前言

正如集装箱的出现加速了贸易全球化进程，以容器为代表的云原生技术作为云计算服务的新界面，在加速云计算普及的同时，也在推动整个商业世界的飞速演进。上云成为企业持续发展的必然选择，全面使用云原生和云服务技术构建软件服务的时代已经到来。

作为云时代释放技术红利的新方式，云原生技术在通过方法论、工具集和最佳实践重塑整个软件技术栈和软件生命周期，对云计算服务方式与互联网架构进行整体升级，深刻改变着整个商业世界的IT根基。通过树立技术标准与构建开发者生态，云原生技术将云计算实施逐渐标准化，大幅降低了开发者对于云平台的学习成本与接入成本。这都让开发者更加聚焦于业务本身并借助云原生技术与产品实现更多业务创新，有效提升企业增长效率，让企业爆发出前所未有的生产力与创造力。

本书具体内容如下。

第1章的重点是厘清云原生的概念。通过将容器作为应用发布的统一形态，并把微服务架构作为应用开发的统一架构，再将应用运行在基于声明式和容器编排技术的统一平台里。最后再辅以基于自动化文化和协作文化的DevOps统一开发流程，云原生实现了应用基础平台、软件开发架构、软件开发流程的标准化和统一化。在统一化的基础上，基于云原生技术开发的应用得以充分利用多云和混合云的优势。

第2章主要讲解云原生安全的整体建设思路。随着企业上云进程的不断加快，传统的安全防护体系遭遇瓶颈。面向应用的云原生安全管理涵盖了应用平台、应用架构、应用流程、应用安全管理和应用生态安全，是一整套综合性应用安全管理理念。让安全管控核心从之前的以网络为中心过渡到以业务为中心，为企业建设新一代安全体系提供了指引。

第3章重点讲述云原生平台层安全方案。应用平台层安全涉及底层操作系统的安全防护、容器运行态及容器编排系统的安全防护。

第4章从应用架构入手，分析典型的云原生应用架构特点，根据架构特点，有针对性地从应用架构层上进行安全性加固。

第5章着重分析云原生应用安全管理方面的内容，对应用的审计、应用配置的管理、应用运行数据的审计是云原生应用安全防护中必不可少的内容，也是很容易被忽视的内容。另外，通过配置应用运行日志存档、从日志存档中发掘高级威胁是从管理层面增强应用安全性的有效手段。

第6章主要讲解在DevOps基础上扩充自动化安全防护能力，实现开发、安全、运维一体化流程。自动化安全包括了自动化代码扫描、自动化安全测试、自动化漏洞检测、自动化应用分析等多个环节，将这些环节嵌入到CI/CD流程中的对应阶段，实现持续安全。

第7章重点讲述云原生应用融入生态过程中需要考虑的安全问题。云原生应用天然支持应用向生态开放，也鼓励和支持利用来自应用生态的接口能力和数据能力。在将云原生应用向生态开放的过程中，如何避免由于生态开放导致的安全风险，如何对开放的业务能力做审计分析，是本章着重探讨的话题。

第8章选取针对应用平台、应用架构、应用管理、应用流程和应用生态这五个领域中的优秀开源产品和方案进行分类说明，以期在云原生安全方案的落地实施过程中，能够充分利用开源社区提供的云原生安全能力。

第9章选取了云原生应用中三个最具代表性的行业。金融行业代表了数字化转型先锋和技术优势行业，交通行业代表了云原生技术使用较为深入的行业，而制造行业代表了云原生技术进入尚浅、未来要进一步深化的行业。从这三个行业的实际应用场景入手，分析不同场景下云原生的安全特点和防护重点。

本书以面向应用的云原生安全建设为主线，将云原生应用分成应用平台、应用架构、应用管理、应用流程以及应用生态这五个维度，对这五个维度从云原生安全的角度进行剖析。本书力求避免概念和技术的生硬堆砌，而是采用循序渐进、前后铺垫的方式，利用大量的总结性图表，让复杂的云原生技术体系变得易懂、易实践。同时，本书还包含一个云原生应用安全实践的案例。这个案例贯通了云原生安全平台搭建、云原生安全应用构建和部署、云原生安全管理、云原生DevSecOps流程和应用生态开放的各个环节。通过案例的实际操作，可以更深入地理解云原生安全的理念和落地实践过程。这一系列案例对环境资源的要求很低，读者完全可以自行搭建云原生安全实操环境。另外，书中相关案例的源码、脚本和配置文件都可以从书中对应的网站目录上下载。

本书面向的读者主要是对云原生技术有兴趣的开发和运维人员，以及云计算和分布式系统的相关技术人员。也可以作为政企信息部门技术和管理人员进行相应业务系统云化改造方案设计的参考资料。

由于本人能力有限，错漏之处在所难免，恳请读者批评指正。

作者