登入帳戶  | 訂單查詢  | 購物車/收銀台(0) | 在線留言板  | 付款方式  | 聯絡我們  | 運費計算  | 幫助中心 |  加入書簽
會員登入   新用戶註冊
HOME新書上架暢銷書架好書推介特價區會員書架精選月讀2023年度TOP分類閱讀雜誌 香港/國際用戶
最新/最熱/最齊全的簡體書網 品種:超過100萬種書,正品正价,放心網購,悭钱省心 送貨:速遞 / 物流,時效:出貨後2-4日

2024年10月出版新書

2024年09月出版新書

2024年08月出版新書

2024年07月出版新書

2024年06月出版新書

2024年05月出版新書

2024年04月出版新書

2024年03月出版新書

2024年02月出版新書

2024年01月出版新書

2023年12月出版新書

2023年11月出版新書

2023年10月出版新書

2023年09月出版新書

『簡體書』云安全基础设施构建 从解决方案的视角看云安全

書城自編碼: 3075588
分類: 簡體書→大陸圖書→計算機/網絡網絡與數據通信
作者: [美]罗古胡·耶鲁瑞[Raghu Yeluri]恩里克·卡斯
國際書號(ISBN): 9787111576969
出版社: 机械工业出版社
出版日期: 2017-10-01
版次: 1
頁數/字數: 191/200000
書度/開本: 16开 釘裝: 平装

售價:NT$ 353

我要買

share:

** 我創建的書架 **
未登入.



新書推薦:
悬壶杂记全集:老中医多年临证经验总结(套装3册) 中医医案诊疗思路和处方药应用
《 悬壶杂记全集:老中医多年临证经验总结(套装3册) 中医医案诊疗思路和处方药应用 》

售價:NT$ 614.0
无法忍受谎言的人:一个调查记者的三十年
《 无法忍受谎言的人:一个调查记者的三十年 》

售價:NT$ 290.0
战争社会学专论
《 战争社会学专论 》

售價:NT$ 540.0
剑桥意大利戏剧史(剑桥世界戏剧史译丛)
《 剑桥意大利戏剧史(剑桥世界戏剧史译丛) 》

售價:NT$ 740.0
教育何用:重估教育的价值
《 教育何用:重估教育的价值 》

售價:NT$ 299.0
理想城市:环境与诗性
《 理想城市:环境与诗性 》

售價:NT$ 390.0
逆风翻盘  危机时代的亿万赢家 在充满危机与风险的世界里,学会与之共舞并找到致富与生存之道
《 逆风翻盘 危机时代的亿万赢家 在充满危机与风险的世界里,学会与之共舞并找到致富与生存之道 》

售價:NT$ 625.0
工业互联网导论
《 工业互联网导论 》

售價:NT$ 445.0

建議一齊購買:

