云安全实用指南

本书是一本关于云环境安全防护的实用指南，书中给出了目前在主流云平台上的一些安全实践和设计建议。本书的特色如下。首先，作者用一个具体的例子串联起了整本书的内容，从“一张白纸”开始，带领读者设计了一个部署在公有云上的企业环境，用来对外提供Web服务；然后逐步向其添加安全控制，直至它变成一个安全的企业级环境。接着，在讨论每个安全主题之前，作者都会与传统环境的安全做对比，这不仅让读者对云安全的特点有了深入理解，而且可以为那些正在从传统环境迁移到云环境的从业人员带来更直接的帮助。最后，本书每章的内容都可作为相应安全主题的非常好的查漏补缺清单。

前言 xiii
第1章 原则与概念 1
最小权限 1
纵深防御 1
威胁行为体、图和信任边界 2
云交付模型 6
云共享职责模型 6
风险管理 10
第2章 数据资产管理与保护 13
数据鉴别与分类 13
示例数据分类等级 14
相关行业或监管要求 15
云中的数据资产管理 16
给云资源打标签 17
在云中保护数据 19
令牌化 19
加密 19
总结 25
第3章 云资产管理与保护 27
与传统IT的区别 27
云资产的类型 28
计算资产 29
存储资产 34
网络资产 38
资产管理流水线 39
采购泄露 40
处理泄露 41
工具泄露 42
已知泄露 42
给云资产打标签 42
总结 44
第4章 身份与访问管理 45
与传统IT的区别 46
身份与权限的生命周期 47
申请 49
审批 49
创建、删除、授权或撤回 50
认证 50
cloudIAM身份 50
企业对消费者和企业对员工 51
多因素认证 52
密码和API秘钥 54
共享ID 56
联合身份 56
单点登录 56
实例元数据和身份文档 58
机密信息管理 59
鉴权 63
集中式鉴权 63
角色 64
重新验证 65
串联到示例应用中 66
总结 68
第5章 漏洞管理 71
与传统IT的区别 72
漏洞区域 74
数据访问 74
应用 75
中间件 76
操作系统 77
网络 78
虚拟化的基础设施 78
物理基础设施 78
发现与解决漏洞 78
网络漏洞扫描器 80
无代理扫描器和配置管理 81
有代理扫描器和配置管理 82
云提供商安全管理工具 83
容器扫描器 83
动态应用扫描器 84
静态应用扫描器 85
软件成分分析扫描器 85
交互式应用扫描器 85
运行时应用自保护扫描器 86
人工代码评审 86
渗透测试 86
用户报告 87
漏洞和配置管理的一些工具举例 88
风险管理过程 90
漏洞管理指标 90
工具覆盖率 90
平均修复时间 91
存在未解决漏洞的系统/应用 91
假阳性百分比 92
假阴性百分比 92
漏洞复发率 92
变更管理 93
串联到示例应用中 93
总结 97
第6章 网络安全 99
与传统IT的区别 99
概念和定义 100
白名单和黑名单 101
DMZ 101
代理 102
软件定义网络 103
网络功能虚拟化 103
overlay网络和封装 103
虚拟私有云 104
网络地址转换 104
IPv6 105
串联到示例应用中 106
流动数据加密 106
防火墙和网络分段 109
允许管理员级访问 115
WAF和RASP 118
DDoS防御 120
入侵检测与防御系统 121
出向过滤 122
数据丢失防护 124
总结 124
第7章 安全事件的检测、响应与恢复 127
与传统IT的区别 128
监控什么 129
特权用户访问 130
防御性工具中的日志 132
云服务日志和指标 134
操作系统日志和指标 135
中间件日志 136
机密服务器 136
应用 136
如何监控 137
聚合和保留 137
解析日志 138
搜索和关联 139
告警和自动响应 139
安全信息和事件管理器 140
威胁搜寻 142
为安全事件做准备 142
团队 142
计划 144
工具 145
对事件作出响应 146
网络杀伤链 147
OODA闭环 148
云取证 149
拦截未授权访问 149
制止数据渗透和制止命令与控制 150
恢复 150
重新部署IT系统 150
通知 150
汲取的教训 151
示例指标 151
检测、响应和恢复的示例工具 151
串联到示例应用中 152
监控防御性系统 153
监控应用 154
监控管理员 155
理解审计基础设施 155
总结 156