................................ 29 2.5.1API 攻击.................................................................................................30 2.5.2API 网关攻击...................................... .................................................................36 云原生安全威胁分析与能力建设白皮书 3 2.6.6 针对函数供应链的攻击........................................................................36 三、典型攻击场景分析....... .................................................................................53 4.2.1Web 应用和 API 安全...........................................................................54 4.2.2 云原生运行时安全...

仅仅能运⾏应⽤，不能运⾏函数，还不能称之为 FaaS 平台 Knative Eventing: ⾮常优秀的事件管理框架，但设计有些过于复杂，⽤户⽤起来有⼀定⻔槛 OpenFaaS� ⽐较流⾏的 FaaS 项⽬，但是技术栈有点⽼旧，依赖于 Prometheus 和 Alertmanager 进⾏ Autoscaling，也并⾮最专业和敏捷的做法 Serverless 新愿景 新⼀代开源函数计算平台 - 契机 平台并不能满⾜构建现代云原⽣ FaaS 平台的要求 - 开放的云原⽣框架 - 涌现的优秀项⽬ - ⽇新⽉异的业务模式 Function Lifecycle 新⼀代开源函数计算平台 - 契机 Function Framework ⽤户函数示例 ▲ 函数注册机制 ▶ package userfunction import ( "fmt" "net/http" ) �� HelloWorld kaniko Function Serving 4 种函数调⽤类型（CNCF Serverless ⽩⽪书） Function Serving 同步函数: HTTP / blocking / Req & Resp 运⾏时： Knative Serving KEDA + KEDA http-add-on(Beta) + Deployment 异步函数: Event driven 运⾏时： KEDA

防火墙 负载均衡 服务器 单体应用 SLB / NAT SLB 云 原 生 传统网络 连接服务器 (#IP) 服务器上架 (数天) 交换-路由 (物理) 云原生网络 连接微服务 (#API/函数) 微服务CI/CD (数分钟) Mesh-NAT-SLB-... (Overlay) 传统应用 云原生应用 è规模100xè è速度1000xè è距离10xè 80%看代码 20% 看流量 20% 标准SDK/JavaAgent， 流量分光镜像。 云原生下的难题： 微服务迭代快， 侵入式监控效率低； 云网络虚拟化， 东西向流量监控难。 挑战/必要性：网络的动态性和复杂性，不监控流量谈何应用可观测 机遇/有效性：云网络连接API/函数，监控流量可零侵入实现应用可观测 è 云原生应用可观测“原力”，流量监控能力是机遇、基石 simplify the growing complexity © 2021, YUNSHAN Networks 由业务代码驱动的可观测性数据、云API数据 调用关系 知识图谱 链路追踪 黄金指标 关联 应用链路（Tracing） 应用日志（Logging） 应用链路 TraceID 私 有 云 物 理 公 有 云 企业混合云 控制器 10W采集器 20+云平台 采集器 1% CPU 0.01% 带宽开销 ︹ 零 侵 入 ︺ 流 量 采 集 云平台API 容器编排API TKE

S O A > 微 服 务 代 码 实 现 ： 闭 源 > 开 源 > 混 源 服 务 器 ： 物 理 机 > 虚 拟 化 > 容 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 洞风险，并展示漏洞触发数据流，便 于修复指导。 源头 检测 积极防御：针对今后随时可能爆发的 未知0DAY漏洞，推荐使用RASP应用 自防御能力，针对该类漏洞的攻击利 用方式精准有效的防护。它可以通过 应用的函数行为分析、上下文情境感 知及热补丁技术有效阻断绝大部分 RCE类未知漏洞攻击。 出厂 免疫 安全运营：常态化使用和运营安全可 信的制品库，通过SCA和SBOM持续 为每个应用程序构建详细的软件物料 供基础，即分析开 发人员所使用的各种源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖关系，并精准识 别系统中存在的已知安全漏洞或者潜在的许可证授权问题。 IAST——API安全检测 doubo fosf://xxx.services.id 网关 nginx doubo java java java web /etc/nginx/conf.d/* ciaapi

快递、完美日记、世纪联华等客户，稳定高效应对双11大促的流量。以物流行业为例，申通快递将核心系统搬到云上，采用阿 里云容器服务，亿级包裹过境，系统稳如泰山，IT成本还降低了30%；以大型商超为例，世纪联华基于阿里云函数计算(FC)弹性 扩容，业务峰值 QPS超过2019 年双11的230%，研发效率交付提效超过 30%，弹性资源成本减少 40% 以上。 总体趋势分析 在多种新旧应用承 载诉求推动下，催 熟云计算架构的全 源平台，更容易成为通用性市 场选择。通用性才能做到普适 定制化能力，才能成为云原生 的操作系统。 标准化能力-分布式操作系统核心-容器服务-Operator API Server Kubectl Controller Pod,Deploymen t,etc. API Server Kubectl Custom Controller Custom Resource(CR) Operator机制 Pod 务治理的碎片化以及基础设施耦合问题。 • 但是Sidecar（数据面）在国际化组织和企业联盟的努力下，也形成了叫做UDPA （Universal Data Plane API）的标准，使得在不同场景下的数据面在API层面达成统 一，比如云端Mesh和边缘Mesh由于API的统一，可以使用统一的控制面(配置下发管 理)来实现统一管理和统一服务化抽象，并向应用角度抽象，降低用户使用成本。 iptable iptable eBPF

