新書推薦:
《
剑桥斯堪的纳维亚戏剧史(剑桥世界戏剧史译丛)
》
售價:NT$
704.0
《
禅心与箭术:过松弛而有力的生活(乔布斯精神导师、世界禅者——铃木大拙荐)
》
售價:NT$
301.0
《
先进电磁屏蔽材料——基础、性能与应用
》
售價:NT$
1010.0
《
可转债投资实战
》
售價:NT$
454.0
《
王氏之死(新版,史景迁成名作)
》
售價:NT$
250.0
《
敢为天下先:三年建成港科大
》
售價:NT$
352.0
《
直观的经营:哲学视野下的动态管理
》
售價:NT$
407.0
《
长高食谱 让孩子长高个的饮食方案 0-15周岁儿童调理脾胃食谱书籍宝宝辅食书 让孩子爱吃饭 6-9-12岁儿童营养健康食谱书大全 助力孩子身体棒胃口好长得高
》
售價:NT$
214.0
編輯推薦:
本书密切关注和跟踪云计算及安全技术进展,在介绍基本原理的基础上,以云计算应用安全能力建设为主,重点介绍在云安全能力建设中的典型案例与实验。本书广度和深度兼具、理论与实践交相辉映,是你学习云安全能力建设实践的重要参考。
內容簡介:
本书将云计算安全能力建设对应到NIST CSF中,从云计算安全能力建设的角度由浅入深地总结云计算安全产业实践的基本常识、云安全能力构建的基础实验与云计算产业安全综合实践。在简单介绍基本原理的基础上,以云计算应用安全能力建设为主,重点介绍在云安全能力建设中的典型案例与实验。其中实验部分又分为基础篇、提高篇和综合篇,通过动手实验可以让你快速学习基本的安全策略、安全功能、安全服务及实践,深度体验云上安全能力的建设设计与实现,终完成自定义安全集成和综合安全架构的设计与实现。
關於作者:
王绍斌 亚马逊云计算Lambda产品线首席安全官。曾兼职美国信息产业机构USITO安全组联合主席(2011-2020年),国际可信计算组织TCG大中华区主席(2011-2015年),上海数据治理与安全产业发展专业委员会专家(2019-2021年) 。具有26年的安全技术研究经历,主要研究领域包括云计算安全、网络安全、应用密码学、网络攻击与防御、电子商务安全。申请专利16项,发表学术论文16篇,出版著作3部。
卢朝阳 亚马逊Amazon Web Service云安全专业架构师,从事金融和互联网信息安全工作17年,为全球100多个客户提供专业定制云安全架构,曾历任安全渗透专家、安全咨询顾问、安全风险管理专家、安全负责人等,致力于多云上DevSecOps与云安全自动化和智能化的建设和优化。
余波 亚马逊Amazon Web Service安全市场与产品专家,硕士毕业于北京大学光华管理学院。有多年欧洲和东南亚的海外经历,历任奇安信集团国际部负责人、网宿科技香港网盾公司负责人、绿盟科技欧洲及中东分公司总经理、华为东南亚某系统部门负责人等。
朱志强 亚马逊Amazon Web Service安全市场与产品专家,负责云安全方案的拓展工作,曾在华为、绿盟等多家知名网络安全公司任职,拥有十多年网络安全行业架构和咨询经验。
目錄 :
目 录
第1章 云安全基础 1
1.1 云安全定义 4
1.2 云安全理念与责任共担模型 7
1.3 云安全产业与产品 10
1.3.1 云原生安全产品 11
1.3.2 第三方云安全产品 17
1.4 云安全优势 21
第2章 云安全体系 22
2.1 NIST CSF 22
2.1.1 什么是NIST CSF框架 22
2.1.2 CSF的作用 23
2.1.3 CSF的核心 25
2.1.4 CSF在云治理中的作用 29
2.2 CAF 30
2.2.1 什么是CAF 30
2.2.2 CAF的维度 30
2.2.3 CAF的能力要求 31
2.2.4 CAF的核心内容 31
2.2.5 CAF在云转型中的作用 32
2.3 GDPR 33
2.3.1 什么是GDPR 33
2.3.2 GDPR的重要意义 34
2.3.3 云中进行GDPR合规的注意事项 34
2.3.4 GDPR的责任分担 35
