新書推薦:
《
中国古代北方民族史丛书——东胡史
》
售價:NT$
576.0
《
巨人传(插图珍藏本)
》
售價:NT$
3289.0
《
地下(村上春树沙林毒气事件的长篇纪实)
》
售價:NT$
358.0
《
偿还:债务与财富的阴暗面
》
售價:NT$
374.0
《
清华大学藏战国竹简校释(壹):《命训》诸篇
》
售價:NT$
440.0
《
封建社会农民战争问题导论(光启文库)
》
售價:NT$
319.0
《
虚弱的反攻:开禧北伐
》
售價:NT$
429.0
《
中华内丹学典籍丛书:古书隐楼藏书汇校(上下)
》
售價:NT$
1199.0
|
| 編輯推薦: |
|
涵盖AWS的40多种云服务,深入讲解公有云安全的基础知识,并结合AWS的实际操作,每个章节都提供了详细的实例演示和操作步骤,配合图文并茂的实践内容,让读者深入了解AWS公共云的安全防范措施和应对策略。
|
| 內容簡介: |
本书是一本专门针对公有云安全的深入探讨的书籍。它根据公共云领域广为接受的“云计算安全责任共担模型”,简要介绍了公共云供应商如何确保云自身的安全,并重点阐述了客户如何负责云上应用的安全配置与管理。
本书共九章,内容涵盖了云计算安全基础、身份和访问管理、计算安全管理、网络安全管理、数据安全管理、应用安全管理、密钥与证书管理、监控、日志收集和审计,以及事件响应和恢复等多个方面。每章都深入浅出地讲解了相关的理论知识,并结合AWS的实际操作进行了详细的示例演示,使读者能够更好地理解和掌握公有云安全的实践技巧。
虽然市场上有多家公有云供应商,每家都有其独特的优势,但由于篇幅所限,本书的实践部分仅聚焦于AWS云。本书涵盖了AWS的40多种云服务,对其他公有云的安全管理也具有参考价值。
|
| 關於作者: |
陈涛,资深计算机专家,三十多年IT从业经验,曾主持过多项虚拟化、云计算、容灾及信息安全等大型项目的建设,在多行业拥有丰富的经验并得到客户认可。1997年开始讲授Microsoft、Linux、Oracle等1T认证课程,课程内容丰富充实,案例典型、贴近工作,深入浅出、感染力强的授课风格备受学员好评。长期分享技术微课,其中“笨办法学Linux”“AWS云计算实战”等系列影响较大,有九十多万人参加学习。清华大学出版社《虚拟化KVM极速入门》《虚拟化KVM进阶实践》《虚拟化与容器技术》等书籍作者。
陈庭暄,人工智能专家,德国慕尼黑工业大学数据工程与分析专业硕士,基于纯文本训练的外科手术动作解释项目的负责人,其主导研发的基于公共云分区隔离技术的学习实验平台,在中国高校计算机挑战赛决赛中获得“创新创意”和“创业价值”两个赛道的二等奖,该项目也被评选为河南省大学生创新重点项目。
|
| 目錄:
|
第1章云计算安全基础1
1.1信息安全基础1
1.1.1云计算的优势和挑战1
1.1.2公有云的特点和服务模型2
1.1.3信息安全的基本概念3
1.2主要攻击类型4
1.2.1针对云环境的常见攻击类型4
1.2.2防止和应对攻击的策略和工具5
1.3安全框架和风险管理6
1.3.1AWS云采用框架6
1.3.2AWS架构完善的框架7
1.3.3NIST网络安全框架9
1.3.4风险评估与管理12
1.4责任共担模型13
1.5公有云的安全考虑与最佳实践14
1.6本章小结15
第2章身份和访问管理(77min)16
2.1身份和访问管理基础16
2.1.1与AWS交互访问的流程16
2.1.2通过签名保护API18
2.2AWS账户中的根用户和用户凭证18
2.2.1AWS账户根用户与IAM用户18
2.2.2保护AWS账户根用户19
2.2.3用户访问密钥19
2.2.4访问密钥的保护20
2.3AWS多因素身份验证21
2.3.1MFA基本工作原理21
2.3.2AWS支持的MFA设备22
2.3.3用于AWS CLI的MFA23
2.3.4用于AWS API的MFA24
2.4联合身份验证概述25
2.5AWS SSO服务26
2.6AWS Microsoft AD服务27
2.6.1AWS Microsoft AD服务的类型27
2.6.2AWS Microsoft AD服务的案例28
2.7AWS Organizations服务30
2.7.1单账户与多账户30
2.7.2AWS Organizations概述31
2.7.3AWS Organizations的安全优势31
