云安全原理與實(shí)踐

叢書(shū)序言
本書(shū)編委會(huì)
序
前言
第一部分　云安全基礎(chǔ)
第1章　云計(jì)算基礎(chǔ) 2
1.1　云計(jì)算的發(fā)展歷程 2
1.1.1　云計(jì)算的起源與發(fā)展 3
1.1.2　云計(jì)算的主要廠商與社區(qū) 6
1.2　云計(jì)算的基本概念 6
1.2.1　云計(jì)算的定義與術(shù)語(yǔ) 6
1.2.2　云計(jì)算的主要特性 7
1.2.3　服務(wù)模式 8
1.2.4　部署模式 10
1.3　云計(jì)算的應(yīng)用案例 13
1.3.1　政府部門 13
1.3.2　金融行業(yè) 14
1.3.3　醫(yī)藥行業(yè) 15
1.3.4　12306網(wǎng)站 15
1.4　小結(jié) 15
1.5　參考文獻(xiàn)與進(jìn)一步閱讀 16
第2章　云計(jì)算安全風(fēng)險(xiǎn)分析 17
2.1　云計(jì)算面臨的技術(shù)風(fēng)險(xiǎn) 17
2.1.1　物理與環(huán)境安全風(fēng)險(xiǎn) 17
2.1.2　主機(jī)安全風(fēng)險(xiǎn) 18
2.1.3　虛擬化安全風(fēng)險(xiǎn) 18
2.1.4　網(wǎng)絡(luò)安全風(fēng)險(xiǎn) 19
2.1.5　安全漏洞 20
2.1.6　數(shù)據(jù)安全風(fēng)險(xiǎn) 22
2.1.7　加密與密鑰風(fēng)險(xiǎn) 24
2.1.8　API安全風(fēng)險(xiǎn) 24
2.1.9　安全風(fēng)險(xiǎn)案例分析 26
2.2　云計(jì)算面臨的管理風(fēng)險(xiǎn) 27
2.2.1　組織與策略風(fēng)險(xiǎn) 27
2.2.2　數(shù)據(jù)歸屬不清晰 28
2.2.3　安全邊界不清晰 29
2.2.4　內(nèi)部竊密 29
2.2.5　權(quán)限管理混亂 29
2.3　云計(jì)算面臨的法律法規(guī)風(fēng)險(xiǎn) 29
2.3.1　數(shù)據(jù)跨境流動(dòng) 29
2.3.2　集體訴訟 31
2.3.3　個(gè)人隱私保護(hù)不當(dāng) 31
2.4　云計(jì)算安全設(shè)計(jì)原則 32
2.4.1　最小特權(quán) 33
2.4.2　職責(zé)分離 33
2.4.3　縱深防御 33
2.4.4　防御單元解耦 35
2.4.5　面向失效的安全設(shè)計(jì) 35
2.4.6　回溯和審計(jì) 35
2.4.7　安全數(shù)據(jù)標(biāo)準(zhǔn)化 36
2.5　小結(jié) 36
2.6　參考文獻(xiàn)與進(jìn)一步閱讀 36
第二部分 云計(jì)算服務(wù)的安全能力與運(yùn)維
第3章　主機(jī)虛擬化安全 38
3.1　主機(jī)虛擬化技術(shù)概述 38
3.1.1　主機(jī)虛擬化的概念 38
3.1.2　主機(jī)虛擬化實(shí)現(xiàn)方案 39
3.1.3　主機(jī)虛擬化的特性 41
3.1.4　主機(jī)虛擬化的關(guān)鍵技術(shù) 42
3.1.5　主機(jī)虛擬化的優(yōu)勢(shì) 47
3.1.6　主機(jī)虛擬化上機(jī)實(shí)踐 50
3.2　主機(jī)虛擬化的主要安全威脅 60
3.2.1　虛擬機(jī)信息竊取和篡改 62
3.2.2　虛擬機(jī)逃逸 62
3.2.3　Rootkit攻擊 63
3.2.4　分布式拒絕服務(wù)攻擊 64
3.2.5　側(cè)信道攻擊 64
3.3　主機(jī)虛擬化安全的解決方案 64
3.3.1　虛擬化安全防御架構(gòu) 65
3.3.2　宿主機(jī)安全機(jī)制 65
3.3.3　Hypervisor安全機(jī)制 66
3.3.4　虛擬機(jī)隔離機(jī)制 68
3.3.5　虛擬可信計(jì)算技術(shù) 69
3.3.6　虛擬機(jī)安全監(jiān)控 73
3.3.7　虛擬機(jī)自省技術(shù) 75
3.3.8　主機(jī)虛擬化安全最佳實(shí)踐 77
3.4　小結(jié) 82
3.5　參考文獻(xiàn)與進(jìn)一步閱讀 82
