叢書序言
本書編委會
序
前言
第一部分　云安全基礎(chǔ)
第1章　云計算基礎(chǔ) 2
1.1　云計算的發(fā)展歷程 2
1.1.1　云計算的起源與發(fā)展 3
1.1.2　云計算的主要廠商與社區(qū) 6
1.2　云計算的基本概念 6
1.2.1　云計算的定義與術(shù)語 6
1.2.2　云計算的主要特性 7
1.2.3　服務(wù)模式 8
1.2.4　部署模式 10
1.3　云計算的應(yīng)用案例 13
1.3.1　政府部門 13
1.3.2　金融行業(yè) 14
1.3.3　醫(yī)藥行業(yè) 15
1.3.4　12306網(wǎng)站 15
1.4　小結(jié) 15
1.5　參考文獻(xiàn)與進(jìn)一步閱讀 16
第2章　云計算安全風(fēng)險分析 17
2.1　云計算面臨的技術(shù)風(fēng)險 17
2.1.1　物理與環(huán)境安全風(fēng)險 17
2.1.2　主機安全風(fēng)險 18
2.1.3　虛擬化安全風(fēng)險 18
2.1.4　網(wǎng)絡(luò)安全風(fēng)險 19
2.1.5　安全漏洞 20
2.1.6　數(shù)據(jù)安全風(fēng)險 22
2.1.7　加密與密鑰風(fēng)險 24
2.1.8　API安全風(fēng)險 24
2.1.9　安全風(fēng)險案例分析 26
2.2　云計算面臨的管理風(fēng)險 27
2.2.1　組織與策略風(fēng)險 27
2.2.2　數(shù)據(jù)歸屬不清晰 28
2.2.3　安全邊界不清晰 29
2.2.4　內(nèi)部竊密 29
2.2.5　權(quán)限管理混亂 29
2.3　云計算面臨的法律法規(guī)風(fēng)險 29
2.3.1　數(shù)據(jù)跨境流動 29
2.3.2　集體訴訟 31
2.3.3　個人隱私保護不當(dāng) 31
2.4　云計算安全設(shè)計原則 32
2.4.1　最小特權(quán) 33
2.4.2　職責(zé)分離 33
2.4.3　縱深防御 33
2.4.4　防御單元解耦 35
2.4.5　面向失效的安全設(shè)計 35
2.4.6　回溯和審計 35
2.4.7　安全數(shù)據(jù)標(biāo)準(zhǔn)化 36
2.5　小結(jié) 36
2.6　參考文獻(xiàn)與進(jìn)一步閱讀 36
第二部分 云計算服務(wù)的安全能力與運維
第3章　主機虛擬化安全 38
3.1　主機虛擬化技術(shù)概述 38
3.1.1　主機虛擬化的概念 38
3.1.2　主機虛擬化實現(xiàn)方案 39
3.1.3　主機虛擬化的特性 41
3.1.4　主機虛擬化的關(guān)鍵技術(shù) 42
3.1.5　主機虛擬化的優(yōu)勢 47
3.1.6　主機虛擬化上機實踐 50
3.2　主機虛擬化的主要安全威脅 60
3.2.1　虛擬機信息竊取和篡改 62
3.2.2　虛擬機逃逸 62
3.2.3　Rootkit攻擊 63
3.2.4　分布式拒絕服務(wù)攻擊 64
3.2.5　側(cè)信道攻擊 64
3.3　主機虛擬化安全的解決方案 64
3.3.1　虛擬化安全防御架構(gòu) 65
3.3.2　宿主機安全機制 65
3.3.3　Hypervisor安全機制 66
3.3.4　虛擬機隔離機制 68
3.3.5　虛擬可信計算技術(shù) 69
3.3.6　虛擬機安全監(jiān)控 73
3.3.7　虛擬機自省技術(shù) 75
3.3.8　主機虛擬化安全最佳實踐 77
3.4　小結(jié) 82
3.5　參考文獻(xiàn)與進(jìn)一步閱讀 82
第4章　網(wǎng)絡(luò)虛擬化安全 84
4.1　網(wǎng)絡(luò)虛擬化技術(shù)概述 84
4.1.1傳統(tǒng)網(wǎng)絡(luò)虛擬化技術(shù)——VLAN 84