2.7.4AWS Organizations的基本操作32
2.7.5AWS Organizations的架构32
2.7.6AWS Organizations的服务控制策略33
2.8策略与权限管理34
2.8.1术语与基本原理34
2.8.2策略的类型36
2.8.3JSON格式的策略38
2.8.4策略的评估流程42
2.8.5通过用户组简化权限管理49
2.8.6通过角色简化权限管理49
2.9IAM访问分析器56
2.10本章小结57
第3章计算安全管理(48min)58
3.1EC2实例安全访问管理58
3.1.1使用IAM控制访问权限58
3.1.2使用SSH和RDP连接到实例62
3.1.3使用安全组控制网络流量63
3.2密钥对管理65
3.2.1密钥对的基本使用66
3.2.2密钥对的保护和备份66
3.2.3轮换和重置密钥对67
3.3AMI管理68
3.3.1AMI的安全性与合规性 68
3.3.2构建自定义的AMI69
3.4使用AWS Systems Manager管理实例72
3.4.1AWS Systems Manager简介72
3.4.2执行常见的安全管理任务74
3.4.3收集和监控实例信息76
3.5使用Amazon Inspector管理实例77
3.5.1Amazon Inspector简介77
3.5.2Amazon Inspector技术概念 78
3.5.3Amazon Inspector使用案例 82
3.6EC2实例安全管理最佳实践85
3.6.1遵循最小权限原则85
3.6.2定期更新和轮换密钥对87
3.6.3定期更新并修复操作系统和应用程序漏洞88
3.6.4利用加密技术保护数据89
3.7容器安全90
3.7.1AWS容器服务简介90
3.7.2AWS容器映像安全92
3.7.3AWS容器和任务的安全93
3.8本章小结95
第4章网络安全管理(124min)96
4.1采用纵深防御策略进行网络安全管理96
4.2AWS VPC基础97
4.2.1VPC概述98
4.2.2VPC的安全性100
4.3互联网网关100
4.4NAT设备102
4.4.1公有连接类型的NAT网关103
4.4.2私有连接类型的NAT网关104
4.4.3NAT网关的安全性105
4.5网络访问控制列表105
4.5.1NACL概述105
4.5.2NACL排错案例107
4.6负载均衡器109
4.6.1负载均衡器概述110
4.6.2ELB的安全优势110
4.6.3ELB的应用场景111
4.6.4ELB的选型112
4.7VPC对等连接、终端节点和私有链接114
4.7.1VPC对等连接114
4.7.2VPC的网关终端节点115
4.7.3VPC的接口终端节点与私有链接122
4.7.4VPC的网关负载均衡器终端节点125
4.8VPC流量镜像127
4.8.1网络流量监控和分析概述127
4.8.2VPC流量镜像概述128
4.8.3VPC流量镜像的应用场景129
4.9AWS VPN服务130
4.9.1AWS站点到站点VPN130
4.9.2AWS客户端VPN131
4.10AWS Route 53服务132
4.10.1AWS域名解析概述132
4.10.2AWS Route 53的托管区域134
4.10.3AWS Route 53的安全134
4.11AWS CloudFront服务136
4.11.1AWS CloudFront服务概述136
4.11.2限制AWS CloudFront源服务器与边缘站点的访问138
4.11.3AWS CloudFront 访问日志139
4.11.4AWS CloudFront安全解决方案140
4.12AWS Network Firewall服务143
4.12.1AWS Network Firewall的工作原理143
4.12.2AWS Network Firewall架构145
4.12.3AWS Network Firewall应用案例147
4.13AWS Firewall Manager服务150
4.14本章小结150
第5章数据安全管理(96min)151
5.1Amazon S3的保护151
5.1.1加密过程概述151
5.1.2Amazon S3服务器端加密153
5.1.3Amazon S3资源保护156
