- 一本书讲透混合云安全
- (加)尚红林
- 2668字
- 2024-10-18 17:06:20
Preface
前言
为什么要写这本书
自从20多年前开始从事政企IT软件工作以来,我深刻地了解到国内外软件行业的差异。国内软件往往由甲方驱动,存在较多的碎片化问题,边界常常按照组织架构来划分;国外软件往往由乙方驱动,投入较大,相比于国内软件,甲乙双方各司其职,接口开放,可以实现产品间的协同联动。
安全永远是对抗状态下的安全。在2022年卡塔尔足球世界杯上,我们欣赏了明星球员的个人能力和球队整体的精彩配合。同样,在安全领域也有“明星球员”,态势感知(SA)、安全信息和事件管理(SIEM)系统、安全运营中心(SOC)、安全编排自动化与响应(SOAR)平台等关键技术就是安全方案的中场核心,是安全领域的“明星球员”。
面对攻击,我们需要从多个维度进行评估。防火墙、Web应用防火墙(WAF)、主机入侵检测系统(HIDS)、终端检测与响应(EDR)系统等在安全整体布局和联防联控中仍起着重要的作用。因此,在庞杂的产品环境中,要实现这些网络安全设备的融合,理解业务流程,掌握网络安全知识,熟悉攻防技术,不能寄希望于仅仅依赖设备本身来抵御和发现所有的网络攻击。
我看过不少书,也聆听过众多演讲,常常对看到、听到的新知识叹为观止。然而,大部分知识是零散的。我日常接触到的网络安全产品推荐、工具用法及攻击过程等方面的内容,全面的理论指导和实践类的作品较多。拿一个“猫如何快速吃到鱼”的迷宫游戏(见图1)来类比,初学者面临的网络世界何尝不是如此,所有的网络流量大致可以归纳为不同角色的主体(图1中的狗、老鼠和猫可以类比为用户、黑客和管理员),他们去访问不同类型的客体(图1中的鱼、骨头和奶酪可以类比为文件、数据和接口)。图1左图看起来还不算复杂,那么图1右图中的猫该如何去找鱼呢?
图1 迷宫游戏
在网络空间中,这个问题更为复杂,路径真实存在,但是大家看不见、摸不着。平时工作很忙,将众多乙方的产品无缝融入甲方现有的IT基础设施,并且传递安全知识给新来的同事是非常困难的事。作为一个有安全创业经历及多年软件开发经验的从业者,我骨子里是看到问题就想解决问题,因此,我有一种去做点什么的迫切冲动。开发一款软件来解决这个问题是一个过于宏大的话题,To B产品非几十上百人的团队不敢想;写书是切实可行的。坐而言不如起而行,这就是本书诞生的背景。
读者对象
本书适合以下读者阅读:
◆ 初入网络安全行业的安全运维和安全服务人员;
◆ 网络安全相关专业的教师和学生;
◆ 政府和企事业单位的安全架构师、CIO和CSO。
本书特色
本书旨在基于实战经验,以图解的方式介绍组织需要考虑的典型信息安全工作。除了强调利用云原生应用保护平台(CNAPP)、云安全态势管理(CSPM)、SOC和SIEM系统等有能力处理海量数据的安全平台来弥补传统的安全产品单兵作战能力的不足,本书还试图通过一张图将IT团队内部的信息安全与研发、运维、测试、应急等需要密切协作的部门聚焦起来(见图2),以实现更好的跨团队协同作战。
安全攻防如同行军打仗。通过城防大图,可以看到一个组织需要关注的不仅有网络通信安全,还有很多作为基础的专业安全设备,覆盖网站安全、办公安全、开发安全、依法合规等。总之,梳理出攻击链路后的挂图作战能促进基于上下文的纵深防御,看清有无漏洞、风险及攻击,显著提升人员效能等。
广度是深度的副产品。在我的印象中,混合云安全的相关知识点非常多。本书强调结构化思维,力求做到以下三点。
◆ 力求图解:利用图表、流程图和示意图来辅助解释复杂的安全概念,先整体再局部,展示影响网站的方方面面,而不是专注在WAF,一头扎进细节而管中窥豹。
◆ 力求全面:这恐怕是市面上最全的一本介绍混合云安全产品和服务的书了;除了安全产品和技术,本书介绍了人才的安全运营和依法合规,避免顾此失彼。
◆ 力求实践:根据我多年来积累的安全工作经验,尤其是防守方视角的经验,推荐最佳实践来提升混合云环境的安全性。从蠕虫勒索防御到云上访问密钥(Access Key,AK)泄露,你都可以从本书中找到最新的知识与实践,避免成为眼高手低的“理论家”。
图2 跨团队协作
我常常在想:假如我有一天成为一个组织的首席安全官(CSO),我的工作应当从哪里开始?如何组建一支由安全分析师、安全工程师和安全运营人员组成的有力团队,以确保组织的混合云环境能及时检测风险和应对威胁?希望本书在回答我这个问题的同时,也能给读者带来裨益。
如何阅读本书
本书章节组织如下。
第1章:网络安全 详细介绍了网络安全的重要概念和策略,涵盖纵深防御、红蓝对抗和业务CIA原则等关键内容。
第2章:业务安全 介绍了业务与安全的关系,即业务的发展与安全相互促进,重点讲述业务的支撑体系及对应的安全措施。
第3章:团队建设 网络安全技术更新非常迅速,网络安全人才需要不断更新自己的知识技能。本章关注的是安全从业人员的成长,重点关注攻击方、防守方、厂商和监管机构对安全人才的培养,以人为本。
第4章:网络边界安全IP边界仍然是重要的安全手段。本章以典型的金融机构混合云为例,介绍网络环境的安全问题,即传统数据中心、私有云和公有云中网络联通能力的安全性要求与挑战,重点讲述网络设备以及配套的安全手段与措施。
第5章:基础计算环境安全 主要介绍数据中心、公有云和私有云中计算能力的安全性要求与挑战,重点介绍主机和存储设备的安全措施。
第6章:网站安全 主要介绍网站及API安全问题,即传统的内部办公类网站和公有云上的互联网业务网站的安全性要求与挑战,重点介绍南北向攻击的安全防御。
第7章:办公安全 主要涉及传统数据中心、私有云和公有云中办公、运维和开发人员的安全性要求与挑战,重点介绍办公设备及配套安全产品。
第8章:数据安全 主要介绍传统数据中心、私有云和公有云中数据流转的安全性要求与挑战,重点介绍关系和非关系数据库及配套的安全手段与措施。
第9章:混合云安全 主要介绍将传统数据中心与公有云相结合以协同提供服务所面临的安全需求与挑战,重点关注公有云上独特的安全技术和方法。
第10章:安全运营 主要介绍如何将人才与工具结合来应对提供高质量安全服务的挑战,重点关注在安全运营协同联动方面的一些手段和措施。
第11章:内控合规 主要介绍在日常的安全运营中,如何同时应对来自方方面面的合规挑战,重点针对等级保护、密码测评、关键基础设施等提出的合规要求。
勘误和支持
由于作者水平有限,书中难免会出现一些错误或者不准确的地方,欢迎读者批评指正。我的联系邮箱是rodgun@qq.com,微信公众号是cloudraise。
致谢
感谢我的家人、同事、朋友给予的各种支持,没有他们的关心、鼓励和帮助,我无法熬过那些写作本书的日日夜夜。
谨以此书献给我爱与爱我的人。为人子,为人夫,为人父,平时都有很多陪伴上的缺失,希望本书能带给他们些许弥补。