一. 云原生架构基础概念1、云原生架构是基于云原生技术的一组架构原则和设计模式的集合，旨在将云应用中的非业务代码部分进行最大化地剥离，从而让云设施接管应用中原有的大量非功能特性（如弹性、韧性、安全、可观测性、灰度等），使业务不再有非功能性业务中断困扰的同时，具备轻量、敏捷、高度自动化的特点。

Cilium是一种开源的云原生网络实现方案，与其他网络方案不同的是，Cilium着重强调了其在网络安全上的优势，可以透明地对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。Cilium在设计和实现上基于Linux的一种新的内核技术eBPF，可以在Linux内部动态插入强大的安全和可见的网络控制逻辑，相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新

1、集群由多个节点组成。2、每个节点上运行若干个Pod。3、每个节点上会创建一个CNI网桥（默认设备名称为cni0）。4、每个Pod存在于自己的网络命名空间中，通过虚拟网卡对Veth Pair设备与外界通信。

一、引子概述今天来聊聊数据安全风险管控。在说数据安全风险管控前，我们先说说数据安全，开展数据安全工作一般有三个维度：首先是从风险维度开展，风险维度即通过对数据风险的识别、评估、处置、监控再到识别的闭环操作，来管控数据安全风险。

一、引子数据安全是企业在信息安全体系建设中不可或缺的一部分，本专栏写数据安全，一方面是为了扩宽自己知识视野的同时总结工作中的一些经历，另一方面也是继续补足个人能力知识库中信息安全大体系的各个板块。二、数据安全概念说到数据安全，先来和大家探讨下数据安全的概念。

一、引子数据安全生命周期管理，是从数据的安全收集或生成开始，覆盖数据的安全使用、安全传输、安全存储、安全披露、安全流转与跟踪，直到安全销毁为止的全过程安全保障机制。对于数据的隐私生命周期，一般分为以下几个阶段：● 告知数据主体（隐私声明或通知）● 数据主体选择和同意● 数据收集或生成● 数据传输● 数据存储与留存期管理● 数据使用● 数据流转与出境● 数据披露● 数据销毁二、告知数据主体对于告知数

一、数据安全文件体系数据安全文件体系，即一系列管理、标准与规范、流程、指南、模板等文件的文档化记录。当企业开始规范化运作的时候，特别是需要通过外部的认证、测评的时候，文档化的文件体系就是必不可少的，如等级保护三级认证。当需要通过相当于`能力成熟度三级`的有关认证时，相对完善的政策文件体系更是必不可少。这里科普下能力成熟度模型：说明：一般三级是及格线● 第一级：为临时的或不可重复的实践做法● 第二级

一、引子在专栏开篇作中我有提到数据安全架构中的5A概念，5A概念中的其中一个A是身份认证，因此，本篇我们来聊聊身份认证相关的东西。我们先重复一下“基于身份的信任思维”：不信任企业内部和外部的任何人、任何系统，所有请求都需基于身份认证和授权，执行以身份为中心的访问控制和资产保护。

一、引子在专栏开篇作中我有提到数据安全架构中的5A概念，5A概念中的其中一个A是授权，因此，本篇我们来聊聊授权相关的东西。授权的概念：向通过身份认证的主体（用户/应用等）授予或拒绝访问客体（数据/资源等）的特定权限。比如员工默认只能查询自己的薪酬数据，但指定级别以上的主管人员有权查询管辖范围内员工的薪酬数据。

顾名思义，数据存储就是将数据存储起来。集中的数据存储主要是为了对数据进行统一的安全管理，但这会面临两个风险，一个是这些数据被一锅端，导致数据全部泄露，另一个是数据存储介质损坏，导致数据全部丢失。对此，数据存储的安全管理也是从这两个问题入手，可以分为：● 结构化数据存储的安全管理● 非结构化数据存储的安全管理● 数据的备份与恢复本文也将从这三个方面来讲解数据存储的安全管理。