+

NT$ 637
《 CCSP官方学习指南 云安全认证专家 》
+

NT$ 514
《 云服务安全 》
+

NT$ 353
《 面向服务器平台的英特尔可信执行技术 更安全的数据中心指南 》
+

NT$ 518
《 互联网企业安全高级指南 》
+

NT$ 368
《 云安全深度剖析:技术原理及应用实践 》
+

NT$ 656
《 网络安全监控:收集、检测和分析 》
內容簡介:
本书分为四个部分:第1章和第2章涵盖云计算的背景和安全理念,引入可信云的概念。讨论了启用和实例化可信基础设施的关键应用模型,这是可信云的基础。此外,这些章节还讨论了包括解决方案架构和组件说明的应用模型。第3~5章包括启用可信基础设施的用例,解决方案架构和技术组件,强调可信计算,证明的作用,证明方案,以及云中的地理围栏和边界控制。第6章和第7章提供了云中身份管理和控制,以及网络安全相关的有趣观点。第8章将可信的概念扩展到虚拟机和工作负载,包括建立在先前讨论过的可信计算池基础之上的参考架构和组件。第9章全面阐述了安全云爆发参考架构,并汇集了此前章节讨论过的所有概念和方法的具体实现。
目錄
Contents?目录序推荐序译者序作者简介审校者简介前言致谢第1章云计算基础11.1云的定义21.1.1云的本质特征21.1.2云计算服务模型31.1.3云计算部署模型41.1.4云计算价值定位51.2历史背景61.2.1传统的三层架构71.2.2软件的演进:从烟筒式应用到服务网络81.2.3云计算是IT新模式101.3服务即安全111.3.1新的企业安全边界121.3.2云安全路线图161.4总结16第2章可信云:安全与合规性表述172.1云安全考虑172.1.1云安全、信任和保障192.1.2影响数据中心安全的发展趋势202.1.3安全性和合规性面临的挑战222.1.4可信云242.2可信计算基础设施242.3可信云应用模型252.3.1启动完整性应用模型272.3.2可信虚拟机启动应用模型292.3.3数据保护应用模型302.3.4运行态完整性和证明应用模型302.4云租户的可信云价值定位312.5总结32第3章平台启动完整性:可信计算池的基础343.1可信云构件343.2平台启动完整性353.2.1英特尔TXT平台的信任根——RTM、RTR和RTS363.2.2被度量的启动过程363.2.3证明393.3可信计算池403.3.1TCP的操作原则413.3.2池的创建423.3.3工作负载配置423.3.4工作负载迁移433.3.5工作负载云服务的合规性报告433.4TCP解决方案参考架构433.4.1硬件层443.4.2操作系统虚拟机监视器层453.4.3虚拟化云管理和验证证明层463.4.4安全管理层473.5参考实现:台湾证券交易所案例493.5.1TWSE的解决方案架构503.5.2可信计算池用例的实例化513.5.3HyTrust的远程证明523.5.4使用案例:创建可信计算池和工作负载迁移543.5.5McAfee ePO的安全性和平台可信性集成与扩展543.6总结58第4章证明:可信性的验证594.1证明594.1.1完整性度量架构614.1.2基于简化策略的完整性度量架构614.1.3基于语义的远程证明624.2证明流程624.2.1远程证明协议624.2.2完整性度量流程644.3首个商业化证明实现:英特尔可信证明平台654.4Mt.Wilson平台674.4.1Mt.Wilson架构684.4.2Mt.Wilson证明流程704.5Mt.Wilson的安全性734.6Mt. Wilson的可信、白名单和管理API744.6.1Mt.Wilson API754.6.2API请求规范754.6.3API响应774.6.4Mt. Wilson