云安全实用指南_PDF下载[113MB-百度云](美)ChrisDotson著

本书特色

[

本书是一本关于云环境安全防护的实用指南，书中给出了目前在主流云平台上的一些安全实践和设计建议。本书的特色如下。首先，作者用一个具体的例子串联起了整本书的内容，从“一张白纸”开始，带领读者设计了一个部署在公有云上的企业环境，用来对外提供 Web 服务；然后逐步向其添加安全控制，直至它变成一个安全的企业级环境。接着，在讨论每个安全主题之前，作者都会与传统环境的安全做对比，这不仅让读者对云安全的特点有了深入理解，而且可以为那些正在从传统环境迁移到云环境的从业人员带来更直接的帮助。*后，本书每章的内容都可作为相应安全主题的非常好的查漏补缺清单。

]

内容简介

[

本书是一本关于云环境安全防护的实用指南, 书中给出了目前针对主流云平台上的一些安全实践和设计建议。本书的特色和不同之处如下。首先, 作者用一个具体的例子串联起了整本书的内容, 从“一张白纸”开始, 带领读者设计了一个部署在公有云上的企业环境, 用来对外提供Web服务 ; 接着逐步向其添加安全控制, 直至它变成一个安全的企业级环境。其次, 在讨论每个安全主题之前, 作者都会与传统环境的安全做对比, 这不仅让读者对云安全的特点有了深入理解, 而且可以为那些正在从传统环境迁移到云环境的从业人员带来更直接的帮助。*后, 本书每章的内容都是相应安全主题的非常好的查漏补缺清单。

]

作者简介

[

Chris Dotson是 IBM 资深技术专家，也是 IBM Cloud 和 Watson Platform 执行安全架构师。他拥有 11 项专业证书，包括 Open Group 的Distinguished IT Architect（杰出 IT 架构师）证书，并有超过 20 年的 IT 从业经验。他曾多次作为云创新者登上IBM官方主页；他主要关注于云基础设施与安全、网络基础设施与安全、服务器、存储和冷笑话。
译者赵亚楠：携程资深架构师。2016年加入携程云计算部门，先后从事 OpenStack、SDN、容器网络（Mesos、K8S）、容器镜像存储、分布式存储等产品的开发，目前带领 Ctrip Cloud Network & Storage Team，专注于网络和分布式存储研发。曾供职于爱立信（Ericsson）从事内部网络产品研发工作，上海交通大学电子工程系硕士学位。

]

前言 xiii 第 1 章原则与概念 1 *小权限 1 纵深防御 1 威胁行为体、图和信任边界 2 云交付模型 6 云共享职责模型 6 风险管理 10 第 2 章数据资产管理与保护 13 数据鉴别与分类 13 示例数据分类等级 14 相关行业或监管要求 15 云中的数据资产管理 16 给云资源打标签 17 在云中保护数据 19 令牌化 19 加密 19 总结 25 第 3 章云资产管理与保护 27 与传统 IT 的区别 27 云资产的类型 28 计算资产 29 存储资产 34 网络资产 38 资产管理流水线 39 采购泄露 40 处理泄露 41 工具泄露 42 已知泄露 42 给云资产打标签 42 总结 44 第 4 章身份与访问管理 45 与传统 IT 的区别 46 身份与权限的生命周期 47 申请 49 审批 49 创建、删除、授权或撤回 50 认证 50 cloud IAM 身份 50 企业对消费者和企业对员工 51 多因素认证 52 密码和 API 秘钥 54 共享 ID 56 联合身份 56 单点登录 56 实例元数据和身份文档 58 机密信息管理 59 鉴权 63 集中式鉴权 63 角色 64 重新验证 65 串联到示例应用中 66 总结 68 第 5 章漏洞管理 71 与传统 IT 的区别 72 漏洞区域 74 数据访问 74 应用 75 中间件 76 操作系统 77 网络 78 虚拟化的基础设施 78 物理基础设施 78 发现与解决漏洞 78 网络漏洞扫描器 80 无代理扫描器和配置管理 81 有代理扫描器和配置管理 82 云提供商安全管理工具 83 容器扫描器 83 动态应用扫描器 84 静态应用扫描器 85 软件成分分析扫描器 85 交互式应用扫描器 85 运行时应用自保护扫描器 86 人工代码评审 86 渗透测试 86 用户报告 87 漏洞和配置管理的一些工具举例 88 风险管理过程 90 漏洞管理指标 90 工具覆盖率 90 平均修复时间 91 存在未解决漏洞的系统 / 应用 91 假阳性百分比 92 假阴性百分比 92 漏洞复发率 92 变更管理 93 串联到示例应用中 93 总结 97 第 6 章网络安全 99 与传统 IT 的区别 99 概念和定义 100 白名单和黑名单 101 DMZ 101 代理 102 软件定义网络 103 网络功能虚拟化 103 overlay 网络和封装 103 虚拟私有云 104 网络地址转换 104 IPv6 105 串联到示例应用中 106 流动数据加密 106 防火墙和网络分段 109 允许管理员级访问 115 WAF 和 RASP 118 DDoS 防御 120 入侵检测与防御系统 121 出向过滤 122 数据丢失防护 124 总结 124 第 7 章安全事件的检测、响应与恢复 127 与传统 IT 的区别 128 监控什么 129 特权用户访问 130 防御性工具中的日志 132 云服务日志和指标 134 操作系统日志和指标 135 中间件日志 136 机密服务器 136 应用 136 如何监控 137 聚合和保留 137 解析日志 138 搜索和关联 139 告警和自动响应 139 安全信息和事件管理器 140 威胁搜寻 142 为安全事件做准备 142 团队 142 计划 144 工具 145 对事件作出响应 146 网络杀伤链 147 OODA 闭环 148 云取证 149 拦截未授权访问 149 制止数据渗透和制止命令与控制 150 恢复 150 重新部署 IT 系统 150 通知 150 汲取的教训 151 示例指标 151 检测、响应和恢复的示例工具 151 串联到示例应用中 152 监控防御性系统 153 监控应用 154 监控管理员 155 理解审计基础设施 155 总结 156