2.3.5 云服务商的GDPR传导路径 36
2.3.6 云用户的GDPR挑战与影响 38
2.4 ATT&CK云安全攻防模型 39
2.4.1 ATT&CK定义 39
2.4.2 ATT&CK使用场景 39
2.4.3 AWS ATT&CK云模型 41
2.5 零信任网络 46
2.5.1 为什么提出零信任 46
2.5.2 零信任的理念 46
2.5.3 零信任的价值体现 47
2.5.4 零信任的安全体系 48
2.5.5 零信任的核心内容 49
2.5.6 零信任在云平台上的应用 50
2.6 等级保护 51
2.6.1 什么是等级保护 51
2.6.2 等级保护的重要意义 52
2.6.3 等级保护的标准体系 53
2.6.4 云环境下的等级保护 58
2.7 ISO 27000系列安全标准 59
2.7.1 ISO 27000系列 59
2.7.2 ISO 27001体系框架 60
2.7.3 ISO 27001对云安全的作用 61
2.7.4 企业如何在上云中合理使用标准 62
2.7.5 云服务商如何合规 63
2.7.6 ISO 27000的安全隐私保护 63
2.8 SOC 64
2.8.1 什么是SOC 64
2.8.2 SOC 2的重要意义 65
2.8.3 SOC 2的核心内容 65
2.8.4 SOC 2对云服务商的要求 67
2.9 中国云计算服务安全标准 68
2.9.1 标准的背景 68
2.9.2 标准的概述 68
2.9.3 标准对云服务商的能力要求 69
2.9.4 标准的意义 70
2.10 美国的FedRAMP 70
2.10.1 FedRAMP 70
2.10.2 FedRAMP的基本要求与类型 71
2.10.3 FedRAMP的评估与授权机制 71
2.10.4 FedRAMP的意义与价值 72
第3章 云安全治理模型 73
3.1 如何选择云安全治理模型 73
3.1.1 云安全治理在数字化转型中的作用 73
3.1.2 云安全治理模型的适用性说明 74
3.1.3 云安全治理模型的三种不同场景 74
3.1.4 云安全责任共担模型 75
3.1.5 云平台责任共担模型分类 76
3.2 如何构建云安全治理模型 81
3.2.1 云安全治理模型设计的七个原则 81
3.2.2 基于隐私的云安全治理模型 82
第4章 云安全规划设计 83
4.1 云安全规划方法 83
4.1.1 SbD的设计方法 84
4.1.2 SbD的目标 84
4.1.3 SbD的过程 84
4.2 云资产的定义和分类 87
4.2.1 云中资产的定义与分类 87
4.2.2 云中数据的定义与分类 87
4.2.3 AWS三层数据分类法 91
4.3 云安全建设路径 91
4.3.1 起步阶段的云安全建设路径 92
4.3.2 升级阶段的云安全建设路径 94
4.3.3 发展阶段的云安全建设路径 97
4.3.4 整合阶段的云安全建设路径 100
4.3.5 成熟阶段的云安全建设路径 102
第5章 NIST CSF云安全建设实践 105
5.1 云安全识别能力建设 106
5.1.1 云安全识别能力概述 107
5.1.2 云安全识别能力构成 107
5.1.3 云安全识别能力建设实践 110
5.2 云安全保护能力建设 115
5.2.1 云安全保护能力概述 115
5.2.2 云安全保护能力构成 116
5.2.3 云安全保护能力建设实践 120
5.3 云安全检测能力建设 140
5.3.1 云安全检测能力概述 141
5.3.2 云安全检测能力构成 142
5.3.3 云安全检测能力建设实践 145
5.4 云安全响应能力建设 147
5.4.1 云安全响应能力概述 148
5.4.2 云安全响应能力构成 150
5.4.3 云安全响应能力建设实践 151
5.5 云安全恢复能力建设 154
5.5.1 云安全恢复能力概述 155
5.5.2 云安全恢复能力构成 155
