雲原生安全(2022年機械工業出版社出版的圖書)

本書以幫助雲原生從業技術人員建立雲原生安全的整體視野為目的，通過梳理整個雲原生的流程和技術結構，闡述如何以套用安全為抓手，將安全性內建到套用的流程、架構以及平台之中，從而獲得一整套完善的雲原生套用安全方案。同時書中對雲原生安全開源方案進行了匯總，有針對性地對當前的熱點行業，包括金融、交通、製造業的不同特點和安全訴求以及安全應對方案進行了簡要說明。本書內容環環相扣，便於讀者通過閱讀建立自己的知識體系結構。

本書適用於對雲原生安全技術有興趣的技術開發者、維護者，以及對於雲計算和分散式系統有興趣的相關技術從業人員，也可以作為政企信息部門技術和管理人員進行業務系統雲化改造方案設計而參考資料。

出版說明

推薦序

前　言

第 1章　什麼是雲原生

1.1　雲原生平台、架構及開發流程

　　 1.1.1　雲原生之統一基礎平台　

　　 1.1.2　雲原生之統一軟體架構　

　　 1.1.3　雲原生之統一開發流程

1.2　雲原生與混合雲　

　　 1.2.1　混合雲的概念　

　　 1.2.2　混合雲套用架構設計　

　　 1.2.3　雲原生與混合雲的關係　

1.3　CNCF與雲原生平台　

　　 1.3.1　CNCF社區　

　　 1.3.2　雲服務商與雲原生　

　　 1.3.3　利用開源技術搭建雲原生平台　

第2章　雲原生安全演進

2.1　傳統安全解決方案　

　　2.1.1　以網路邊界設備為核心的安全控制　

　　2.1.2　雲安全服務　

　　2.1.3　終端安全　

2.2　雲原生時代的安全變化趨勢　

2.3　雲原生安全的整體建設思路　

　　2.3.1　圍繞套用的雲原生轉型建設　

　　2.3.2　以加快業務進化速度為首要目標　

　　2.3.3　以套用為中心的雲原生安全　

2.4　雲原生安全技術發展趨勢展望　

第3章　套用平台安全

3.1　私有雲原生平台架構

　　3.1.1　私有雲原生平台的技術標準

　　3.1.2　平台架構

3.2　公有雲原生平台架構　

3.3　容器層安全　

　　3.3.1　容器鏡像安全

　　3.3.2　容器運行態安全

　　3.3.3　安全容器Kata

3.4　Kubernetes安全

　　3.4.1　Kubernetes中的關鍵組件

　　3.4.2　Kubernetes的威脅來源和攻擊模型　

　　3.4.3　Kubernetes組件安全加固　

　　3.4.4　Pod安全　

　　3.4.5　認證和鑒權

3.5　基礎Linux安全　

　　3.5.1　賬戶安全加固　

　　3.5.2　檔案許可權加固　

　　3.5.3　強制訪問控制　

　　3.5.4　iptables與Linux防火牆　

3.6　創建安全的雲原生套用運行環境　

　　3.6.1　創建套用運行集群並對系統進行加固　

　　3.6.2　Kubernetes關鍵組件安全加固　

　　3.6.3　配置容器集群安全認證　

第4章　套用架構安全

4.1　雲原生典型套用架構　

4.2　套用使用的雲服務組件　

4.3　微服務與Web層架構安全　

　　4.3.1　防護跨站腳本攻擊　

　　4.3.2　跨站請求偽造防護　

　　4.3.3　防範XML外部實體攻擊　

4.3.4　SQL注入攻擊防護　

4.4　套用中間件安全　

　　4.4.1　Redis快取安全　

　　4.4.2　訊息中間件安全　

4.5　微服務與套用通信　

　　4.5.1　TLS與HTTPS通信加密　

　　4.5.2　微服務限流與套用防攻擊　

　　4.5.3　微服務間的訪問控制　

4.6　Service Mesh與套用服務安全　

　　4.6.1　雲原生服務網路技術實現框架對比　

　　4.6.2　Istio服務網路技術架構　

　　4.6.3　使用Istio的內置安全認證能力　

　　4.6.4　使用Istio的流量安全管理功能　

　　4.6.5　利用Istio的鑒權和監測功能　

4.7　在雲環境中構建安全的套用框架　

　　4.7.1　創建一個簡單的雲原生套用　

　　4.7.2　為服務間通信配置訪問控制　

　　4.7.3　利用Service Mesh框架進行精細流量管控及監測　

　　4.7.4　為套用配置認證和加密　

第5章　雲原生套用安全管理

5.1　套用安全審計　

　　5.1.1　業務操作日誌記錄

　　5.1.2　從系統及套用中收集日誌　

5.1.3　日誌存檔　　

5.1.4　日誌分析及入侵檢測　

5.2　套用配置和密鑰安全　

　　5.2.1　套用配置中心安全防護　

　　5.2.2　套用密鑰安全　

5.3　數據安全　

　　5.3.1　數據安全的三個要素　

　　5.3.2　雲生態中數據安全的整體架構　

　　5.3.3　套用數據加密技術　

　　5.3.4　數據脫敏技術　

5.4　在管理層面加固套用的安全　

　　5.4.1　配置套用運行日誌存檔　

　　5.4.2　擴充日誌動態分析　

　　5.4.3　操作日誌記錄、歸檔和訪問控制　

第6章　套用流程安全

6.1　DevOps流程　

6.2　DevSecOps：開發、安全、運維一體化　

　　6.2.1　從DevOps到DevSecOps　

　　6.2.2　雲原生自動化流水線的使用

　　6.2.3　自動化的安全流程　

　　6.2.4　測試驅動安全　

6.3　基於GitLab搭建一個自己的DevSecOps流水線　

　　6.3.1　搭建GitLab並為工程創建流水線　

　　6.3.2　GitLab與套用安全測試工具集成　

　　6.3.3　GitLab與代碼掃描工具集成　

第7章　套用集成和生態安全

7.1　利用雲服務網關進行套用集成　

　　7.1.1　基於雲服務網關進行接口發布和訂閱　

　　7.1.2　利用雲服務網關實現接口格式轉換　

7.2　接口授權和認證　

　　7.2.1　ID和密鑰管理　

　　7.2.2　開放認證　

7.3　接口訪問安全策略和調用監測　

　　7.3.1　訪問策略　

　　7.3.2　流控策略　

　　7.3.3　套用訪問監控及日誌分析　

7.4　服務能力對外開放　

　　7.4.1　使用雲服務匯流排進行服務發布　

　　7.4.2　App授權　

第8章　雲原生開源安全工具和方案

8.1　套用平台層的開源安全工具　

　　8.1.1　Kubernetes安全監測工具kube-bench　

　　8.1.2　Kubernetes安全策略配置工具kube-psp-advisor

　　8.1.3　Kubernetes滲透測試工具kube-hunter　

　　8.1.4　系統平台信息掃描和檢索工具Osquery

8.2　套用架構層的安全工具　

　　8.2.1　靜態應用程式安全測試工