/productpage #路径与 productpage 完全匹配后才可以访问服务 CVE-2020-8595 漏洞[29]主要由于 Istio JWT 策略配置中的 triggerRules 机制，简单来讲，triggerules 指定请求 url 的字符串匹配机制，如上 YAML 文 件中参数 exact，表示需要完全匹配的字符串才可以满足要求，包括 url 后面所 附带的参数（“?”）以及 ”）以及 fragments 定位符（"#"），而不是在匹配之前将“?” 和“#”隔离的内容进行分离。导致攻击者可以通过在受保护的 path 后添加“?” 或“#”进行绕过从而达到未授权（JWT）访问。 云原生安全威胁分析与能力建设白皮书 45 3.4.2 攻击过程复现 为了复现攻击过程，用户可以参照文章[30]搭建测试环境，包括 k8s 及 Istio 集群环境，httpbin 服务、gateway、部署 为。并建立隔离、暂停、重启等紧急处置手段。 （4）业务行为模型 云原生环境下，一个容器一般只会启动一个业务进程，其行为相较于主机变 的极为简单，这就使得对业务行为进行记录建模成为可能，在入侵检测基于规则、 特征匹配的模式下，可能对风险有所遗漏。所以可对业务行为建立模型，在一定 周期内，形成业务行为基线，从而发现模型外的异常行为，进一步发现未知漏洞 攻击等行为。并可将行为模型关联业务镜像，使得模型可复用，减少容器多副本

Upgradle Service Monitoring … CNBaaS：我们致力于站在面向业务应用友好的角 度，在云厂商之上，统一定义和管理Backend Service。 云产品 规格自 动匹配 服务自 适配云 厂商 服务支 持多种 生产方 式 CNBaaS使命 One definition can be delivered anywhere CNBaaS Overview CNBaaS 可基于Cue语法，声明服务基础信息 以及组件扩展信息，支持最优规格匹配 自适配云组件配置&规格 声明式 服务规格需求 需求自适配 需求自适配 On Premise On VPC eg. Kube DB • Chart Version选择 • Chart Values自适配 Helm Chart 云资源规格精准过滤匹配 交付资源生产 Cross-Vendor 组件列表推荐 插件生态与运行时扩展

向上呈现。 • 低代码平台可以把不同 部门的系统、不同类型 的技术，如 RPA、BPM、 微流逻辑等串联在一起， 实现端到端的智能自动 化。是种生态型平台。 高级能力-混合云（资源角度） 控制力 服务、位置、规则可控 高安全 安全自主可控 高性能 硬件加速、配置优化 固定工作负载 私有云 混合云 SLB 工作负载可迁移 敏捷 标准化、自动化、快速响 应 低成本 按需伸缩、按需使用付费 弹性 可弹性无限拓展 不同于混合云，底层云的资源使用 地位等同。 AWS Aliyun Azure 云中立 高级能力-分布式云(交付角度） 分布式云（Distributed Cloud）就是分布在不同地理位置的云，是公有云“进化”的最新形态 中心Region 传统公有云 分布式云 覆盖热点区域的 边缘数据中心 客户本地机房的边缘节点或者 边缘计算盒子 粗犷上云 低时延 高弹性 强合规

Consul是一個服務網格解決方案，它提供了一整套完整的控制層方案，包 括： 服務發現, 服務配置, 服務網絡隔離及互聯等功能. 功能 服務註冊 對⽬前所有的服務、它們提供服務的位置以及健康 狀態進⾏集中管理 多數據中⼼ ⽀持多數據中⼼已經⾃動在多數據中⼼之間進主憊 切換 DNS Interface 通過內置的DNS功能，為傳統應⽤提供服務發現 健康檢查 通過分

监控 可观察 健康检查 告警 指标 日志 追踪 问题和根因 预警 监控&稳定性 分析&追踪&排错&探索 • 从稳定性目标出发，首先需要有提示应用出问题的手段 • 当提示出现问题后，就需要有定位问题位置的手段，进 一步要有能够指出问题根因、甚至提前就预警的手段。 拓扑流量图：是不是按预期运行 分布式跟踪:哪些调用 故障或者拖慢了系统 监控与告警： 主动告诉我 问题发生了！ 微服务部署后就像个黑盒子，如何发现问题并在