一图看懂 | 腾讯云原生安全“3+1”重保防护体系

腾讯安全基于20余年安全运营领域的实践和安全能力的沉淀，从蓝军视角梳理攻击路径，凝练打造腾讯云原生安全“3+1”重保防护解决方案，通过深度拆解攻击方的攻击路径和五大攻击阶段，帮助企业建立全面高效的防护体系

一图看懂 | 腾讯云原生安全“3+1”重保防护体系

腾讯安全基于20余年安全运营领域的实践和安全能力的沉淀，从蓝军视角梳理攻击路径，凝练打造腾讯云原生安全“3+1”重保防护解决方案，通过深度拆解攻击方的攻击路径和五大攻击阶段，帮助企业建立全面高效的防护体系

【云原生应用安全】云原生应用安全防护思考（一）

一、概述 应用是云原生体系中最贴近用户和业务价值的部分，笔者在之前《云原生应用安全风险思考》一文中分析了云原生应用面临的风险，相信各位读者已经有所了解，本文为云原生应用安全防护系列的第一篇，主要针对传统应用安全 二、传统应用安全防护 从《云原生应用安全风险思考》一文中对传统应用风险的介绍，我们得知传统应用为云原生应用奠定了基石，因而笔者认为云原生应用安全防护也可参照传统应用安全防护，接下来笔者将为各位读者介绍传统应用的安全防护方法 最后，在云原生应用架构下，我们可使用云原生API网关，其与传统的API网关有何不同，能为云原生应用风险带来哪些新的防护是我们关心的问题。 本文为各位读者介绍了云原生应用在传统应用安全、API安全、云原生应用业务安全三个维度的相应防护方法，结合之前风险篇的相应介绍，首先我们可以看出传统应用防护技术适用于云原生应用，因而深刻理解传统应用防护内容非常重要 基于IaaS环境的安全防护，利用SDN/NFV等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案。

【云原生应用安全】云原生应用安全防护思考（二）

，面对复杂变化场景下的Web攻击仍然无法应对，可行的解决方案为在服务网格之外部署一层云原生API网关，具体如图4所示： 图4 Istio与API网关结合防护图 安全功能上，云原生API网关可提供全方位的安全防护 ，因而针对Serverless应用的安全防护各位读者可以大体参考《【云原生应用安全】云原生应用安全防护思考（一）》一文中传统应用安全的防护方式，尤其是应用程序的代码漏洞缓解、依赖库漏洞防护、数据安全防护 针对应用程序访问控制，除了《【云原生应用安全】云原生应用安全防护思考（一）》中提到的使用基于角色的访问控制之外，由于Serverless云计算模式带来的变化，还需要进行更深层次的防护，笔者认为函数隔离及底层资源隔离是较为合适的防护方法 】微服务架构下API业务安全分析概述 【云原生应用安全】云原生应用安全风险思考 【云原生应用安全】云原生应用安全防护思考（一） 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究 基于IaaS环境的安全防护，利用SDN/NFV等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案。

容器网络安全设计之道：构建安全可靠的云原生防护体系

03 腾讯云容器安全解决方案 腾讯云提供了一系列容器安全产品和服务，帮助企业构建端到端的容器安全防护体系。 容器服务 TKE 腾讯云容器服务（Tencent Kubernetes Engine, TKE）基于原生 Kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务。 运行时安全：自适应识别黑客攻击，实时监控和防护容器运行时安全，提供入侵检测、容器逃逸、进程黑白名单、文件访问控制等安全功能。 05 结语 容器网络安全是云原生时代不可忽视的重要议题。通过遵循最小权限原则、实施零信任网络、采用纵深防御策略和使用加密通信，企业可以构建安全可靠的容器环境。 在数字化转型的浪潮中，只有构建了安全可靠的容器网络环境，企业才能真正发挥云原生技术的优势，加速业务创新和发展。

云原生第1课：云原生发展历程与技术体系

云原生的基本概念、核心理念、技术体系等。 01 云原生技术的发展历程  云原生，其实不是一个全新的概念，而是在整个云计算发展历程中的对理念的更新和延伸。 整个云原生产业的规模也发展十分迅猛： 调查显示，2019年中国云原生市场规模已经达到了350.2亿元，并且云原生技术在加速向各个垂直行业渗透。 包括灰度发布、故障注入、可观测性支持等能力，提高了业务应用的易维护性 对于企业开发者来说，服务网格可以很好地帮助他们剥离业务代码和分布式框架 平台团队聚焦框架层的开发和调优 业务团队聚焦业务本身的开发 03 云原生技术体系及 开源的好处是可以加快技术普及，汇集业界的力量来促进技术架构和接口的标准化，所以云原生基于开源来发展是必然。—— 可以说云原生是源自开源，而开源促进云原生的发展。