API的使用784.6.5部署Mt. Wilson784.6.6Mt.Wilson编程示例794.7总结82第5章云的边界控制:地理标记和资产标记835.1地理定位845.2地理围栏845.3资产标记865.4使用地理标记的可信计算池865.4.1阶段一:平台证明和安全虚拟机监视器启动885.4.2阶段二:基于可信性的安全迁移895.4.3阶段三:基于可信性和地理定位信息的安全迁移895.5将地理标记加入到可信计算池解决方案905.5.1硬件层(服务器)905.5.2虚拟机监视器和OS层915.5.3虚拟化、云管理、验证和证明层915.5.4安全管理层925.5.5地理标记的创建和生命周期管理925.6地理标记的工作流程和生命周期935.6.1创建标记935.6.2发布标记白名单945.6.3部署标记945.6.4资产标记和地理标记的生效和失效965.6.5地理标记证明975.7地理标记部署架构975.7.1标记部署服务985.7.2标记部署代理995.7.3标记管理服务和管理工具995.7.4证明服务1005.8地理标记部署过程1025.8.1推模型1025.8.2拉模型1025.9参考实现1045.9.1步骤11045.9.2步骤21055.9.3步骤31065.9.4步骤41075.10总结108第6章云中的网络安全1106.1云网络1116.1.1网络安全组件1116.1.2负载均衡1126.1.3入侵检测设备1136.1.4应用交付控制器1136.2端到端的云安全1136.2.1网络安全:端到端的安全——防火墙1146.2.2网络安全:端到端的安全——VLAN1146.2.3网络安全:端到端的安全——站点间VPN1156.2.4网络安全:端到端的安全——虚拟机监视器和虚拟机1166.3云中的软件定义安全1176.3.1OpenStack1206.3.2OpenStack网络安全1216.3.3网络安全功能和示例1236.4总结125第7章云的身份管理和控制1277.1身份挑战1287.1.1身份使用1297.1.2身份修改1307.1.3身份撤销1317.2身份管理系统需求1317.3身份管理解决方案的关键需求1327.3.1可问责1337.3.2通知1337.3.3匿名1337.3.4数据最小化1347.3.5安全性1347.3.6隐私性1347.4身份表示和案例研究1357.4.1PKI证书1357.4.2安全和隐私的探讨1367.4.3身份联合1377.4.4单点登录1387.5英特尔身份技术1387.6总结143第8章可信虚拟机:云虚拟机的完整性保障1448.1可信虚拟机的需求1458.2虚拟机镜像1478.3可信虚拟机概念架构1498.3.1Mystery Hill客户端1508.3.2Mystery Hill密钥管理和策略服务器1518.3.3Mystery Hill插件1518.3.4可信证明服务器
內容試閱
Preface?前言对于云中的应用和数据而言,安全是个永远存在的问题。这对试图制定迁移应用准则的企业主管、试图定位成革新技术采用者的营销组织、试图建立安全基础设施的应用架构师,以及试图保证坏人不能为所欲为的运营人员来说,都是必须考虑的问题。应用是否准备迁移到云或是否已经基于云组件运行并不重要,甚至应用成功运行多年并没有发生重大安全事件也不重要:因为完美无缺的记录并不代表其所有者能声称自己在安全上无懈可击。企业主管已敏锐地意识到,完美无缺的记录所代表的荣誉其实只是对攻击的邀请。自然,过去的表现也绝不代表未来。无论问谁,安全都是抑制云计算广泛应用的最大障碍。要弃用本地部署系统转而采用云计算,企业组织需要设定一个更高的标准,也就是应用安全标准的最佳实践。迁移或采用云服务可以提供一个优势,让公司可以从头开始设计内嵌安全的、新的、基于云的基础架构,从而避免当前大部分数据中心在安全建设上出现的零碎化、事后扩充化的问题。但不同的建立内在安全性的方法也有细微差别,在第1章中我们将会看到。云服务提供商努力构建的安全基础架构,启用多租户环境,为用户提供工具、可视化和控制的基石。他们开始把安全看成云服务触力的一个重要关注点,与性能、功耗、正常运行时间等需综合考量。这为方案架构师在安全设计上根据所在场景实现不同灵活性和安全粒度提供了可能,例如,金融服务业和企业资源管理应用的安全需求在产品宣传册上就截然不同,然而它们都可能使用相同存储服务商的存储服务,这些服务将要求高级别的完整性、机密性和安全防护。