新書推薦:
《
甲骨文丛书·德意志与神圣罗马帝国(第1卷):从马克西米利安一世到《威斯特伐利亚和约》(1493~1648年)(全2册)
》
售價:HK$
260.8
《
面向2035特种加工技术路线图
》
售價:HK$
96.8
《
不可能的戏剧:洛尔迦先锋戏剧三种
》
售價:HK$
60.5
《
康德希望问题研究
》
售價:HK$
107.8
《
艺术家的调色板
》
售價:HK$
184.8
《
大数据开发实战
》
售價:HK$
130.9
《
古代人的一天(第3辑):朝代的七天
》
售價:HK$
154.0
《
怎样上好常态课:小学数学教学24例
》
售價:HK$
68.4
|
編輯推薦: |
《云原生安全》融合了信息安全行业资深技术专家多年经验,以面向应用的云原生安全建设为主线,从五个维度对云原生安全进行剖析。本书避免了概念和技术的生硬堆砌,采用循序渐进、前后铺垫的方式,利用大量的总结性图表,让复杂的云原生技术体系变得易懂、易实践。书中操作部分配有二维码视频,使读者身临其境,迅速、深入地掌握各种经验和技巧。
|
內容簡介: |
本书以帮助云原生从业技术人员建立云原生安全的整体视野为目的,通过梳理整个云原生的流程和技术结构,阐述如何以应用安全为抓手,将安全性内建到应用的流程、架构以及平台之中,从而获得一整套完善的云原生应用安全方案。同时书中对云原生安全开源方案进行了汇总,有针对性地对当前的热点行业,包括金融、交通、制造业的不同特点和安全诉求以及安全应对方案进行了简要说明。本书内容环环相扣,便于读者通过阅读建立自己的知识体系结构。
本书适用于对云原生安全技术有兴趣的技术开发者、维护者,以及对于云计算和分布式系统有兴趣的相关技术从业人员,也可以作为政企信息部门技术和管理人员进行业务系统云化改造方案设计而参考资料。
|
關於作者: |
李学峰,中国电子云CCOS研发负责人,拥有十多年的云计算从业经验,精通云原生相关技术体系,包括容器平台、数据库、大数据、微服务、DevOps、云安全以及云运维等。
|
目錄:
|
出版说明
推荐序
前 言
第 1章 什么是云原生
1.1 云原生平台、架构及开发流程
1.1.1 云原生之统一基础平台
1.1.2 云原生之统一软件架构
1.1.3 云原生之统一开发流程
1.2 云原生与混合云
1.2.1 混合云的概念
1.2.2 混合云应用架构设计
1.2.3 云原生与混合云的关系
1.3 CNCF与云原生平台
1.3.1 CNCF社区
1.3.2 云服务商与云原生
1.3.3 利用开源技术搭建云原生平台
第2章 云原生安全演进
2.1 传统安全解决方案
2.1.1 以网络边界设备为核心的安全控制
2.1.2 云安全服务
2.1.3 终端安全
2.2 云原生时代的安全变化趋势
2.3 云原生安全的整体建设思路
2.3.1 围绕应用的云原生转型建设
2.3.2 以加快业务进化速度为首要目标
2.3.3 以应用为中心的云原生安全
2.4 云原生安全技术发展趋势展望
第3章 应用平台安全
3.1 私有云原生平台架构
3.1.1 私有云原生平台的技术标准
3.1.2 平台架构
3.2 公有云原生平台架构
3.3 容器层安全
3.3.1 容器镜像安全
3.3.2 容器运行态安全
3.3.3 安全容器Kata
3.4 Kubernetes安全
3.4.1 Kubernetes中的关键组件
3.4.2 Kubernetes的威胁来源和攻击模型
3.4.3 Kubernetes组件安全加固
3.4.4 Pod安全
3.4.5 认证和鉴权
3.5 基础Linux安全
3.5.1 账户安全加固
3.5.2 文件权限加固
3.5.3 强制访问控制
3.5.4 iptables与Linux防火墙
3.6 创建安全的云原生应用运行环境
3.6.1 创建应用运行集群并对系统进行加固
3.6.2 Kubernetes关键组件安全加固
