1.3.3　云原生应用安全

编排系统支撑着诸多微服务框架和云原生应用，如无服务、服务网格等，这些新型的微服务体系也同样存在各种安全风险。例如，攻击者通过编写一段无服务器的代码获得运行无服务程序容器的shell权限，进而对容器网络进行渗透。

我们将在第七部分介绍云原生应用的安全，包括面向云原生应用的零信任体系、云原生应用的传统安全机制、业务安全和API安全，后两者虽然在Web时代已存在，但在云原生时代出现了新的特点，我们将分别介绍相关的防护思路。另外，我们会在第22章讨论若干微服务安全场景，以Istio为例介绍面向服务网格的微服务认证、加密等安全加固机制，以及如何通过Sidecar模式部署面向微服务的应用安全防护机制。此外，无服务器计算也是新的云原生计算模式，其安全机制更偏业务层面，我们会在第23章讨论。