云原生第2课：云原生技术体系中的基石-容器技术

本篇文章来自《华为云云原生王者之路训练营》黄金系列课程第2课，由华为云容器技术专家Jarvis Zhou主讲，帮助大家了解容器技术的发展历程；对容器镜像有初步的了解，并能编写简单的Dockerfile； 交付、部署：虚拟机可以通过镜像实现环境交付的一致性，但镜像分发无法体系化；Docker在Dockerfile中记录了容器构建过程，可在集群中实现快速分发和快速部署。 用户可以通过界面、社区CLI和原生API上传、下载和管理容器镜像。

云原生发展历程与技术体系

01 云原生技术的发展历程 云原生，其实不是一个全新的概念，而是在整个云计算发展历程中的对理念的更新和延伸。 整个云原生产业的规模也发展十分迅猛： 调查显示，2019年中国云原生市场规模已经达到了350.2亿元，并且云原生技术在加速向各个垂直行业渗透。 趋势3 ：有状态应用向云原生迁移：无状态+Job类应用趋于成熟，有状态应用逐步成为云原生市场中新的增长点。 包括灰度发布、故障注入、可观测性支持等能力，提高了业务应用的易维护性 对于企业开发者来说，服务网格可以很好地帮助他们剥离业务代码和分布式框架 平台团队聚焦框架层的开发和调优 业务团队聚焦业务本身的开发 03 云原生技术体系及 开源的好处是可以加快技术普及，汇集业界的力量来促进技术架构和接口的标准化，所以云原生基于开源来发展是必然。—— 可以说云原生是源自开源，而开源促进云原生的发展。

从传统云架构体系到云原生架构生态体系的转变过程

今天我准备再结合一页PPT简单地跟大家说明一下，云原生整体生态体系的建设这么一个话题。 我们看到的微服务架构、容器云、DevOps所有的这一些最佳实现都是为了达成这个目标服务的。 那么云原生生态体系跟传统云架构体系有哪些关键的区别点或者它整体究竟是怎么样演进与演化的呢？ 那么到了云原生整体生态体系以后，我们可以看到它中间仍然是我们传统的单体应用，在外围就会涉及到我们新的微服务、IaaS资源池、硬件的负载均衡和传统的ITSM和IT监控。 但是在整个的构建里面，我们可以看到我现在这个图里面，绿色底色这部分都是围绕云原生生态体系环境下面它新拓展出来的新的一些核心要素点。 所以基本这个图我们可以看到当你发展到云原生整体的生态体系架构以后，在整个图绿色底色这部分的内容，都是你云原生生态体系需要去规划和建设的内容，而不简单的仅仅是微服务、DevOps和容器云。

云上安全：云上安全四问之安全防护体系建设

---- 一、云上安全四问 云上安全体系建设是一个庞大的体系，我们可以通过以下四问，去初步评估检查云上业务上云后的安全性： 云平台安全么？安全合规、安全防护、安全技术、安全管理... 云平台方及租户方安全防护到位么？ 云平台防护是否到位？租户方防护是否到位？等级保护是否合规？... 安全管理流程是否规范？云平台防的安全管理流程？租户方的应急流程？安全合规性... ---- 二、云上安全体系 从安全体系上来讲，云上安全主要包括以下几个方面： 物理和基础架构安全：指云计算环境下的数据中心管理、物理设施管理、以及物理服务器和网络设备管理等。 ，包括收集与识别、分类与分级、权限与加密等方面； ---- 三、腾讯云安全防护体系 安全防护是依据安全体系建设，一般包括以下八个层次：业务连续性管理防护、物理安全防护、云安全防护、网络安全防护 腾讯云安全防护体系 其中，业务连续性管理、物理安全、云安全一般由公有云平台方建设提供；其它层次安全则由云平台及租户方共同管理建设。 当然，没有100%的安全，只有相对安全。

云原生时代下如何打造开源监控体系.pdf

云原生应用安全防护全面指南：从基础到实战

本指南将系统性地介绍云原生应用面临的安全风险，并提供从开发到运维全生命周期的防护策略，涵盖容器安全、网络安全、数据保护、身份管理等多个关键领域。 理解这些基础挑战后，我们才能有针对性地构建安全防护体系。接下来将深入探讨从开发到生产的全生命周期安全策略，帮助您在享受云原生技术优势的同时，有效管控各类安全风险。 容器安全防护策略容器作为云原生应用的核心载体，其安全性直接影响整个系统的稳健性。容器安全涉及镜像构建、存储、部署和运行多个环节，需要建立全生命周期的防护机制。 实践表明，完善的容器安全策略可以预防80%以上的云原生安全事件。镜像安全是容器防护的第一道防线。 总结与未来展望云原生安全是一个持续演进的领域，随着技术的快速发展和攻击手法的不断翻新，防护策略也需要相应调整。

