《雲安全基礎設施構建——從解決方案的視角看雲安全》是機械工業出版社2017年出版的圖書,作者:[美] 羅古胡·耶魯瑞(Raghu Yeluri)恩里克·卡斯楚-利昂(Enrique Castro-Leon)著
基本介紹
- 書名:雲安全基礎設施構建——從解決方案的視角看雲安全
- ISBN:978-7-111-57696-9
- 定價:49.00
- 出版社:機械工業出版社
- 出版時間:2017-09
基本信息,內容簡介,目錄,
基本信息
作者:[美] 羅古胡·耶魯瑞(Raghu Yeluri)恩里克·卡斯楚-利昂(Enrique Castro-Leon)著 |
ISBN(書號):978-7-111-57696-9 |
叢書名:網路空間安全技術叢書 |
出版日期:2017-09 |
版次:1/1 |
開本:16 |
定價:¥49.00 |
內容簡介
本書以可信計算技術為基石,全面介紹了建立雲安全基礎設施相關的
套用模型、解決方案、具體實現所需的軟硬體組件
安全對雲用戶和雲服務提供商而言都非常重要,然而專門討論雲安全的書卻不多。本書有助於彌補信息技術手段和用戶眼中的雲安全之間的差距。本書還特別說明了建立可信雲的基本技術,並詳盡解釋了機構組織在向雲遷移套用任務時面臨的安全和合規性挑戰,以及如何使用具有根植於硬體完整性的可信雲應對這些挑戰。
套用模型、解決方案、具體實現所需的軟硬體組件
安全對雲用戶和雲服務提供商而言都非常重要,然而專門討論雲安全的書卻不多。本書有助於彌補信息技術手段和用戶眼中的雲安全之間的差距。本書還特別說明了建立可信雲的基本技術,並詳盡解釋了機構組織在向雲遷移套用任務時面臨的安全和合規性挑戰,以及如何使用具有根植於硬體完整性的可信雲應對這些挑戰。
目錄
序
推薦序
譯者序
作者簡介
審校者簡介
前言
致謝
第1章 雲計算基礎 1
1.1 雲的定義 2
1.1.1 雲的本質特徵 2
1.1.2 雲計算服務模型 3
1.1.3 雲計算部署模型 4
1.1.4 雲計算價值定位 5
1.2 歷史背景 6
1.2.1 傳統的三層架構 7
1.2.2 軟體的演進:從煙筒式套用到服務網路 8
1.2.3 雲計算是IT新模式 10
1.3 服務即安全 11
1.3.1 新的企業安全邊界 12
1.3.2 雲安全路線圖 16
1.4 總結 16
第2章 可信云:安全與合規性表述 17
2.1 雲安全考慮 17
2.1.1 雲安全、信任和保障 19
2.1.2 影響數據中心安全的發展趨勢 20
2.1.3 安全性和合規性面臨的挑戰 22
2.1.4 可信雲 24
2.2 可信計算基礎設施 24
2.3 可信雲套用模型 25
2.3.1 啟動完整性套用模型 27
2.3.2 可信虛擬機啟動套用模型 29
2.3.3 數據保護套用模型 30
2.3.4 運行態完整性和證明套用模型 30
2.4 雲租戶的可信雲價值定位 31
2.5 總結 32
第3章 平台啟動完整性:可信計算池的基礎 34
3.1 可信雲構件 34
3.2 平台啟動完整性 35
3.2.1 英特爾TXT平台的信任根——RTM、RTR和RTS 36
3.2.2 被度量的啟動過程 36
3.2.3 證明 39
3.3 可信計算池 40
3.3.1 TCP的操作原則 41
3.3.2 池的創建 42
3.3.3 工作負載配置 42
3.3.4 工作負載遷移 43
3.3.5 工作負載/雲服務的合規性報告 43
3.4 TCP解決方案參考架構 43
3.4.1 硬體層 44
3.4.2 作業系統/虛擬機監視器層 45
3.4.3 虛擬化/雲管理和驗證/證明層 46
3.4.4 安全管理層 47
3.5 參考實現:台灣證券交易所案例 49
3.5.1 TWSE的解決方案架構 50
3.5.2 可信計算池用例的實例化 51
3.5.3 HyTrust的遠程證明 52
3.5.4 使用案例:創建可信計算池和工作負載遷移 54
3.5.5 McAfee ePO的安全性和平台可信性集成與擴展 54
3.6 總結 58
第4章 證明:可信性的驗證 59
4.1 證明 59
4.1.1 完整性度量架構 61
4.1.2 基於簡化策略的完整性度量架構 61
4.1.3 基於語義的遠程證明 62
4.2 證明流程 62
4.2.1 遠程證明協定 62
4.2.2 完整性度量流程 64
4.3 首個商業化證明實現:英特爾可信證明平台 65
4.4 Mt.Wilson平台 67
4.4.1 Mt.Wilson架構 68
4.4.2 Mt.Wilson證明流程 70
4.5 Mt.Wilson的安全性 73
4.6 Mt. Wilson的可信、白名單和管理API 74
4.6.1 Mt.Wilson API 75
4.6.2 API請求規範 75
4.6.3 API回響 77
4.6.4 Mt. Wilson API的使用 78
4.6.5 部署Mt. Wilson 78