4.1.2　云環(huán)境下的網(wǎng)絡(luò)虛擬化技術(shù) 85
4.1.3　軟件定義網(wǎng)絡(luò)與OpenFlow 89
4.1.4IaaS環(huán)境下網(wǎng)絡(luò)安全域的劃分與構(gòu)建 91
4.2　虛擬網(wǎng)絡(luò)安全分析 93
4.2.1　網(wǎng)絡(luò)虛擬化面臨的安全問題 93
4.2.2　SDN面臨的安全威脅 95
4.3　VPC 95
4.3.1　VPC的概念 95
4.3.2　VPC的應(yīng)用 96
4.4網(wǎng)絡(luò)功能虛擬化與安全服務(wù)接入 103
4.4.1　網(wǎng)絡(luò)功能虛擬化 103
4.4.2　云環(huán)境中的安全服務(wù)接入 105
4.4.3　安全服務(wù)最佳實踐 108
4.5　小結(jié) 111
4.6　參考文獻(xiàn)與進(jìn)一步閱讀 111
第5章　身份管理與訪問控制 113
5.1　身份管理 113
5.1.1　基本概念 113
5.1.2　云計算中的認(rèn)證場景 117
5.1.3基于阿里云的身份管理最佳實踐 121
5.2　授權(quán)管理 123
5.2.1　基本概念 123
5.2.2　典型訪問控制機制 126
5.2.3　云計算中典型的授權(quán)場景 129
5.2.4基于阿里云RAM的權(quán)限管理實踐 132
5.3　小結(jié) 137
5.4　參考文獻(xiàn)與進(jìn)一步閱讀 137
第6章　云數(shù)據(jù)安全 139
6.1　數(shù)據(jù)安全生命周期 139
6.2　加密和密鑰管理 141
6.2.1　加密流程及術(shù)語 141
6.2.2　客戶端加密方式 142
6.2.3　云服務(wù)端加密方式 143
6.2.4　云密碼機服務(wù) 144
6.2.5　密鑰管理服務(wù) 146
6.2.6　數(shù)據(jù)存儲加密 149
6.2.7　數(shù)據(jù)傳輸加密 150
6.3　數(shù)據(jù)備份和恢復(fù) 151
6.3.1　數(shù)據(jù)備份 151
6.3.2　數(shù)據(jù)恢復(fù)演練 153
6.3.3　備份加密 153
6.4　數(shù)據(jù)容災(zāi) 154
6.5　數(shù)據(jù)脫敏 155
6.6　數(shù)據(jù)刪除 156
6.6.1　覆蓋 157
6.6.2　消磁 157
6.6.3　物理破壞 157
6.7　阿里云數(shù)據(jù)安全 157
6.8　小結(jié) 158
6.9　參考文獻(xiàn)與進(jìn)一步閱讀 158
第7章　云運維安全 159
7.1　云運維概述 159
7.2　基礎(chǔ)設(shè)施運維安全 159
7.2.1　物理訪問控制 160
7.2.2　視頻監(jiān)控 161
7.2.3　存儲介質(zhì)管理 161
7.2.4　訪客管理 162
7.3　云計算環(huán)境下的運維 162
7.3.1　云運維與傳統(tǒng)運維的差別 163
7.3.2云運維中應(yīng)該注意的問題 163
7.4　運維賬號安全管理 164
7.4.1　特權(quán)賬戶控制與管理 164
7.4.2　多因素身份認(rèn)證 165
7.5　操作日志 165
7.6　第三方審計 166
7.7　小結(jié) 167
7.8　參考文獻(xiàn)與進(jìn)一步閱讀 167
第8章　云安全技術(shù)的發(fā)展 168
8.1　零信任模型 168
8.1.1　傳統(tǒng)網(wǎng)絡(luò)安全模型 168
8.1.2　零信任模型概述 170
8.2　MSSP 171
8.3　APT攻擊防御 172
8.3.1　APT攻擊的概念 172