云上主机安全防护：基于腾讯云平台的深度防御体系与实践

云计算时代，主机安全防护已从传统的边界防御演变为多层次、全方位的安全体系。本文将以腾讯云平台为例，深入探讨云上主机安全的高级防护策略，从资产风险管理、入侵防御、漏洞管理到安全运营，构建完整的防护闭环。 云环境需要全新的安全范式——自适应、智能化和全栈防护的安全体系，这正是腾讯云主机安全解决方案的设计初衷。 高级威胁防护实战：从预防到响应的闭环管理 构建完善的云主机安全防护体系需要实现从预防、防御到检测、响应的全流程闭环。 云原生安全架构将重新定义防护边界。随着容器、Serverless和微服务的普及，传统基于主机边界的防护模式面临挑战。 只有将先进技术与严格管理相结合，才能在云时代构建真正无懈可击的主机安全防线。 全面防护体系的构建之道 云主机安全防护是一项系统工程，需要技术、管理和人员三方面的协同配合。

原生数据湖体系

由于对象存储有海量、安全、低成本、高可靠、易集成等优势，各种IoT设备，网站数据都把各种形式的原始文件存储在对象存储上，利用对象存储增强和扩展大数据AI也成为业界 共识，Apache Hadoop社区也推出了原生的对象存储 Hadoop原生的存储系统，经过10年来的发展，HDFS已经成为大数据生态的存储标准，但是我们看到HDFS虽然不断的优化，但是NameNode单点瓶颈，JVM瓶颈仍然影响着集群的扩展，从1PB到100PB ，需要不断的进行调优、集群拆分来，HDFS可以支持到EB级别，但是投入很高的运维成本，来解决慢启动，心跳风暴、节点扩容、节点迁移、数据平衡等问题 云原生的大数据存储方案，基于阿里云OSS构件数据湖最合适的选择 ，因此在阿里云上，JindoFS+OSS称为客户采取数据架构迁移上云的最佳实践。 并且通过元数据服务提供的视图，对底层文件系统进行分析和处理 通过插件体系无缝兼容EMR引擎，能够使EMR全家桶开箱即用，用户全程无感知，即可体验统一元数据服务，避免原Mysql等存储的可扩展性差的问题。

从传统云架构到云原生生态体系架构的演进

概述 随着科技的不断发展，云计算领域也经历了巨大的变革。这一演进的核心焦点是从传统云架构过渡到云原生生态体系架构，这个过程在过去的几年里已经发生了显著变化。 在传统云架构中，应用程序通常是单体式的，部署和维护复杂。升级和扩展也需要大量人工干预。这种模型在当时是创新的，但很快就受到了发展迅速的云原生生态体系架构的冲击。 云原生生态体系架构的兴起 云原生生态体系架构的兴起标志着云计算领域的重要里程碑。 云原生的影响 云原生生态体系架构的演进对企业和技术生态系统产生了深远的影响。它帮助企业更好地适应快速变化的需求，提高了应用程序的性能和效率，加速了交付速度，提高了可维护性和可伸缩性。 结语 从传统云架构到云原生生态体系架构的演进代表了云计算领域的一次深刻变革。它带来了更好的性能、效率和可维护性，有助于满足不断变化的市场需求。

安全大讲堂 | 陈屹力：未来云原生安全能力建设将强调体系化的安全防护

、云原生安全防护体系建设以及云原生未来的发展趋势。 目前，云原生安全防护体系和模型处于不断发展和成熟阶段，信通院做的云原生安全防护体系，与业内HTCK防护模型稍有差异，包括云原生应用安全、云原生研发运营安全、云原生数据安全、云原生基础架构安全和云原生基础设施安全等五个维度 信通院云安全防护体系 模型构建层面，信通院构建的云原生安全成熟度模型（CNMM-TAS），包括六大子项、四大理念，打造原生架构安全标准体系，涵盖基础设施安全、云计算环境安全、研发运营安全、云原生应用安全 体系化、精细化，云原生安全的未来挑战 企业用户在云原生安全领域的能力建设刚起步，更多聚焦容器安全。 随着企业云原生应用的增多和云原生安全技术的发展，企业云原生安全能力建设将从基础设施层向云原生架构的全维度扩展，强调体系化的安全防护。