4.6.6 Mt.Wilson編程示例 79
4.7 總結 82
第5章 雲的邊界控制:地理標記和資產標記 83
5.1 地理定位 84
5.2 地理圍欄 84
5.3 資產標記 86
5.4 使用地理標記的可信計算池 86
5.4.1 階段一:平台證明和安全虛擬機監視器啟動 88
5.4.2 階段二:基於可信性的安全遷移 89
5.4.3 階段三:基於可信性和地理定位信息的安全遷移 89
5.5 將地理標記加入到可信計算池解決方案 90
5.5.1 硬體層(伺服器) 90
5.5.2 虛擬機監視器和OS層 91
5.5.3 虛擬化、雲管理、驗證和證明層 91
5.5.4 安全管理層 92
5.5.5 地理標記的創建和生命周期管理 92
5.6 地理標記的工作流程和生命周期 93
5.6.1 創建標記 93
5.6.2 發布標記白名單 94
5.6.3 部署標記 94
5.6.4 資產標記和地理標記的生效和失效 96
5.6.5 地理標記證明 97
5.7 地理標記部署架構 97
5.7.1 標記部署服務 98
5.7.2 標記部署代理 99
5.7.3 標記管理服務和管理工具 99
5.7.4 證明服務 100
5.8 地理標記部署過程 102
5.8.1 推模型 102
5.8.2 拉模型 102
5.9 參考實現 104
5.9.1 步驟1 104
5.9.2 步驟2 105
5.9.3 步驟3 106
5.9.4 步驟4 107
5.10 總結 108
第6章 雲中的網路安全 110
6.1 雲網路 111
6.1.1 網路安全組件 111
6.1.2 負載均衡 112
6.1.3 入侵檢測設備 113
6.1.4 套用交付控制器 113
6.2 端到端的雲安全 113
6.2.1 網路安全:端到端的安全——防火牆 114
6.2.2 網路安全:端到端的安全——VLAN 114
6.2.3 網路安全:端到端的安全——站點間VPN 115
6.2.4 網路安全:端到端的安全——虛擬機監視器和虛擬機 116
6.3 雲中的軟體定義安全 117
6.3.1 OpenStack 120
6.3.2 OpenStack網路安全 121
6.3.3 網路安全功能和示例 123
6.4 總結 125
第7章 雲的身份管理和控制 127
7.1 身份挑戰 128
7.1.1 身份使用 129
7.1.2 身份修改 130
7.1.3 身份撤銷 131
7.2 身份管理系統需求 131
7.3 身份管理解決方案的關鍵需求 132
7.3.1 可問責 133
7.3.2 通知 133
7.3.3 匿名 133
7.3.4 數據最小化 134
7.3.5 安全性 134
7.3.6 隱私性 134
7.4 身份表示和案例研究 135
7.4.1 PKI證書 135
7.4.2 安全和隱私的探討 136
7.4.3 身份聯合 137
7.4.4 單點登錄 138
7.5 英特爾身份技術 138
7.6 總結 143
第8章 可信虛擬機:雲虛擬機的完整性保障 144
8.1 可信虛擬機的需求 145
8.2 虛擬機鏡像 147
8.3 可信虛擬機概念架構 149
8.3.1 Mystery Hill客戶端 150
8.3.2 Mystery Hill密鑰管理和策略伺服器 151
8.3.3 Mystery Hill外掛程式 151
8.3.4 可信證明伺服器 152
8.4 可信虛擬機工作流 153
8.5 利用OpenStack部署可信虛擬機 155
8.6 總結 158
第9章 安全雲爆發的參考設計 160
9.1 雲爆發套用模型 161
9.2 數據中心部署模型 164
9.3 雲爆發的參考架構 166
9.3.1 圍繞最佳實踐建立安全的環境 168
9.3.2 雲管理 168
9.3.3 雲身份和訪問管理 168
9.3.4 雲資源、流量和數據的隔離 169
9.3.5 漏洞和補丁管理 169
9.3.6 合規性 169
9.4 網路拓撲及注意事項 171
9.5 安全設計考慮 174
9.5.1 虛擬機監視器硬化 174
9.5.2 防火牆和網路隔離 174
9.5.3 管理網路防火牆 176
9.5.4 虛擬網路 176
9.5.5 防病毒軟體 177
9.5.6 雲管理安全 177
9.6 虛擬機遷移的實踐考慮 182
9.7 總結 184
附錄A 中國可信雲社區 186
附錄B 相關開源合作項目和升級 188
推薦序
譯者序
作者簡介
審校者簡介
前言
致謝
第1章 雲計算基礎 1
1.1 雲的定義 2
1.1.1 雲的本質特徵 2
1.1.2 雲計算服務模型 3
1.1.3 雲計算部署模型 4
1.1.4 雲計算價值定位 5
1.2 歷史背景 6
1.2.1 傳統的三層架構 7
1.2.2 軟體的演進:從煙筒式套用到服務網路 8
1.2.3 雲計算是IT新模式 10
1.3 服務即安全 11
1.3.1 新的企業安全邊界 12
