以SBOM 为基础的 云原生应用安全治理 董毅@悬镜安全 一瓶“牛奶”——你会喝吗？ 安全的保障——成分清单和监管机构 • 成分清单用于实现可见性（透明度） • 监管机构保障成分清单的可信度 软件物料清单 • 软件物料清单（SBOM, Software Bill Of Material）是代码库中所有开放源代码和第三方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 API安全性 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 实践现状 SBOM的应用现状 • 根据《Anchore 2022 软件供应链安全报告》，尽管 SBOM 在提供对云原生应用可见性方面 发挥着基础性作用，但只有三分之一的组织遵循 SBOM 最佳实践。 SBOM的应用现状 云原生基于“责任自负”的开源世界 云原生开源应用漏洞 OpenSCA扫描结果 h********r-main p********s-main

⽣态：强⼤的社区Provider Plugins⽣ 态⼒量 Crossplane优势 • Kubernetes：使⽤Kubernetes add-on 将集群打造为通⽤控制平⾯。 • 跨⼚商：⽀持多个⼚商基础设施资源 的管理· Terraform不⾜之处 • ⾯向业务应⽤不够友好。 • 云服务⽆跨⼚商规范标准。 Crossplane不⾜之处 • 概念复杂，扩展不易。 CNBaaS既需要Terraform Component-oriented extension On-Premise OnCloud 云原生IaC方式定义服务 传统云上白屏化运维方式: 繁杂的手动操作，且无法快速复制 CNBaaS 可基于Cue语法，声明服务基础信息 以及组件扩展信息，支持最优规格匹配 自适配云组件配置&规格 声明式 服务规格需求 需求自适配 需求自适配 On Premise On VPC eg. Kube DB •

ü 供应链准出机制 ü 过程持续验证 !"#$%&'( !"#$)*+,- !"#$%&' 安全开发-代码扫描SAST 源代码审计针对源代码缺陷进行静态分析检测。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流 分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重 缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷、 量处理过程中，没有做 好过滤和验证措施，就 有可能导致有害的输入 被传入sink点执行 污点数据是指来自程 序外部的数据，污点数 据有可能包含恶意的攻 击数据 安全测试-镜像扫描 由于云原生“不可变基础设施”的特点，对容器风险的修复必须从镜像上处理才是最有效的。 因此对镜像的安全扫描变得尤其重要。 强大的漏洞扫描 支持双料漏洞库，可检测 的漏洞数大于17w条，提 供 对 容器镜像的扫描能力 试 验收报告输出 镜像库 生产部署验 证 生产 发布 上线申请 提测 申请 生产 运营 单元 测试 需求安全分析 源代码审计 镜像安全扫描 服务 发布 冒烟 测试 基础镜像安全加固 代码 仓库 第三方开源 组件安全扫描 灰盒审计 手工渗透测试 镜像扫描 基线合规 实时监测 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力

........................................ 58 4.3 基础设施安全能力建设...............................................................................59 4.3.1 基础设施即代码安全........................................... 云原生安全威胁分析与能力建设白皮书 6 图 20 运行时安全能力建设.......................................................................54 图 21 基础设施安全能力建设................................................................... 59 表 目 录 表 1 云原生安全相关标准 一、云原生安全概述 近年来，云计算技术一直处于高速发展的过程中，并且随着公有云和私有云 的广泛应用，利用云计算作为承载业务运行的基础设施，已经成为了企业的首选。 “十四五”时期，中国的信息化进入加快数字发展、建设数字中国的新阶段，在 数字化转型的浪潮中，云计算作为新型数字基础设施和新一代信息技术的核心引 擎，在推动人工智能、5G、工业互联网、物联网等技术的发展和应用方面发挥 着越来越重要的作用

期的构建各种特征的Paas。业务应用由于不依 赖于运维特性，也实现了标准化，也可以加入 组件市场，此时开放PaaS+开放应用市场可以 构建对应各种环境的应用了。 • 云原生蓬勃而多样的生态成了这种Paas的基础。 • 编排不在以服务为单位，而是以应用为单位， 再也不会出现由于理解不一致导致的交付失败 的情况，而不论底层容器云实现如何，应用的 交付的方式都是一致的。 DevOps是一种文化，是一种组织赋能 应不同交付 场景所要求的不同工具链。比如叠加serverless能力加快镜像构建速度、叠加安全左移能力等等。 OAM使得整体PAAS在通用化的情况下，向多种客户环境交付赋能。 OAM应用实例 从基础设施，到容器运行环境，再到应用都可以加入编排，想要在K8s上编排一切并不是容易的事情，通常一个应用，除了本身的容器之外还有许 多的依赖，常见的依赖有RDS，LB，MNS（SNS，SQS）等这类非容器 OAM实现原理分析 • OAM是更高级的抽象， 执行面打包都是通用 格式，比如HELM，很 好的兼容了现有的基 础设施，无论怎样的 基础设施，都能在高 层保持一致的情况下， 在差异化的环境下运 行，而让业务研发人 员更加关注业务，而 不是基础设施本身。 • OAM本身就是基础设 施即代码的典范设计， 在中间层隔离了用户 使用和底层执行体， 进一步加强了统一性。 标准化能力-微服务PAAS-OAM交付流程模式-抽象流程