5.5.3 云计算恢复能力建设实践 156
第6章 云安全动手实验——基础篇 158
6.1 Lab1:手工创建个根用户账户 162
6.1.1 实验概述 162
6.1.2 实验步骤 162
6.1.3 实验总结 165
6.1.4 策略示例 166
6.1.5 实践 168
6.2 Lab2:手工配置个IAM用户和角色 169
6.2.1 实验概述 169
6.2.2 实验架构 169
6.2.3 实验步骤 169
6.2.4 实验总结 177
6.2.5 策略逻辑 177
6.2.6 策略示例 180
6.3 Lab3:手工创建个安全数据仓库账户 182
6.3.1 实验概述 182
6.3.2 实验架构 182
6.3.3 实验步骤 183
6.3.4 实验总结 187
6.4 Lab4:手工配置个安全静态网站 187
6.4.1 实验概述 187
6.4.2 实验架构 187
6.4.3 实验步骤 187
6.4.4 实验总结 194
6.5 Lab5:手工创建个安全运维堡垒机 194
6.5.1 实验概述 194
6.5.2 实验场景 194
6.5.3 实验架构 195
6.5.4 实验步骤 196
6.5.5 实验总结 203
6.6 Lab6:手工配置个安全开发环境 203
6.6.1 实验概述 203
6.6.2 实验场景 204
6.6.3 实验架构 204
6.6.4 实验步骤 204
6.6.5 实验总结 208
6.7 Lab7:自动部署IAM组、策略和角色 209
6.7.1 实验概述 209
6.7.2 实验架构 209
6.7.3 实验步骤 209
6.7.4 实验总结 219
6.8 Lab8:自动部署VPC安全网络架构 219
6.8.1 实验概述 219
6.8.2 实验架构 220
6.8.3 实验步骤 220
6.8.4 实验总结 224
6.9 Lab9:自动部署Web安全防护架构 224
6.9.1 实验概述 224
6.9.2 实验架构 224
6.9.3 实验步骤 225
6.9.4 实验总结 229
6.10 Lab10:自动部署云WAF防御架构 229
6.10.1 实验概述 229
6.10.2 实验目标 229
6.10.3 实验步骤 230
6.10.4 实验总结 234
第7章 云安全动手实验——提高篇 235
7.1 Lab1:设计IAM高级权限和精细策略 235
7.1.1 实验概述 235
7.1.2 实验场景 235
7.1.3 实验步骤 236
7.1.4 实验总结 248
7.2 Lab2:集成IAM标签细粒度访问控制 249
7.2.1 实验概述 249
7.2.2 实验条件 249
7.2.3 实验步骤 249
7.2.4 实验总结 266
7.3 Lab3:设计Web应用的Cognito身份验证 266
7.3.1 实验概述 266
7.3.2 实验场景 267
7.3.3 实验架构 267
7.3.4 实验步骤 269
7.3.5 实验总结 287
7.4 Lab4:设计VPC EndPoint安全访问策略 287
7.4.1 实验概述 287
7.4.2 实验架构 288
7.4.3 实验步骤 289
7.4.4 实验总结 318
7.5 Lab5:设计WAF高级Web防护策略 318
7.5.1 实验概述 318
7.5.2 实验工具 319
7.5.3 部署架构 319
7.5.4 实验步骤 320
7.5.5 实验总结 328
7.6 Lab6:设计SSM和Inspector漏洞扫描与加固 329
7.6.1 实验概述 329
7.6.2 实验步骤 329
7.7 Lab7:自动部署云上威胁智能检测 338
7.7.1 实验概述 338
7.7.2 实验条件 338
7.7.3 实验步骤 338
7.7.4 实践总结 342
7.8 Lab8:自动部署Config监控并修复S3合规性 343
