- 云计算安全实践:从入门到精通
- 王绍斌等编著
- 2179字
- 2021-08-13 18:50:48
前言
2019年11月,电子工业出版社李淑丽编辑向我约稿,希望我能写一本指导云计算相关公司构建云计算安全能力的书,于是有了本书。上一次与电子工业出版社合作出版《信息系统攻击与防御》还是在2007年,转眼14年过去了。感谢李淑丽编辑让我和电子工业出版社能够再续前缘,希望以后能够基于兴趣继续和电子工业出版社合作出版好书。
云计算产业的发展已经进入第二个十年,云计算作为一种基础设施已经开始大规模支持各行各业的发展。本书在参考软件工程的思想和NIST CSF(National Institute of Standards and Technology Cybersecurity Framework,美国国家标准与技术研究院网络安全框架)的基础上,将云计算安全能力建设对应到NIST CSF中,从云计算安全能力建设的角度由浅入深地总结云计算安全产业实践的基本常识、云安全能力构建的基础实验与云计算产业安全的综合实践。我们希望本书能够对云计算相关产业的安全能力建设起到参考作用。
本书编写原则:①少而精。只介绍与云安全相关的成熟的知识、技术、方法与实践。②自成逻辑。每个章节既可以自成体系,又可以作为本书的一部分来构成整体知识体系。③由浅入深,从入门到精通。在介绍基本原理的基础上,以云计算应用安全能力建设为主,重点介绍在云安全能力建设中的典型案例与实验。
本书共分为11章。
第1章介绍云安全的基础知识,包括云计算的基本定义、云计算的发展阶段、云安全的定义、云安全的理念与责任共担模型、云安全产业的发展,以及基于云计算的安全产品。
第2章介绍云安全相关的几种框架和体系,重点介绍 NIST CSF 和云采用框架(Cloud Adoption Framework,CAF),其他的安全体系作为补充简要介绍。
第3章介绍云安全治理模型,主要从战略的视角介绍如何选择云安全治理模型、如何构建云安全治理模型和如何实践云安全治理模型。其目的是为不同规模的用户提供自上而下的参考模型,为不同安全要求的用户提供可参考的云安全规划设计架构。
第4章介绍云安全的需求、规划、建设和实施路径。不同行业、不同规模的公司对云安全起点的要求是不一样的。为了更好地帮助用户选择适合自己的安全建设目标和路径,我们基于Security by Design (SbD)方法将用户的实际情况和发展方式进行了梳理,从而为用户提供可参考的、持续的云安全规划和建设路径。
第5章将云计算安全建设实践对应到NIST CSF框架中,以Amazon Web Services(本书中简称为AWS)云原生安全产品和服务为例,介绍在云计算安全建设实践中与NIST CSF对应的云安全识别能力、云安全保护能力、云安全检测能力、云安全响应能力和云安全恢复能力。
第6~8章为基础篇、提高篇和综合篇,分别介绍云安全综合能力建设的实践与实验。
第6章基础篇是云上基础安全实验,适合云安全初学者,主要目的是帮助初学者动手操作,快速学习云上基本的安全策略、安全功能和安全服务,并帮助读者学习配置自动部署云安全实验场景和安全最佳实践。其包括10个基础实验:手工创建第一个根用户账户;手工配置第一个IAM用户和角色;手工创建第一个安全数据仓库账户;手工配置第一个安全静态网站;手工创建第一个安全运维堡垒机;手工配置第一个安全开发环境;自动部署IAM组、策略和角色;自动部署VPC安全网络架构;自动部署Web安全防护架构;自动部署云WAF防御架构。
第7章提高篇是云上安全进阶实验组,主要目的是帮助读者深入学习云上的安全服务和技术,深度体验云上安全能力的设计与实现。其包括9个提高实验:设计IAM高级权限和精细策略;集成 IAM 标签细粒度访问控制;设计 Web 应用的 Cognito 身份验证;设计 VPC EndPoint安全访问策略;设计WAF高级Web防护策略;设计SSM和Inspector漏洞扫描与加固;自动部署云上威胁智能检测;自动部署 Config 监控并修复S3合规性;自动部署云上漏洞修复与合规管理。
第8章综合篇是云上安全综合实验组,主要目的是帮助读者全面进行自定义安全集成和综合复杂安全架构的设计与实现。其包括6个综合实验:集成云上ACM私有CA数字证书体系;集成云上的安全事件监控和应急响应;集成 AWS 的 PCI-DSS 安全合规性架构;集成DevSecOps 安全敏捷开发平台;集成 AWS 云上综合安全管理中心;AWS Well-Architected Labs动手实验。
第9章介绍云安全能力评估。本章基于CAF和CSF模型,聚焦于指导企业评估采用云服务时应具备的安全能力,以及如何保证云上安全建设与主流云厂商的最佳实践保持一致。本章从评估原则、范围、方法等角度出发,指导企业从实际出发评估云上安全能力,从实际出发制定自己的建设计划。
第10章以AWS的认证体系和竞训平台为例,帮助企业了解不同知识储备的员工可以通过哪些课程、认证和训练平台来培养、改进和提升云计算及云安全的技能。
第11章介绍云安全的发展趋势与云安全面临的挑战。
本书可以作为云计算相关行业从业者和具备基本计算机知识的学生,从入门到精通学习云安全实践的技术参考书。
云计算技术和安全技术发展得很快,本书的内容可能存在遗漏甚至错误的地方,恳请读者不吝批评指正。
本书得到了亚马逊AWS大中华区产品部总经理顾凡先生,亚马逊AWS大中华区市场部总经理邱胜先生,亚马逊AWS大中华区公共关系部门总监钟敏先生的大力支持。本书得到了电子工业出版社的大力支持,电子工业出版社编辑李淑丽女士为本书的出版做了大量的工作。
本书还得到了业界专家学者的评审和推荐,还有一些专家学者和朋友评阅了本书的初稿,在此一并致以诚挚的谢意。没有你们的支持就不可能有本书的顺利出版,谢谢你们!
最后要感谢我的儿子。在家写稿的过程中,他常常站在我的身旁看我写作,并询问一些有关亚马逊在中国发展情况的问题,他也热切地期盼着本书的出版,他的关注给了我完成本书的动力。
王绍斌
2021年5月22日