云原生是告诉我们：能够适应业务变化的微服务+能够适应制品变化的DevOPS+能够适应技术环境变 化的技术底座=云原生平台；其中变化是以研发循环形式不断出现和累加的，如果不进行治理，那 么这些变化就会积累，稳定性的破坏是熵增的，而云原生基础设施就要做到对变化产生的不稳定因 素进行熵减处理 • 向上站在企业立场上：是要解决微服务体系快速落地的问题，低成本支撑企业创新以及数字疆域规 模扩张 1 技术架构变化：因商业或者演化而 变带来不稳定因素 向上提供抽象化自愈IT运营视角 高效稳定应用资源供给 价值主张 架构 云原生底座=控制器+调度器的组合+Docker=根据环境的变化而动+基于封装 一致性的大规模分发 服务编排基本原理： • 以度量为基础，以NodeSelector算法来 决定在哪儿部署容器服务 • 运行时以期望与实际的差别进行动态调 整到期望的状态 标准化能力-分布式操作系统核心-容器服务-基本技术原理 事实标准的K8S容器服务设计 运维能力，进一步简化云 原生+资源层整体运维和 提升资源利用质量。 标准化能力-按需调度-Serverless 业务价值 架构 • 彻底消除传统服务端基础设施依赖，降低研发复杂性和运维难度 • 按实际调用量进行自动的容量扩缩 • 专注业务逻辑开发，无须关心基础设施 • 只需要将视频存入存储，接入极其简单，达到极致业务体验 • 按需加载资源，使用时调度，不使用时自动回收，达到极致 成本的体验。 • 并行

在云原生产生之前，混合云架构就存在 了，云原生的混合云，除了具备传统混 合云的属性和特性，也同时具备了支撑 现在应用程序更好在不同云形态部署、 运行的能力。 • 云之间同步服务元数据为相同的服务治 理提供基础，同步镜像，为同一服务拓 展算力提供基础，同步Data，为隔离底 层云分布，在业务上的一致性上提供基 础。 • SLB会根据算力资源需要进行切流。 • 混合云本质是一种资源运用形式，资源 使用地位不对等，以私有云为主体。 （并且人的经验无法数据化沉淀），而 得到问题根因后，只能通过人工去修复 或者管理 • 而大数据或者基于监督的AI技术的成熟、 运维领域模型趋于完整、云原生底座也 更成熟的基础上，利用大数据分析根因 （关联性分析）和利用AI进行基于根因分 析的自动化处理成为可能。 • 在精细化的基础上，完整较为成熟的自 动化能力，节约了人力成本同时提高了 效率，也极大得保证了业务连续性。 • 但是，目前真正落地的企业很少，原因 在于大部分企业组织或者文化问题在落 市场特点来规划 实施云原生。 攘外必先安内 项目 说明 全托管K8S 全托管K8S服务带来了发布和扩容效率的提升、更稳定的容器运行时、节点自愈能力，结合发 布自动化、资源管理自动化等能力可以实现应用与基础设施层的全面解耦 统一化ServiceMesh 将应用的分布式复杂性问题托付给Mesh层的数据面和控制面组件，实现全链路精准流量控制、 资源动态隔离以及零信任的安全能力，保证应用架构的稳定性目标的实现。

云原生的本质在于为云这种弹性资源下能够为应用提供 稳定的基础架构，所以云原生数据库相对于传统数据库 最大的不同也在这个方面：弹性 • 对于数据存储的高性能、高稳定性、高拓展、资源成本 等等都需要同时满足（和传统CAP相悖） • 接入层需要能够根据规则的路由，以及兼容各类协议接 口以及数据模型，并能根据应用的规模来自动拓展。 • 实现HTAP(OLTP+OLAP)，将在线事务|分析混合计算模型 基础上，实现多模数据模型，使得集成成本经一步降低。 驱动将应 用服务与底层存储进行衔接，其设计之初 即为 Kubernetes 生态所服务，对容器化应 用的适配非常友好。 高级能力-云原生中间件-应用的基石-MQ为例 云原生消息服务是云原生的通信基础设施 消息中间件在云原生的应用场景，主要是为微服务和EDA架构提供核心的解耦、异步和削峰的能力，在云原生体系 架构中消息服务还发挥着数据通道、事件驱动、集成与被集成等重要作用。云原生倡导面向性能设计，基于消息队 、跨云等互 通需求，真正成为应用层的通信基础设施。 多样性 云原生消息服务将致力于建设大而全的消息生态，来涵盖丰富的业务场景，提供各式各样的解决方案，从而满足不同用户的多样性需求。云原生 消息队列要求建设多个子产品线来支撑丰富的业务需求，比如消息队列RocketMQ，Kafka，微消息队列等。 标准化 容器镜像这项云原生的核心技术轻易地实现了不可变基础设施，不可变的镜像消除了IaaS层的差异，让云原生应用可以在不同的云厂商之间随意

All rights reserved. 可观测性的成熟度模型 1.0 基础支柱 2.0 ? 3.0 ? simplify the growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 1.0 支柱：基础的可观测性要素 Metrics, tracing, and logging 可观测性的成熟度模型 1.0 基础支柱 2.0 统一服务 3.0 ? simplify the growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 2.0 服务：统一的可观测性平台 可观测性平台（Metrics、Tracing、Logging） 基础设施团队 业务团队A 业务团队B growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 可观测性的成熟度模型 1.0 基础支柱 2.0 统一服务 3.0 内生原力 simplify the growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd

⾼性能、强⼀致性、读写隔离、灵活SLA • Pulsar 的根本不同 • Apache Pulsar 简介 • Pulsar 的云原⽣架构 • 企业级流存储： BookKeeper streamnative.io 基础决定上层 streamnative.io 企业级特性 streamnative.io 统⼀消费模型 • Exclusive • Failover • Shared • Key-Shared Readers Segmented
 Stream streamnative.io 基础决定上层：Cloud-Native • State / Scale / Storage https://github.com/apache/pulsar-helm-chart streamnative.io 基础决定上层：Cloud-Native https://streamnative.io/bl