7.8.1 实验概述 343
7.8.2 实验架构 343
7.8.3 实验步骤 344
7.8.4 实验总结 360
7.9 Lab9:自动部署云上漏洞修复与合规管理 360
7.9.1 实验模块1:使用Ansible与Systems Manager的合规性管理 360
7.9.2 实验模块2:监控与修复Windows的RDP漏洞 373
7.9.3 实验模块3:使用AWS Systems Manager和Config管理合规性 382
第8章 云安全动手实验——综合篇 390
8.1 Lab1:集成云上ACM私有CA数字证书体系 390
8.1.1 实验概述 390
8.1.2 实验架构 391
8.1.3 实验步骤 391
8.1.4 实验总结 430
8.2 Lab2:集成云上的安全事件监控和应急响应 431
8.2.1 实验概述 431
8.2.2 用户场景 431
8.2.3 部署架构 431
8.2.4 实验步骤 432
8.2.5 实验总结 456
8.3 Lab3:集成AWS的PCI-DSS安全合规性架构 457
8.3.1 实验概述 457
8.3.2 部署模板 458
8.3.3 实验架构 462
8.3.4 实验步骤 465
8.3.5 实验总结 475
8.4 Lab4:集成DevSecOps安全敏捷开发平台 475
8.4.1 实验概述 475
8.4.2 实验条件 476
8.4.3 实验步骤 476
8.4.4 实验总结 494
8.5 Lab5:集成AWS云上综合安全管理中心 494
8.5.1 实验概述 494
8.5.2 实验场景 494
8.5.3 实验条件 494
8.5.4 实验模块1:环境构建 495
8.5.5 实验模块2:安全中心视图 496
8.5.6 实验模块3:安全中心自定义 503
8.5.7 实验模块4:自定义处置与响应 512
8.5.8 实验模块5:自动化补救与响应 519
8.6 Lab6:AWS WA Labs动手实验 525
8.6.1 AWS WA Tool概念 525
8.6.2 AWS WA Tool作用 526
8.6.3 AWS WA Labs实验 527
8.6.4 AWS WA Tool使用 536
8.6.5 AWS WA Tool安全实践 536
第9章 云安全能力评估 543
9.1 云安全能力评估的原则 543
9.1.1 云安全能力的评估维度 543
9.1.2 安全能力等级要求 545
內容試閱 :
前 言
云计算产业的发展已经进入第二个十年,云计算作为一种基础设施已经开始大规模支持各行各业的发展。本书在参考软件工程的思想和NIST CSF(National Institute of Standards and Technology Cybersecurity Framework,美国国家标准与技术研究院网络安全框架)的基础上,将云计算安全能力建设对应到NIST CSF中,从云计算安全能力建设的角度由浅入深地总结云计算安全产业实践的基本常识、云安全能力构建的基础实验与云计算产业安全的综合实践。我们希望本书能够对云计算相关产业的安全能力建设起到参考作用。
本书编写原则:①少而精。只介绍与云安全相关的成熟的知识、技术、方法与实践。②自成逻辑。每个章节既可以自成体系,又可以作为本书的一部分来构成整体知识体系。③由浅入深,从入门到精通。在介绍基本原理的基础上,以云计算应用安全能力建设为主,重点介绍在云安全能力建设中的典型案例与实验。
本书共分为11章。
第1章介绍云安全的基础知识,包括云计算的基本定义、云计算的发展阶段、云安全的定义、云安全的理念与责任共担模型、云安全产业的发展,以及基于云计算的安全产品。
第2章介绍云安全相关的几种框架和体系,重点介绍NIST CSF和云采用框架(Cloud Adoption Framework,CAF),其他的安全体系作为补充简要介绍。