一些具体实践方式可能会带来一些战术优势,例如使用内部私有云而不是使用第三方托管的公有云资源,但其实并没有从根本上解决安全问题,比如,还是采用如“瑞士奶酪”似的边界设施,导致数据可以随时通过。我们想提出一个不同的方法:将安全体系架构锚定在芯片,而运行该芯片的服务器遍布每个数据中心。然而,运行移动应用的终端用户并不能看到服务器。我们要做的就是定义一个根植于硬件的逻辑信任链,与基于一组公理建立的几何系统并无不同。我们使用硬件以确保固件的完整性:包括运行在芯片组上的BIOS代码和管理服务器基本功能的固件。从而提供了一个可靠的平台,在此之上运行包括虚拟机监视器和操作系统环境在内的软件。每个软件组件在启动之初都被根植于硬件可信链中的可信根“度量”并与“已知的正确值”比较验证过,从而提供一个未启动各应用可信平台。我们假设读者已经熟悉云技术,并对深入探索云安全感兴趣。我们将讨论一些云技术原则,主要目的是为安全议题的讨论建立一个术语表。我们的目标是讨论云安全的原则,公司迁移到云后所面临的挑战,以及为了满足安全需求提出的基础设施需求。本书面向技术读者,为他们提供创建和部署可信云所需要的架构、参考设计和代码示例。虽然底层技术组件文档(如可信平台模块和基本的安全启动)不难从开发商规范中获得,但其上下文相关内容还是缺失的,例如描述不同组件如何集成到可信虚拟化平台的以使用为中心的方法。本书首次尝试通过实际的概念验证实现和一些初级商业化实现来填补这一空白。安全平台实现是一个新兴和快速发展的问题,长期来看,还不是一个能确定不变的方法,试图达成一个确定方法还为时尚早。及时提供实践方法则更为紧迫,作者希望这些材料能刺激读者的好奇心,鼓励社区复制我们的成果,从而产生新的方法,并在此过程中不断前进。影响企业和云数据中心安全的趋势主要有三个:IT体系结构的演化。这与虚拟化及现在云计算技术的采用紧密相关。多租户和服务整合推动运营效率大幅提高,使多条业务线和租户得以共享基础设施。这种整合和合租导致了新的维度和攻击向量。如何确保不属于和不由自己具体运营的基础设施具有相同级别的安全性和控制能力?外包、跨业务和跨供应链协同突破了传统的安全模型边界。这些新模型模糊了组织“内部”数据和边界“之外”数据的区别。这些数据本身就是新的边界。攻击的复杂度。攻击不再只针对软件,黑客也不再在乎吹嘘胜利。攻击变得更加复杂,目标针对资产控制权,并且保持隐蔽。这些攻击逐步逼近平台底层:固件、BIOS和管理虚拟机操作系统的虚拟机监视器。以往这些底层的安全控制措施较少,恶意软件易于隐藏。由于采用了基于虚拟化的多租户和整合技术,取得平台控制就意味着攻击者得到了重要筹码和加大了攻击面。企业组织如何摆脱这种困境,创立控件来验证运行关键业务应用的平台的完整性?如何向审计方证明即使他们的信息系统是由云服务商来提供,安全控件和流程仍然有效执行?更多的法规要求。对IT从业者和企业所有者的合规性要求显著增加。保护数据的成本和不安全的个人身份数据、知识产权、金融数据以及不合规的可能性导致的风险非常高。此外,相关规章要求也为IT组织增加了额外的负担。显然,云安全是一个需要跨领域考虑的广阔议题,包括技术、产品和解决方案,涉及移动、网络安全、Web安全、消息安全、数据或内容保护和存储、身份管理、虚拟机监视器和平台安全、防火墙、审计和合规性等内容。从工具和产品的角度审视安全是一个有趣的方法。然而,企业IT从业者和云服务商都必须仔细考虑基础设施级别的使用和需求,并提供一套无缝方案解决企业安全问题和需求。同样有趣的是审视私有云和公有云如何具体使用,表述为如下需求:为服务供应商提供企业级解决方案。合规的云是什么?有什么属性和行为?为开发者、服务集成商和运营商提供进出云的应用和荷载保护。不管云服务是什么类型,服务开发者如何保护静态和动态荷载的内容和数据?为服务组件和用户提供细粒度管理、认证、分配设备和用户信任的功能。英特尔一直在努力与合作伙伴提供全面解决方案架构和整套的产品,不仅解决这些问题,还在私有云、公有云上大规模部署电子解决方案。这本书汇集了来自英特尔技术专家、架构师、工程师、市场和解决方案开发经理以及一些关键合作伙伴架构师的贡献。本书分为四个部分:第1章和第2章涵盖云计算的背景和安全的概念,引入可信云的概念。讨论了启用和实例化可信架构的关键应用模型,这是可信云的基础。