubernetes安全原則 46
4.2.1 Kubernetes主體最小權限 46
4.2.2 Kubernetes工作負載最小權限 50
4.3 Kubernetes安全控制技術 54
4.3.1 Kubernetes認證 55
4.3.2 Kubernetes授權 61
4.3.3 準入控制器 65
第5章 應用安全技術概念 69
5.1 微服務安全 69
5.1.1 微服務安全框架 70
5.1.2 微服務實例說明 73
5.2 API安全 74
5.2.1 API基礎概念 75
5.2.2 API常見類型 76
5.2.3 API安全方案 78
5.3 Serverless安全 82
5.3.1 Serverless基礎概念 82
5.3.2 Serverless架構及實例 84
5.3.3 Serverless安全控制技術 86
第3部分 風險篇
云原生安全的風險分析
第6章 容器風險分析 90
6.1 容器威脅建模 90
6.2 容器加固 93
6.2.1 鏡像風險 94
6.2.2 鏡像倉庫風險 96
6.2.3 容器風險 98
6.2.4 主機操作系統(tǒng)風險 100
第7章 編排風險分析 102
7.1 Kubernetes威脅建模 102
7.2 安全加固 104
7.2.1 Pod安全 104
7.2.2 網(wǎng)絡隔離與加固 106
7.2.3 認證與授權 108
7.2.4 日志審計與威脅檢測 109
第8章 應用風險分析 113
8.1 微服務風險分析 113
8.1.1 Spring Cloud安全分析 114
8.1.2 Istio安全分析 118
8.2 API風險分析 122
8.3 Serverless風險分析 128
第4部分 攻擊篇
云原生攻擊矩陣與實戰(zhàn)案例
第9章 針對云原生的ATT&CK攻擊矩陣 134
9.1 針對容器的ATT&CK攻擊矩陣 134
9.2 針對Kubernetes的ATT&CK攻擊矩陣 138
第10章 云原生高頻攻擊戰(zhàn)術的攻擊案例 146
10.1 容器逃逸攻擊案例 146
10.1.1 容器運行時逃逸漏洞 147
10.1.2 Linux內(nèi)核漏洞 149
10.1.3 掛載宿主機Procfs文件系統(tǒng)的利用 153
10.1.4 SYS_PTRACE權限利用 156
10.2 鏡像攻擊案例 157
10.2.1 通過運行惡意鏡像實現(xiàn)初始化訪問 157
10.2.2 創(chuàng)建后門鏡像 159
10.3 Kubernetes攻擊案例 162
10.3.1 通過API Server實現(xiàn)初始訪問 162
10.3.2 在容器中實現(xiàn)惡意執(zhí)行 165
10.3.3 創(chuàng)建特權容器實現(xiàn)持久化 170
10.3.4 清理Kubernetes日志繞過防御 172
10.3.5 竊取Kubernetes secret 173
第5部分 防御篇
新一代云原生安全防御體系
第11章 云原生安全防御原則與框架 178
11.1 云原生安全四大原則 178
11.1.1 零信任 178
11.1.2 左移 180
11.1.3 持續(xù)監(jiān)控&響應 181
11.1.4 工作負載可觀測 182
11.2 新一代云原生安全框架 183
第12章 基于行業(yè)的云原生安全防御實踐 185
12.1 通信行業(yè)云原生安全防御實踐 185
12.2 金融行業(yè)云原生安全防御實踐 188
12.3 互聯(lián)網(wǎng)行業(yè)云原生安全防御實踐 191
第6部分 進化篇
新興場景下的云原生安全新思考
第13章 5G場景下的容器安全 196
13.1 檢測5G云橫向移動 197
13.2 網(wǎng)絡資源隔離 200
第14章 邊緣計算場景下的容器安全 203
14.1 容器與邊緣計算 204
14.1.1 邊緣計算工作原理 204
14.1.2 邊緣計算與云計算的區(qū)別 205
14.1.3 邊緣計算對隱私和安全的重要性 206
14.2 將Kubernetes工作負載帶到邊緣 207
14.2.1 在Kubernetes中管理邊緣工作負載 207
14.2.2 邊緣容器 208
14.2.3 WebAssembly和Wasi 209
14.3 邊緣計算環(huán)境下的容器數(shù)據(jù)安全 211