第3章介绍云安全治理模型,主要从战略的视角介绍如何选择云安全治理模型、如何构建云安全治理模型和如何实践云安全治理模型。其目的是为不同规模的用户提供自上而下的参考模型,为不同安全要求的用户提供可参考的云安全规划设计架构。
第4章介绍云安全的需求、规划、建设和实施路径。不同行业、不同规模的公司对云安全起点的要求是不一样的。为了更好地帮助用户选择适合自己的安全建设目标和路径,我们基于Security by Design (SbD)方法将用户的实际情况和发展方式进行了梳理,从而为用户提供可参考的、持续的云安全规划和建设路径。
第5章将云计算安全建设实践对应到NIST CSF框架中,以Amazon Web Services(本书中简称为AWS)云原生安全产品和服务为例,介绍在云计算安全建设实践中与NIST CSF对应的云安全识别能力、云安全保护能力、云安全检测能力、云安全响应能力和云安全恢复能力。
第6?8章为基础篇、提高篇和综合篇,分别介绍云安全综合能力建设的实践与实验。
第6章基础篇是云上基础安全实验,适合云安全初学者,主要目的是帮助初学者动手操作,快速学习云上基本的安全策略、安全功能和安全服务,并帮助读者学习配置自动部署云安全实验场景和安全实践。其包括10个基础实验:手工创建个根用户账户;手工配置个IAM用户和角色;手工创建个安全数据仓库账户;手工配置个安全静态网站;手工创建个安全运维堡垒机;手工配置个安全开发环境;自动部署IAM组、策略和角色;自动部署VPC安全网络架构;自动部署Web安全防护架构;自动部署云WAF防御架构。
第7章提高篇是云上安全进阶实验组,主要目的是帮助读者深入学习云上的安全服务和技术,深度体验云上安全能力的设计与实现。其包括9个提高实验:设计IAM高级权限和精细策略;集成IAM标签细粒度访问控制;设计Web应用的Cognito身份验证;设计VPC EndPoint安全访问策略;设计WAF高级Web防护策略;设计SSM和Inspector漏洞扫描与加固;自动部署云上威胁智能检测;自动部署Config监控并修复S3合规性;自动部署云上漏洞修复与合规管理。
第8章综合篇是云上安全综合实验组,主要目的是帮助读者全面进行自定义安全集成和综合复杂安全架构的设计与实现。其包括6个综合实验:集成云上ACM私有CA数字证书体系;集成云上的安全事件监控和应急响应;集成AWS的PCI-DSS安全合规性架构;集成DevSecOps安全敏捷开发平台;集成AWS云上综合安全管理中心; AWS Well-Architected Labs动手实验。
第9章介绍云安全能力评估。本章基于CAF和CSF模型,聚焦于指导企业评估采用云服务时应具备的安全能力,以及如何保证云上安全建设与主流云厂商的实践保持一致。本章从评估原则、范围、方法等角度出发,指导企业从实际出发评估云上安全能力,从实际出发制定自己的建设计划。
第10章以AWS的认证体系和竞训平台为例,帮助企业了解不同知识储备的员工可以通过哪些课程、认证和训练平台来培养、改进和提升云计算及云安全的技能。
第11章介绍云安全的发展趋势与云安全面临的挑战。
本书可以作为云计算相关行业从业者和具备基本计算机知识的学生,从入门到精通学习云安全实践的技术参考书。
云计算技术和安全技术发展得很快,本书的内容可能存在遗漏甚至错误的地方,恳请读者不吝批评指正。
本书得到了亚马逊AWS大中华区产品部总经理顾凡先生,亚马逊AWS大中华区市场部总经理邱胜先生,亚马逊AWS大中华区公共关系部门总监钟敏先生的大力支持。本书得到了电子工业出版社的大力支持,电子工业出版社编辑李淑丽女士为本书的出版做了大量的工作。
本书还得到了业界专家学者的评审和推荐,还有一些专家学者和朋友评阅了本书的初稿,在此一并致以诚挚的谢意。没有你们的支持就不可能有本书的顺利出版,谢谢你们!
后要感谢我的儿子。在家写稿的过程中,他常常站在我的身旁看我写作,并询问一些有关亚马逊在中国发展情况的问题,他也热切地期盼着本书的出版,他的关注给了我完成本书的动力。
王绍斌
2021年5月22日