此外,这些章节还讨论了包括解决方案架构和组件说明的应用模型。第3~5章包括建立可信架构的用例、解决方案架构和技术组件,强调可信计算、可信证明的作用、可信证明方案,以及云中的地理围栏和边界控制。第6章和第7章提供了云中身份管理和控制、以及网络安全相关的有趣观点。第8章将可信的概念扩展到虚拟机和荷载,包括建立在先前讨论过的可信计算池基础之上的参考架构和组件。第9章全面阐述了安全云爆发参考架构,并汇集了此前章节讨论过的所有概念和方法的具体实现。这些章节将带我们开始一段获益匪浅的旅行。一切从一组基本的根植于硬件的技术组件开始,即安全加载程序的功能。我们不仅在软件,还在服务器平台固件(BIOS和系统固件)中对此功能进行了实现。我们还添加了其他平台传感器和设备支持,例如可信平台模块(Trusted Platform Module,TPM)、位置传感器。最终可能还会整合平台其他安全相关测度方法的信息,如密码加速器、密钥使用的安全随机数生成器、安全容器、压缩加速器和其他相关实体。定义了硬件加固平台之后,就可以将最初的安全特性扩展到云环境中。我们将初始的启动完整性和保护功能扩展到下一个目标,即整个完整生命周期的数据:静止的数据、传输的数据、使用中的数据。我们最初的重点在于服务器平台。实际上,我们使用的方法类似于建立数学系统,从一套断言或公理慢慢扩展,直到达到进行云部署的范围。在计算方面,我们将保护引导概念扩展到裸机上运行的虚拟机监视器和操作系统,然后是其后运行的虚拟机。鉴于业界对安全平台的强烈需求,我们希望这一需求能激励应用开发商和系统集成商将信任链扩展到用户端应用。在安全启动建立的可信概念基础之上,第二个抽象概念是平台上应用的可信级别。这涉及可信认证相关讨论和完成可信认证所需的框架和流程。衡量,还有在部署工作中需要的具体功能,包括地理定位监控和控制(地理围栏),将可信概念扩展到工作负载,即工作负载的保护启动,以及确保运行时工作负载和数据的完整性。与之前的操作环境(包括整合的虚拟环境)相比,云计算提供了更加动态的环境。例如,虚拟机可能出于性能或商业原因发生迁移,在安全架构下,保证虚拟机及数据安全地迁入或迁出是至关重要的。这就引出了可信计算池的概念。接下来将讨论云中的网络安全。目前一个有待开发的问题是如何发挥硬件加固的网络设施优势,利用安全启动补充现有的安全实践措施。身份管理也是一个永恒的挑战,云计算比其前身网格计算的分布特性更为突出,因为云中的分布式、多租户和动态行为应用远远超出了网格计算。随着对这些概念的讨论,我们用零星的项目研究来验证这些讨论的概念,验证那些由具备前瞻思维的服务商提供的部署方案。对于正在整合安全启动基础和其他大量技术的架构师而言,这些项目方案提供了宝贵的可行性证据,以及识别技术和接口差距并提供精确反馈给标准化组织的机会。这将有助于加快产业整体技术学习曲线,从而快速减少部署特定实现的时间成本和花销。计算只是云的一个方面。我们还需要找到将保护扩展到云网络和云存储的方法。建立基于安全启动的信任链的经验对云网络和云存储安全都有帮助,因为网络和存储设施也运行在相同的构建服务器的组件上。我们相信,如果严格遵循建立计算信任链的方法,应该可以加固网络和存储设备,使之达到在计算子系统上实现的同等效果。从这个角度看,本书展示的长途旅行看起来更像一趟开拓之旅。一些读者会敏锐地注意到,数据中心的IT基础设施不仅包括服务器,还包括网络和存储设备。本书讨论的安全主要涉及服务器设备上的软件栈,并且仍在发展。但必须指出网络和存储设备也在计算设备上运行,因此确保网络和存储设备安全的策略之一就是精确地建立适用于这些设备的类似信任链。虽然这些讨论已经超出本书范围,但确实和相关从业者关系密切,因此,它们也是相关专题专家在以后的论文和书籍中讨论的绝好主题。我们承认还有大量工

 

 

書城介紹  | 合作申請 | 索要書目  | 新手入門 | 聯絡方式  | 幫助中心 | 找書說明  | 送貨方式 | 付款方式 台灣用户 | 香港/海外用户
megBook.com.tw
Copyright (C) 2013 - 2024 (香港)大書城有限公司 All Rights Reserved.