5.1.4Amazon S3访问分析器159
5.1.5Amazon S3访问点160
5.1.6Amazon S3跨源资源共享161
5.1.7Amazon S3 Glacier167
5.1.8文件库锁定168
5.2Amazon RDS的保护169
5.2.1网络隔离169
5.2.2访问控制选项169
5.2.3数据保护170
5.3Amazon DynamoDB的保护171
5.3.1Amazon DynamoDB简介171
5.3.2访问权限控制171
5.3.3数据保护概述172
5.4数据库的跨区域加密174
5.5EBS卷的保护175
5.5.1EBS卷访问控制175
5.5.2EBS卷加密176
5.5.3EBS卷数据删除179
5.6数据备份与恢复179
5.6.1数据备份与恢复概述180
5.6.2AWS数据保护产品概述181
5.6.3AWS Backup支持的服务182
5.6.4AWS Backup使用概述185
5.6.5AWS Backup与勒索软件攻击缓解187
5.7Amazon Macie服务187
5.7.1Amazon Macie服务概述188
5.7.2Amazon Macie服务的案例190
5.8本章小结192
第6章应用安全管理(90min)193
6.1应用开发与安全概述193
6.1.1设计阶段194
6.1.2编码阶段194
6.1.3测试阶段195
6.1.4发布阶段195
6.1.5运行阶段195
6.1.6维护阶段195
6.1.7废弃阶段196
6.2AWS WAF服务196
6.2.1AWS WAF的基本概念和功能196
6.2.2AWS WAF的管理与配置197
6.2.3AWS WAF的案例199
6.3AWS Shield服务200
6.3.1AWS Shield的基本概念和版本200
6.3.2实时指标和报告202
6.4DDoS缓解203
6.4.1拒绝服务威胁203
6.4.2DDoS缓解方法205
6.4.3DDoS攻击缓解的案例206
6.5无服务器与安全性209
6.6Amazon Cognito服务210
6.6.1Amazon Cognito概述210
6.6.2Amazon Cognito用户池211
6.6.3Amazon Cognito身份池214
6.6.4Amazon Cognito案例216
6.7Amazon API Gateway服务217
6.7.1Amazon API Gateway概述217
6.7.2Amazon API Gateway的访问控制218
6.7.3Amazon API Gateway的安全性220
6.8AWS Lambda 函数220
6.8.1AWS Lambda函数概述221
6.8.2AWS Lambda函数的权限222
6.8.3AWS Lambda函数的角色223
6.8.4AWS Lambda函数的监控225
6.9本章小结225
第7章密钥与证书管理(45min)226
7.1AWS KMS服务226
7.1.1AWS KMS概述226
7.1.2AWS KMS的工作原理227
7.1.3AWS KMS密钥管理228
7.1.4AWS KMS的案例233
7.2AWS Secrets Manager服务234
7.2.1密钥管理的挑战234
7.2.2AWS Secrets Manager概述235
7.2.3AWS Secrets Manager的案例236
7.2.4密钥的轮换237
7.2.5密钥安全管理237
7.2.6AWS Secrets Manager与SSM ParameterStore239
7.3AWS证书服务240
7.3.1公钥基础设施概述240
7.3.2AWS Certificate Manager服务243
7.3.3AWS Private CA服务245
7.4AWS CloudHSM服务246
7.4.1HSM简介246
7.4.2AWS CloudHSM概述247
7.4.3AWS CloudHSM的架构248
7.4.4AWS CloudHSM与AWS KMS的结合使用249
7.5本章小结250
第8章监控、日志收集和审计(50min)251
8.1Amazon CloudWatch服务概述251
8.2Amazon CloudWatch服务的警报功能252
