文章总结： 云原生安全立方项目由资深研究员CDxiaodong主导，聚焦容器隔离与运行时安全，通过Seccomp、AppArmor、SELinux、gVisor/Kata等纵深防御手段对抗内核逃逸与配置漂移，课程结合eBPF、Falco、Cilium实现编排感知自动化响应，提供多租户场景下可落地的安全加固与自愈体系方案。 综合评分： 88 文章分类： 云安全,容器安全,安全培训,红队,安全建设

倒计时 4 天 ｜ 云原生安全立方项目

miao2sec miao2sec

喵苗安全

2026年1月15日 18:00 上海

CLOUD NATIVE SECURITY

01

作者介绍

/ INTRODUCTION

CDxiaodong，安全研究员，具备多年一线安全攻防实战经验，曾发现并协助修复十余个通用安全漏洞。作为核心成员参与多次国家级、行业级及教育领域大型攻防演练，成绩稳定进入 TOP5。

在多个技术社区与社交平台持续输出安全研究内容，多篇文章阅读量超过 1w+。曾于安全验证领域头部厂商主导并参与多项 云原生 BAS（Breach and Attack Simulation）安全验证产品 的设计与研发工作，重点研究 CNAPP、CSPM、CWPP 等云原生安全产品的对抗机制，以及在 AWS、GCP 等主流云平台上的自动化安全验证实践。

目前聚焦 AI 安全 方向，积极参与开源社区与开源工具共建，持续探索 AI 赋能安全及人机协同攻防 的工程化落地路径。

个人博客：

https://github.com/cdxiaodong

02

课程目录精彩一览

/ CATALOG

容器的本质是进程，而进程的边界是内核。 仅靠 Namespace 和 Cgroup 的“逻辑隔离”在面对内核漏洞时弱不禁风。

通过《第 8 课 加强容器隔离》的学习，你将建立起一套“纵深防御”的思维模型：从应用层面的系统调用过滤（Seccomp），到文件系统的路径保护（AppArmor/SELinux），再到彻底重构边界的虚拟化沙箱（gVisor/Kata）。

你将不仅学会配置，更会理解黑客如何通过架构漏洞实现逃逸，以及如何根据业务场景（如多租户、高敏感计算）选择最匹配的隔离方案。

隔离并不等同于安全，如果说 Namespace 和 Cgroups 是容器的“围墙”，那么运行时安全就是围墙内的“卫兵”，专门对付那些已经破墙而入或试图从内部破坏的威胁。

通过《第 12 课 容器运行时安全》的学习，将完成从“只会搭建环境”到“能够守护生产”的思维跨越：不仅能掌握 Linux Capability 和 Seccomp 等内核级加固手段，亲手配置 Kubernetes “黄金标准”的安全上下文；还能解锁 eBPF 这一上帝视角，学会利用 Falco 和 Cilium 实现深度的威胁感知与自动化响应。

最终，你将收获一套“编排感知”的纵深防御体系，学会如何通过 GitOps 和只读文件系统彻底根治“配置漂移”，让你的基础设施从脆弱的单点加固进化为具备自愈能力的“全链路免疫”系统。

03

获取更多课程信息！

/  MORE

了解更多关于《云原生安全立方项目》

如对本次内容感兴趣，欢迎进群交流：

🐱 作者也在群里哦 🐱

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：喵苗安全 miao2sec miao2sec《倒计时 4 天 ｜ 云原生安全立方项目》