3.6.3 配置容器集群安全认证
第4章 应用架构安全
4.1 云原生典型应用架构
4.2 应用使用的云服务组件
4.3 微服务与Web层架构安全
4.3.1 防护跨站脚本攻击
4.3.2 跨站请求伪造防护
4.3.3 防范XML外部实体攻击
4.3.4 SQL注入攻击防护
4.4 应用中间件安全
4.4.1 Redis缓存安全
4.4.2 消息中间件安全
4.5 微服务与应用通信
4.5.1 TLS与HTTPS通信加密
4.5.2 微服务限流与应用防攻击
4.5.3 微服务间的访问控制
4.6 Service Mesh与应用服务安全
4.6.1 云原生服务网络技术实现框架对比
4.6.2 Istio服务网络技术架构
4.6.3 使用Istio的内置安全认证能力
4.6.4 使用Istio的流量安全管理功能
4.6.5 利用Istio的鉴权和监测功能
4.7 在云环境中构建安全的应用框架
4.7.1 创建一个简单的云原生应用
4.7.2 为服务间通信配置访问控制
4.7.3 利用Service Mesh框架进行精细流量管控及监测
4.7.4 为应用配置认证和加密
第5章 云原生应用安全管理
5.1 应用安全审计
5.1.1 业务操作日志记录
5.1.2 从系统及应用中收集日志
5.1.3 日志存档
5.1.4 日志分析及入侵检测
5.2 应用配置和密钥安全
5.2.1 应用配置中心安全防护
5.2.2 应用密钥安全
5.3 数据安全
5.3.1 数据安全的三个要素
5.3.2 云生态中数据安全的整体架构
5.3.3 应用数据加密技术
5.3.4 数据脱敏技术
5.4 在管理层面加固应用的安全
5.4.1 配置应用运行日志存档
5.4.2 扩充日志动态分析
5.4.3 操作日志记录、归档和访问控制
第6章 应用流程安全
6.1 DevOps流程
6.2 DevSecOps:开发、安全、运维一体化
6.2.1 从DevOps到DevSecOps
6.2.2 云原生自动化流水线的使用
6.2.3 自动化的安全流程
6.2.4 测试驱动安全
6.3 基于GitLab搭建一个自己的DevSecOps流水线
6.3.1 搭建GitLab并为工程创建流水线
6.3.2 GitLab与应用安全测试工具集成
6.3.3 GitLab与代码扫描工具集成
第7章 应用集成和生态安全
7.1 利用云服务网关进行应用集成
7.1.1 基于云服务网关进行接口发布和订阅
7.1.2 利用云服务网关实现接口格式转换
7.2 接口授权和认证
7.2.1 ID和密钥管理
7.2.2 开放认证
7.3 接口访问安全策略和调用监测
7.3.1 访问策略
7.3.2 流控策略
7.3.3 应用访问监控及日志分析
7.4 服务能力对外开放
7.4.1 使用云服务总线进行服务发布
7.4.2 App授权
第8章 云原生开源安全工具和方案
8.1 应用平台层的开源安全工具
8.1.1 Kubernetes安全监测工具kube-bench
8.1.2 Kubernetes安全策略配置工具kube-psp-advisor
8.1.3 Kubernetes渗透测试工具kube-hunter
8.1.4 系统平台信息扫描和检索工具Osquery
8.2 应用架构层的安全工具
8.2.1 静态应用程序安全测试工
|
內容試閱:
|
前言
正如集装箱的出现加速了贸易全球化进程,以容器为代表的云原生技术作为云计算服务的新界面,在加速云计算普及的同时,也在推动整个商业世界的飞速演进。上云成为企业持续发展的必然选择,全面使用云原生和云服务技术构建软件服务的时代已经到来。