8.2.1CloudWatch警告功能概述252
8.2.2CloudWatch警告功能的案例256
8.3Amazon CloudWatch日志功能256
8.3.1CloudWatch日志功能概述257
8.3.2CloudWatch日志功能的配置259
8.3.3CloudWatch日志功能的案例261
8.4Amazon EventBridge服务262
8.4.1Amazon EventBridge服务概述262
8.4.2Amazon EventBridge服务的组件263
8.4.3Amazon EventBridge服务的案例264
8.5AWS CloudTrail服务267
8.5.1AWS CloudTrail服务概述268
8.5.2AWS CloudTrail服务的基本概念269
8.5.3AWS CloudTrail服务的事件历史记录功能270
8.5.4AWS CloudTrail Trails功能简介274
8.5.5AWS CloudTrail Trails功能的基本概念275
8.5.6AWS CloudTrail Trails功能的应用场景277
8.5.7AWS CloudTrail Lake功能简介278
8.5.8AWS CloudTrail Lake功能的基本概念280
8.5.9AWS CloudTrail Lake功能的应用场景281
8.6AWS Config服务282
8.6.1AWS Config服务概述282
8.6.2AWS Config服务的组件284
8.6.3AWS Config服务的案例286
8.7AWS Systems Manager服务287
8.8VPC流日志287
8.8.1VPC流日志概述287
8.8.2VPC流日志的配置288
8.8.3VPC流日志的格式289
8.8.4VPC流日志的应用场景290
8.9负载均衡器访问日志291
8.9.1负载均衡器访问日志概述291
8.9.2负载均衡器访问日志的配置与应用292
8.9.3负载均衡器访问日志的应用场景293
8.10S3访问日志293
8.10.1S3日志记录简介293
8.10.2服务器访问日志记录使用295
8.10.3AWS CloudTrail日志记录使用296
8.10.4服务器访问日志与CloudTrail日志的比较297
8.11Amazon Macie服务298
8.11.1Amazon Macie服务概述298
8.11.2Amazon Macie服务的组件300
8.11.3Amazon Macie服务的案例302
8.12其他高级服务302
8.13本章小结303
第9章事件响应和恢复(24min)304
9.1事件响应成熟度模型304
9.2安全事件的响应流程305
9.3AWS Trusted Advisor服务306
9.3.1AWS Trusted Advisor服务概述306
9.3.2AWS Trusted Advisor在安全方面的应用307
9.3.3AWS Trusted Advisor服务的案例308
9.4AWS Security Hub服务309
9.4.1AWS Security Hub服务概述309
9.4.2AWS Security Hub服务的使用310
9.4.3AWS Security Hub服务的案例311
9.5AWS GuardDuty服务313
9.5.1AWS GuardDuty服务概述313
9.5.2AWS GuardDuty服务的检测结果314
9.5.3AWS GuardDuty服务案例315
9.6AWS Detective服务317
9.6.1AWS Detective服务概述317
9.6.2AWS Detective服务的检测结果319
9.6.3AWS Detective服务的案例319
9.7AWS Incident Manager服务320
9.8安全管理自动化321
9.8.1安全管理自动化的概念和意义321
9.8.2安全管理自动化的主要内容322
9.8.3AWS的安全管理自动化的服务和工具323
9.9AWS事件响应最佳实践324
9.10本章小结325
|
| 內容試閱:
|
本书的由来
