Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking 传统IT Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking IaaS Applications Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS BpmPaas iPaas MFT Paas Baas Container Service RDS Service Cache|MQ Service Big Data Service aPaas 专业PaaS(2B) 技术Paas(2D)

适应这些环境的差异，实 现了自动化部署。 标准化能力-让管理和运维更轻松-基础设施即代码-1 Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 云原生PaaS建立在更深 层次的软硬件栈中，而 云原生从某种角度而言 是对OS以及以上资源的 抽象！ 所以问题出现了

标准化能力-承载无忧-E2E云原生纵深安全保障DevSecOps-1 Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境

编排工具的工作依赖于容器及容器镜像技术，所以用户在使用编排工具时， 同样会面临容器及容器镜像的安全风险。在针对编排工具的攻击一节，我们重点 介绍编排工具本身存在的安全风险。目前，常见的开源编排工具包括 k8s[10]、 OpenShift[11]等，其中 k8s 在功能性、通用性以及扩展性方便表现良好，同时 具有较强的社区支持，使其得到广泛的应用。图 8 以 k8s 为例展示了编排工具 的架构，以及攻击者可能对编排工具进行攻击的方式 Docker Registry. https://docs.Docker.com/registry/ [10] k8s. https://k8s.io/ [11] OpenShift. https://docs.openshift.com/ [12] CVE-2021-44228 Detail. https://nvd.nist.gov/vuln/detail/CVE-2021-44228