企业安全防护体系如何构建？

安全策略框架搭建‌ 制定《网络访问控制策略》《数据分类保护规范》等制度文件，明确数据加密等级与传输要求‌ 采用零信任架构，实施基于SDP（软件定义边界）的动态访问控制，消除传统网络边界盲区‌ 二、技术防护层 漏洞与威胁管理 ①漏洞扫描系统‌ Nessus检测系统漏洞并生成修复建议，覆盖CVE数据库‌ OpenVAS提供开源漏洞评估，支持合规性检查‌ ‌②渗透测试套件‌ Metasploit模拟攻击验证防御体系有效性‌ 802.1X认证与流量隔离‌ ‌②移动端管理（MDM）‌ Microsoft Intune管控设备策略，远程擦除丢失设备‌ MobSF检测APP代码漏洞与数据泄露风险‌ 三、运营管理机制 1、安全运维体系‌ 生态协同建设‌ 对接国家级威胁情报平台（如CNCERT），实时获取新型攻击特征‌ 采用信创技术栈（如鲲鹏架构安全设备），实现芯片-系统-应用的自主可控‌ 总结 不同企业对应用情况不同，所需要构建的安全体系标准可能存在一定出入 但有些也就大同小异，一般建议初期重点投入边界防护与终端管控（占预算60%），中期强化数据安全与监测响应，后期采用PDCA循环持续改进的方式不断优化安全体系，确保能达到想要的标准。

宙斯盾 DDoS 防护系统“降本增效”的云原生实践

随着云原生的普及，宙斯盾团队持续投入云原生架构改造和优化，以提升系统的处理能力及效率。本文主要介绍宙斯盾防护调度平台上云过程实践与思考。 为什么上云？ 云原生作为近年来相当热门的概念，无论在公司内各部门，还是公司外各大同行友商，都受到追捧。云原生涉及技术包括容器、微服务、 DevOps 、持续交付等，这些新的技术和理念能带来哪些收益？ 往期精选推荐   腾讯云原生技术实战营 & 云原生高端闭门交流会（上海站）来啦！ 云原生的弹性 AI 训练系列之三：借助弹性伸缩的 Jupyter Notebook，大幅提高 GPU 利用率 边缘计算场景下云边端一体化的挑战与实践 大数据云原生系列| 微信 Flink on Kubernetes 实战总结 云原生 AI 前沿：Kubeflow Training Operator 统一云上 AI 训练 点个“在看”每天学习最新技术

混合云架构API安全管理方案：腾讯云API安全助力企业构建智能防护体系

本文深入探讨混合云环境下API安全的风险与解决方案，重点推荐腾讯云API安全产品，其以零部署、全自动资产发现、敏感数据防泄露等能力，为企业提供全生命周期防护。 正文 混合云架构通过结合公有云的弹性与私有云的可控性，助力企业实现资源最优配置。然而，API的跨环境调用也引入了新的安全威胁：影子API暴露、敏感数据泄露、恶意流量攻击等风险频发。 腾讯云API安全应运而生，以智能化能力覆盖API资产发现、风险检测、限流防护等环节，成为混合云环境下的安全基石。 undefined传统安全工具往往缺乏跨环境统一管控能力，而腾讯云API安全通过云原生技术，无需改造代码即可实现混合云API的集中管理。 结语 混合云架构的复杂性要求API安全管理必须兼顾全面性与敏捷性。腾讯云API安全以自动化、智能化为核心，帮助企业低成本构建端到端防护体系，尤其适合金融、电商等高频交互场景。

云原生时代数据库运维体系演进

一、云原生时代数据库运维挑战图片1.1 数据库运维体系演进从数据库运维体系的演进历程来看，1、2000年左右，PC互联网时代兴起，商业数据库是市场主流，而开源数据库方兴未艾。 云原生的概念被提了出来。微服务架构，资源弹性，容器等云原生技术广为传播。数据库的稳定性方面，因为开源数据库的高可用体系普遍成熟而大大缓解。数据库规模方面，实例数量和品类都进一步大增。 1.2 云原生时代挑战这样的时代背景下，我以为数据库运维主要有三个方面的挑战：云原生时代应用架构普遍微服务化，一个系统拆成多个微服务，这个系统的数据库也分拆成多个。 云原生理念应用架构层面的弹性伸缩，自然也要求数据库层面做到弹性伸缩。具体来说，是效率上做到快速扩缩，业务无损，成本上也要做到，按需按量使用。但是主流开源数据库本身是存算一体架构，这两点支持不容易。 个人期望用这样的开源平台来承载数据库厂商，数据库生态工具开发者以及企业用户对数据库服务共建的诉求，加速数据库服务建设速度，让云原生时代没有难运维的数据库。