CSA发布 | 云原生可观测性技术研究与应用

2018年，可观测性（Observability）被引入IT领域，CNCF-Landscape率先出现了Observability的分组。自此以后，“可观测性”逐渐取代“监控”，成为云原生技术领域最热门的话题之一。云原生场景业务弹性变化节奏加快、工作负载生命周期缩短、工作负载直接的访问关系更加复杂。在轻量、多变、短生命周期的云原生环境获得足够多的数据，得以对事件根因进行分析，对入侵行为进行溯源，对未知威胁进行预测，是将可观测性能力运用至云原生安全领域后带来的安全能力提升。

文末附报告获取方式

云安全联盟大中华区发布《云原生可观测性技术研究与应用》（以下简称报告），报告深入探讨了在云原生领域可观测性的底层技术、架构设计、成熟度模型，阐述了在云原生场景使用eBPF技术完成可观测性数据采集的技术实现及优势。此外，报告对云原生可观测性在安全领域的应用和优秀开源项目做了介绍。

云原生可观测性技术发展及通用业务架构

可观测性的实现依赖于监控指标/监控度量（Metrics）、事件日志（Logs）和链路追踪（Traces）三种数据类型的有机结合。通过不同维度的信号关联基于大数据分析技术构建是一张三维的元素连接空间地图， 涵盖水平的实体关系拓扑，垂直的依赖关系拓扑。空间地图结合了组件之间的逻辑依赖性、物理邻近性和其他关系，以提供可读的可视化和可操作的关系数据。文中介绍了可观测性典型的五层业务架构（数据源、数据采集层、数据存储层、应用展示层、智能化层）。五层架构可作为可观测性建设的内容，如下图所示：

云原生可观测性技术的深入研究和创新应用

通过对于eBPF技术深入刨析，详细描述将该技术应用于云原生场景的可观测性数据采集方案。通过新兴技术的使用提升可观测性功能的效率及数据准确性。为云原生技术的发展提供了新的思路和方向。

云原生环境中每台机器(或虚拟机)只有一个内核，所有运行在该机器上的容器都共享同一个内核，内核了解主机上运行的所有应用代码。通过对内核的检测，基于eBPF可以同时检测在该机器上运行的所有应用程序代码。当将eBPF程序加载到内核并将其附加到事件上时，它就会被触发，而不考虑哪个进程与该事件有关。eBPF能够对基于广泛的可能来源的可视化事件的定制指标进行收集和核内聚合。

基于eBPF在操作系统内核特性优势，与OpenTelemetry结合实现云原生观测数据收集处理的架构，极大增强云原生环境可观测性能力。基于eBPF的可观测性架构如下图所示：

云原生可观测性能力成熟度模型

报告通过由最基本的监控到最高阶的主动可观测性四个阶段成熟度刨析，解释了可观性处于不同能力阶段可解决的问题以及向更高阶段演进的路线。

云原生可观测性应用场景

报告描述了在故障分析、日志审计、监控、追踪溯源、检测分析等多个安全场景如何运用可观测性技术提高风险检测性能、提升对安全事件溯源追踪、根因分析的能力。旨在为云原生安全领域提供通过基于云原生可观测性技术提高风险检测、威胁分析、安全防护、故障告警等能力的最佳实践。

基于eBPF的容器运行时检测如下图所示：

此外，报告中介绍了三个成功的开源项目供读者参考。有利于借助典型开源项目推动云原生可观测性技术实践。

课程推荐

云安全知识认证（Certificate of Cloud Security Knowledge，简称“CCSK”）， 是国际权威组织云安全联盟于2011年发布的培训和认证计划，是云计算行业面向个人用户的全球首个安全认证。通过CCSK的考试测试了关于云安全广泛知识基础，确保与云计算相关的从业人员对云安全架构、云安全威胁和云安全最佳实践有一个全面的了解和广泛的认知，帮助安全专业人员深入了解云安全，并为解决云安全问题提供帮助。

2024年1月6-30日，第六届CSA认证年度集训全面启动，深入学习云安全、云渗透、数据安全与零信任。

关注国际云安全联盟公众号，回复关键词 “云原生”，即可获取报告完整版。