问题，快速借助供应链资产库，帮助业务修复问 题。 需要进行大量的安全特征以及资产库的建设或者 三方集成。（涉及业务能力） RASP(运行时安全应 用程序自我保护) 可以看做是IAST的兄弟，RASP通过程序上下文和敏感函数检查行为方式 来阻止攻击，属于一种主动的态势感知和风险隔离技术手段 可以自动化的对非预计风险进行识别和风险隔离 对系统性能有一定影响 可信计算 核心目标是保证系统和应用的完整性，从而保证系统按照设计预期所规 主要针对Node层的访问控制，可以让攻击者难以横向移动，隔离了风险 应用透明，全局管理视角，细粒度安全策略，针 对Node层面构建安全 采用IpTables，有一定的性能消耗 Cilium零信任 采用eBPF,为Mesh打造具备API感知和安全高效的网络层安全解决方案， 克服了Calico SDN安全和性能方面的不足 应用透明，全局管理视角，细粒度安全策略，针 对Node层面构建安全，端到端安全需要和以上安 全方案集成。 说 是无法完成真正的按需迁移，所以只能称为某朵云上的原生应用，无法称为真正的云原生应用。因此，消息服务需要做到标准化，消除用户关于 厂商锁定的担忧，云原生消息队列必须采纳很多社区标准，支持了多种开源的API协议，同时也在打造自己标准化接口。 总结一下，传统的消息队列将从高SLA、低成本、易用性、多样性和标准化几个方向持续进化为云原生的消息服务。 具体要求 高级能力-云原生中间件-应用的基石-MQ为例-2-Serverless化

全生命周期API管理-1 服务是从内研发视角来看的，但是对于外部消费者只想找到并集成API而已，并不想了解API背后的运维细节或者需要协调运维能力！API成了一 种可以交易的商品，可以购买增强自己APP的能力，比如在自己APP里显示天气预报数据，从外部去管理应用平台，形成了一种新PaaS组织方式。 • 逻辑API：已有API的组 合，形成一个新API • 声明API：需要生成代 码框架（任何语言）， 码框架（任何语言）， 契约驱动研发 • BaaS API:数据库接口、 中间件接口外化成API • API门户：消费者可以 根据领域-能力查询到 想要的API。 • 自动生成SDK方便集成。 • 发行计划：向下兼容， 对比发布 • API文档：每一个API有 一个活档，指导集成。 形成市场，能力 互补 全生命周期API管理-2-Azure API Management 配置Http Header， Header， 比如CORS等 配置入站协议转 换等 配置后端治理策略 等，比如限流规则 定义API或者导入 API 全生命周期API管理-3-Azure API Management • 把自己关在小黑 屋里面，自己就 可以自助的从API 使用角度定义、 驱动研发、发布 或者实施与自己 APP的集成。 • API作为产品，可 以给订阅、可以 被交易。 标准化能力-微服务PAAS-从监控到可观测-研发人员的第五感-1

L7 extension SDK GoLang On High Performance Network Framework CGO Request Response proxy_golang API spec proxy_golang_request • params headers body trailers • returns C.Response{ headers, body, trailers Others Control Plane MCP Data flow Control flow xDS Discovery Client Metrics Admin REST API Request Request MOSN 做业务扩展 • 扩展非 xDS 服务发现 • 扩展 L4/L7 filter • 扩展 Xprotocol 支持 • Debug 及 Admin 管理 复用 xDS 服务元数据通道 • 复用 L4/L7 filter • 复用 Cluster LB • 复用 State 统计 Proxy-golang 扩展能力 • Proxy-golang API • Filter manager MoE 方案介绍 — TraceID 事例 Other http filter AntVip/Pilot Trace ID filter Other http

性增长；CGO 中增加 Go 自身计算逻辑时, 其 Go 的计算消耗也 呈线性增长 CGO 开销调研 MOE 解决方案及实践介绍 MOE 方案介绍 — 整体架构 proxy_golang API spec proxy_golang_request • params headers body trailers • returns C.Response{ headers, body, trailers 复用 xDS 服务元数据通道 • 复用 L4/L7 filter • 复用 Cluster LB • 复用 State 统计 Proxy-golang 扩展能力 • Proxy-golang API • Filter manager MOE 方案介绍 — TraceID 事例 相关问题点 Envoy 和 MOSN 如何交互(1、2、 4、5) 内存如何管理(2、4) 阻塞操作处理(2) proxy_golang API spec proxy_golang_request • params headers body trailers • returns C.Response{ headers, body, trailers, optionFlags} …… 将 Envoy 的请求使用 GoLang L7 extension filter 的 proxy_golang API 进行封装，通过

deployId ... 网络资源 VPC 子网 CIDR IP地址 NATGW ALB … ~30种资源标签，100+自定义微服务标签 理解云网络，自动标记端到端数据标签 Labels 自动同步云API、K8s apiserver DeepFlow support list 主机名、IP地址、VPC/隧道ID、对等连接、NAT/LB ➔ 资源标签 工作负载、容器服务、命名空间 ➔ 服务标签 容 tagint …… tagint tagint 云API、K8s apiserver GUI Data …… ① 采集 ① 采集 ② 存储 ② 存储 ③ 查询 ③ 查询 看云网更清晰 Simplify the growing complexity. Stage-1：采集时的编码 • Controller同步云API、K8s apiserver • 将所有标签编码为Int • VPC：多租户环境下，与IP决定实例、服务 看云网更清晰 Simplify the growing complexity. Stage-2：存储时的编码 • Controller同步云API、K8s apiserver • 将所有标签编码为Int • Controller向Ingester下发编码后的Int标签 • 仅向Ingester下发需要持久化存储的标签 • 便于检索 •