网络安全基础入门（三）—— APP架构&云安全

知识点

• Web App
• 原生APP
• H5开发
• Flutter
• 云安全
• 云服务
• 云原生特点及安全

APP架构

一、常规Web开发

Web App开发是指创建可以在网页浏览器中运行的应用程序。这些应用程序通常使用标准的Web技术（如HTML、CSS和JavaScript）来实现，并且可以通过互联网访问。简单说，就是开发一个网站，然后加入App的壳。Web App一般非常小，内容都是app内的网页展示，受制于网页技术本身，可实现功能少，而且每次打开，几乎所有的内容都需要重新加载，应速度慢，用户体验差，但开发周期短，需要的技术人员少，成本低。

二、原生开发

使用原生编程语言和工具来创建应用程序，使用平台特定的开发工具和语言，以便应用程序能够充分利用操作系统的功能和性能。例如原生安卓一般使用java语言开发，也有kotlin语言。消耗人力物力大，一般比较大型、正式的APP会采用此类方式，我们在安全测试的时候需要通过逆向反编译和抓包等方式提取App的一些接口，来进行测试。

三、H5开发

H5 指的是 HTML5，即网页使用的 HTML 代码 —— 第五代超文本标记语言，一般会采用H5+VUE的方式开发。该模式体验逊于原生App，但具有跨平台的优点，允许使用Web技术构建一次应用程序，并在多个平台上运行，如iOS和Android。

四、Flutter

Flutter是由Google开发的跨平台移动应用程序开发框架，使用dart语言进行开发。使用weight渲染直接操作硬件层，体验可媲美原生。具有跨平台性，可以在多个平台上运行，包括iOS、Android、Web等。但是flutter技术比较新，生态还不完善

云安全

云安全是指保护云计算环境中的数据、应用程序和资源免受潜在威胁、风险和攻击的安全实践和策略。随着越来越多的组织将数据和工作负载迁移到云中，云安全变得至关重要。

云服务

云服务，顾名思义就是云上服务，在云厂商上购买的产品服务。国内有阿里云、腾讯云、华为云、天翼云、Ucloud、金山云等。国外有亚马逊的AWS、Google的GCP、微软的Azure，IBM云等。

各个云厂商对云服务的叫法都不统一，这里统一以AWS为例。

• S3 对象存储Simple Storage Service，简单的说就是一个类似网盘的东西
• EC2 即弹性计算服务Elastic Compute Cloud，简单的说就是在云上的一台虚拟机。
• RDS 云数据库Relational Database Service，简单的说就是云上的一个数据库。
• IAM 身份和访问管理Identity and Access Management，简单的说就是云控制台上的一套身份管理服务，可以用来管理每个子账号的权限。

常见漏洞：AccessKeyId，SecretAccessKey泄漏，权限配置错误

云原生

云原生（Cloud Native）可以拆分成「云」和「原生」去看。「云」相对的就是本地，传统应用都跑在本地服务器上，而云则表示跑在云服务器上。「原生」则可以简单的理解成出生地的意思，放在云环境中所表达的意思就是：直接就部署在云上的业务，这些业务完全按照“云”的特点去设计，在把应用跑到云服务器上时，充分的利用云自身的特点，，比如弹性和分布式优势。

云原生优点

云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式 API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段，云原生技术使工程师能够轻松地对系统作出频繁和可预测的重大变更。

云原生安全

根据云原生环境的构成，面向云原生环境的安全体系可以概括为以下三个层面：

1、容器安全

2、编排系统安全

3、云原生应用安全：包括了微服务、无服务、服务网格、零信任体系、API 安全等等

4、宿主机的安全

参考链接

https://wiki.teamssix.com/CloudNative/
https://wiki.teamssix.com/CloudService/