作为云时代释放技术红利的新方式,云原生技术在通过方法论、工具集和实践重塑整个软件技术栈和软件生命周期,对云计算服务方式与互联网架构进行整体升级,深刻改变着整个商业世界的IT根基。通过树立技术标准与构建开发者生态,云原生技术将云计算实施逐渐标准化,大幅降低了开发者对于云平台的学习成本与接入成本。这都让开发者更加聚焦于业务本身并借助云原生技术与产品实现更多业务创新,有效提升企业增长效率,让企业爆发出前所未有的生产力与创造力。
本书具体内容如下。
第 1章的重点是厘清云原生的概念。通过将容器作为应用发布的统一形态,并把微服务架构作为应用开发的统一架构,再将应用运行在基于声明式和容器编排技术的统一平台里。然后再辅以基于自动化文化和协作文化的DevOps统一开发流程,云原生实现了应用基础平台、软件开发架构、软件开发流程的标准化和统一化。在统一化的基础上,基于云原生技术开发的应用得以充分利用多云和混合云的优势。
第2章主要讲解云原生安全的整体建设思路。随着企业上云进程的不断加快,传统的安全防护体系遭遇瓶颈。面向应用的云原生安全管理涵盖了应用平台、应用架构、应用流程、应用安全管理和应用生态安全,是一整套综合性应用安全管理理念。让安全管控核心从之前的以网络为中心过渡到以业务为中心,为企业建设新一代安全体系提供了指引。
第3章重点讲述云原生平台层安全方案。应用平台层安全涉及底层操作系统的安全防护、容器运行态及容器编排系统的安全防护。
第4章从应用架构入手,分析典型的云原生应用架构特点,根据架构特点,有针对性地从应用架构层上进行安全性加固。
第5章着重分析云原生应用安全管理方面的内容,对应用的审计、应用配置的管理、应用运行数据的审计是云原生应用安全防护中必不可少的内容,也是很容易被忽视的内容。另外,通过配置应用运行日志存档、从日志存档中发掘高级威胁是从管理层面增强应用安全性的有效手段。
第6章主要讲解在DevOps基础上扩充自动化安全防护能力,实现开发、安全、运维一体化流程。自动化安全包括了自动化代码扫描、自动化安全测试、自动化漏洞检测、自动化应用分析等多个环节,将这些环节嵌入到CI/CD流程中的对应阶段,实现持续安全。
第7章重点讲述云原生应用融入生态过程中需要考虑的安全问题。云原生应用天然支持应用向生态开放,也鼓励和支持利用来自应用生态的接口能力和数据能力。在将云原生应用向生态开放的过程中,如何避免由于生态开放导致的安全风险,如何对开放的业务能力做审计分析,是本章着重探讨的话题。
第8章选取针对应用平台、应用架构、应用管理、应用流程和应用生态这五个领域中的优秀开源产品和方案进行分类说明,以期在云原生安全方案的落地实施过程中,能够充分利用开源社区提供的云原生安全能力。
第9章选取了云原生应用中三个代表性的行业。金融行业代表了数字化转型先锋和技术优势行业,交通行业代表了云原生技术使用较为深入的行业,而制造行业代表了云原生技术进入尚浅、未来要进一步深化的行业。从这三个行业的实际应用场景入手,分析不同场景下云原生的安全特点和防护重点。
本书以面向应用的云原生安全建设为主线,将云原生应用分成应用平台、应用架构、应用管理、应用流程以及应用生态这五个维度,对这五个维度从云原生安全的角度进行剖析。本书力求避免概念和技术的生硬堆砌,而是采用循序渐进、前后铺垫的方式,利用大量的总结性图表,让复杂的云原生技术体系变得易懂、易实践。同时,本书还包含一个云原生应用安全实践的案例。这个案例贯通了云原生安全平台搭建、云原生安全应用构建和部署、云原生安全管理、云原生DevSecOps流程和应用生态开放的各个环节。通过案例的实际操作,可以更深入地理解云原生安全的理念和落地实践过程。这一系列案例对环境资源的要求很低,读者完全可以自行搭建云原生安全实操环境。另外,书中相关案例的源码、脚本和配置文件都可以从书中对应的网站目录上下载。
本书面向的读者主要是对云原生技术有兴趣的开发和运维人员,以及云计算和分布式系统的相关技术人员。也可以作为政企信息部门技术和管理人员进行相应业务系统云化改造方案设计的参考资料。
由于本人能力有限,错漏之处在所难免,恳请读者批评指正。
作 者
|
|