第4章　網(wǎng)絡(luò)虛擬化安全 84
4.1　網(wǎng)絡(luò)虛擬化技術(shù)概述 84
4.1.1傳統(tǒng)網(wǎng)絡(luò)虛擬化技術(shù)——VLAN 84
4.1.2　云環(huán)境下的網(wǎng)絡(luò)虛擬化技術(shù) 85
4.1.3　軟件定義網(wǎng)絡(luò)與OpenFlow 89
4.1.4IaaS環(huán)境下網(wǎng)絡(luò)安全域的劃分與構(gòu)建 91
4.2　虛擬網(wǎng)絡(luò)安全分析 93
4.2.1　網(wǎng)絡(luò)虛擬化面臨的安全問(wèn)題 93
4.2.2　SDN面臨的安全威脅 95
4.3　VPC 95
4.3.1　VPC的概念 95
4.3.2　VPC的應(yīng)用 96
4.4網(wǎng)絡(luò)功能虛擬化與安全服務(wù)接入 103
4.4.1　網(wǎng)絡(luò)功能虛擬化 103
4.4.2　云環(huán)境中的安全服務(wù)接入 105
4.4.3　安全服務(wù)最佳實(shí)踐 108
4.5　小結(jié) 111
4.6　參考文獻(xiàn)與進(jìn)一步閱讀 111
第5章　身份管理與訪問(wèn)控制 113
5.1　身份管理 113
5.1.1　基本概念 113
5.1.2　云計(jì)算中的認(rèn)證場(chǎng)景 117
5.1.3基于阿里云的身份管理最佳實(shí)踐 121
5.2　授權(quán)管理 123
5.2.1　基本概念 123
5.2.2　典型訪問(wèn)控制機(jī)制 126
5.2.3　云計(jì)算中典型的授權(quán)場(chǎng)景 129
5.2.4基于阿里云RAM的權(quán)限管理實(shí)踐 132
5.3　小結(jié) 137
5.4　參考文獻(xiàn)與進(jìn)一步閱讀 137
第6章　云數(shù)據(jù)安全 139
6.1　數(shù)據(jù)安全生命周期 139
6.2　加密和密鑰管理 141
6.2.1　加密流程及術(shù)語(yǔ) 141
6.2.2　客戶端加密方式 142
6.2.3　云服務(wù)端加密方式 143
6.2.4　云密碼機(jī)服務(wù) 144
6.2.5　密鑰管理服務(wù) 146
6.2.6　數(shù)據(jù)存儲(chǔ)加密 149
6.2.7　數(shù)據(jù)傳輸加密 150
6.3　數(shù)據(jù)備份和恢復(fù) 151
6.3.1　數(shù)據(jù)備份 151
6.3.2　數(shù)據(jù)恢復(fù)演練 153
6.3.3　備份加密 153
6.4　數(shù)據(jù)容災(zāi) 154
6.5　數(shù)據(jù)脫敏 155
6.6　數(shù)據(jù)刪除 156
6.6.1　覆蓋 157
6.6.2　消磁 157
6.6.3　物理破壞 157
6.7　阿里云數(shù)據(jù)安全 157
6.8　小結(jié) 158
6.9　參考文獻(xiàn)與進(jìn)一步閱讀 158
第7章　云運(yùn)維安全 159
7.1　云運(yùn)維概述 159
7.2　基礎(chǔ)設(shè)施運(yùn)維安全 159
7.2.1　物理訪問(wèn)控制 160
7.2.2　視頻監(jiān)控 161
7.2.3　存儲(chǔ)介質(zhì)管理 161
7.2.4　訪客管理 162
7.3　云計(jì)算環(huán)境下的運(yùn)維 162
7.3.1　云運(yùn)維與傳統(tǒng)運(yùn)維的差別 163
7.3.2云運(yùn)維中應(yīng)該注意的問(wèn)題 163
7.4　運(yùn)維賬號(hào)安全管理 164
7.4.1　特權(quán)賬戶控制與管理 164
7.4.2　多因素身份認(rèn)證 165
7.5　操作日志 165
7.6　第三方審計(jì) 166
7.7　小結(jié) 167
7.8　參考文獻(xiàn)與進(jìn)一步閱讀 167
第8章　云安全技術(shù)的發(fā)展 168
8.1　零信任模型 168
8.1.1　傳統(tǒng)網(wǎng)絡(luò)安全模型 168
8.1.2　零信任模型概述 170
8.2　MSSP 171
8.3　APT攻擊防御 172
8.3.1　APT攻擊的概念 172