在2013年,我们的团队开始研究公有云技术,并主要为客户提供公有云和混合云的解决方案。那时,许多企业误认为公有云的安全性不如私有云,并且成本较高,因此他们通常只会选择将对外宣传的网站部署在公有云上。为了打破这种观念,我们选择从提供替代传统“二地三中心”方案的角度切入市场。我们建议保留生产中心和同城中心不变,而将远程灾难恢复中心迁移到公有云,这样可以大幅降低成本。
随着政府的推动和企业对云计算理解的深入,越来越多的企业开始尝试将核心业务迁移到公有云,使公有云得到了更广泛的应用。公有云市场已经进入成熟期,竞争格局逐渐明朗,市场份额集中度逐步提升。同时,公有云的应用价值也得到了大多数企业客户的认可和重视。
传统数据中心的安全系统建设是“重投入”型的项目,需要投入大量的资金用于防火墙、防DDoS、入侵检测、防注入、漏洞扫描、补丁管理、日志管理等,对于中小企业来讲,资金压力很大。公有云的按需使用和即时获取特性可以大大地降低成本。除了资金投入之外,公有云安全管理与私有云安全管理也存在很大的差异。
我们团队一直想总结并分享公有云安全实践的心得和经验,但市场上有多家公有云供应商,每家都有其独特的优势,由于篇幅所限,我们无法面面俱到,然而,我们决定撰写这本书的一个契机是希望帮助学校培养学生参加世界技能大赛和中华人民共和国职业技能大赛中的云计算赛项,这两个赛项都采用了AWS云,因此,我们撰写了这本涵盖AWS的40多种云服务的《公有云安全实践(AWS版·微课视频版)》。由于许多公有云厂商的技术原理相似,因此本书对公有云的安全管理也具有参考价值。
本书的内容
本书共9章,是一本全面的公有云计算安全实践指南,需要读者有一定的云计算的基础知识。
第1章云计算安全基础: 介绍信息安全的基础知识,主要的攻击类型,安全框架和风险管理,公有云的安全责任共担模型,以及公有云的安全考虑和最佳实践。
第2章身份和访问管理: 详细讲解AWS的身份和访问管理,包括根用户和用户凭证,多因素身份验证,联合身份验证,以及各种AWS服务,如SSO、Microsoft AD、Organizations等。
第3章计算安全管理: 深入探讨EC2实例的安全访问管理、密钥对管理、AMI管理,以及使用AWS Systems Manager和Amazon Inspector进行实例管理。
第4章网络安全管理: 详细介绍采用纵深防御策略进行网络安全管理,AWS VPC的基础知识,以及各种网络设备和服务,如互联网网关、NAT设备、网络访问控制列表、负载均衡器等。
第5章数据安全管理: 讲解如何保护Amazon S3、Amazon RDS、Amazon DynamoDB等数据存储服务,以及数据库的跨区域加密、EBS卷的保护、数据备份与恢复等。
第6章应用安全管理: 介绍应用开发与安全、AWS WAF服务、AWS Shield服务、DDoS缓解、无服务器与安全性,以及各种AWS服务,如Amazon Cognito、Amazon API Gateway、AWS Lambda函数等。
第7章密钥与证书管理: 详细讲解AWS KMS服务、AWS Secrets Manager服务、AWS证书服务,以及AWS CloudHSM服务。
第8章监控、日志收集和审计: 深入探讨Amazon CloudWatch服务、Amazon EventBridge服务、AWS CloudTrail服务、AWS Config服务,以及各种日志功能和服务。
第9章事件响应和恢复: 介绍事件响应成熟度模型,安全事件的响应流程,以及各种AWS服务,如AWS Trusted Advisor、AWS Security Hub、AWS GuardDuty、AWS Detective、AWS Incident Manager等。
资源下载提示
素材(教学课件、实验文件)等资源: 扫描目录上方的二维码下载。
视频等资源: 扫描封底的文泉云盘防盗码,再扫描书中相应章节的二维码,可以在线学习。
致谢
在本书的编写过程中,笔者参考了AWS官方的产品文档和AWS安全博客,在此向这些作者致敬。
感谢AWS的技术支持团队及教育培训团队的大力支持。
感谢清华大学出版社的工作人员为本书付出的辛勤劳动。
由于云计算技术的发展速度非常快,而笔者的能力有限,因此书中可能存在一些疏漏,诚挚地欢迎读者提出批评和建议,以帮助完善本书。
陈涛陈庭暄2024年1月
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