1.3.2 雲安全路線圖 16
1.4 總結 16
第2章 可信云:安全與合規性表述 17
2.1 雲安全考慮 17
2.1.1 雲安全、信任和保障 19
2.1.2 影響數據中心安全的發展趨勢 20
2.1.3 安全性和合規性面臨的挑戰 22
2.1.4 可信雲 24
2.2 可信計算基礎設施 24
2.3 可信雲套用模型 25
2.3.1 啟動完整性套用模型 27
2.3.2 可信虛擬機啟動套用模型 29
2.3.3 數據保護套用模型 30
2.3.4 運行態完整性和證明套用模型 30
2.4 雲租戶的可信雲價值定位 31
2.5 總結 32
第3章 平台啟動完整性:可信計算池的基礎 34
3.1 可信雲構件 34
3.2 平台啟動完整性 35
3.2.1 英特爾TXT平台的信任根——RTM、RTR和RTS 36
3.2.2 被度量的啟動過程 36
3.2.3 證明 39
3.3 可信計算池 40
3.3.1 TCP的操作原則 41
3.3.2 池的創建 42
3.3.3 工作負載配置 42
3.3.4 工作負載遷移 43
3.3.5 工作負載/雲服務的合規性報告 43
3.4 TCP解決方案參考架構 43
3.4.1 硬體層 44
3.4.2 作業系統/虛擬機監視器層 45
3.4.3 虛擬化/雲管理和驗證/證明層 46
3.4.4 安全管理層 47
3.5 參考實現:台灣證券交易所案例 49
3.5.1 TWSE的解決方案架構 50
3.5.2 可信計算池用例的實例化 51
3.5.3 HyTrust的遠程證明 52
3.5.4 使用案例:創建可信計算池和工作負載遷移 54
3.5.5 McAfee ePO的安全性和平台可信性集成與擴展 54
3.6 總結 58
第4章 證明:可信性的驗證 59
4.1 證明 59
4.1.1 完整性度量架構 61
4.1.2 基於簡化策略的完整性度量架構 61
4.1.3 基於語義的遠程證明 62
4.2 證明流程 62
4.2.1 遠程證明協定 62
4.2.2 完整性度量流程 64
4.3 首個商業化證明實現:英特爾可信證明平台 65
4.4 Mt.Wilson平台 67
4.4.1 Mt.Wilson架構 68
4.4.2 Mt.Wilson證明流程 70
4.5 Mt.Wilson的安全性 73
4.6 Mt. Wilson的可信、白名單和管理API 74
4.6.1 Mt.Wilson API 75
4.6.2 API請求規範 75
4.6.3 API回響 77
4.6.4 Mt. Wilson API的使用 78
4.6.5 部署Mt. Wilson 78
4.6.6 Mt.Wilson編程示例 79
4.7 總結 82
第5章 雲的邊界控制:地理標記和資產標記 83
5.1 地理定位 84
5.2 地理圍欄 84
5.3 資產標記 86
5.4 使用地理標記的可信計算池 86
5.4.1 階段一:平台證明和安全虛擬機監視器啟動 88
5.4.2 階段二:基於可信性的安全遷移 89
5.4.3 階段三:基於可信性和地理定位信息的安全遷移 89
5.5 將地理標記加入到可信計算池解決方案 90
5.5.1 硬體層(伺服器) 90
5.5.2 虛擬機監視器和OS層 91
5.5.3 虛擬化、雲管理、驗證和證明層 91
5.5.4 安全管理層 92
5.5.5 地理標記的創建和生命周期管理 92
5.6 地理標記的工作流程和生命周期 93
5.6.1 創建標記 93
5.6.2 發布標記白名單 94
5.6.3 部署標記 94
5.6.4 資產標記和地理標記的生效和失效 96
5.6.5 地理標記證明 97
5.7 地理標記部署架構 97
5.7.1 標記部署服務 98
5.7.2 標記部署代理 99
5.7.3 標記管理服務和管理工具 99
5.7.4 證明服務 100
5.8 地理標記部署過程 102
5.8.1 推模型 102
5.8.2 拉模型 102
5.9 參考實現 104
5.9.1 步驟1 104
5.9.2 步驟2 105
5.9.3 步驟3 106
5.9.4 步驟4 107
5.10 總結 108
第6章 雲中的網路安全 110
6.1 雲網路 111
6.1.1 網路安全組件 111
6.1.2 負載均衡 112
6.1.3 入侵檢測設備 113
6.1.4 套用交付控制器 113
6.2 端到端的雲安全 113
6.2.1 網路安全:端到端的安全——防火牆 114
6.2.2 網路安全:端到端的安全——VLAN 114
6.2.3 網路安全:端到端的安全——站點間VPN 115
6.2.4 網路安全:端到端的安全——虛擬機監視器和虛擬機 116
6.3 雲中的軟體定義安全 117
6.3.1 OpenStack 120
6.3.2 OpenStack網路安全 121
6.3.3 網路安全功能和示例 123
6.4 總結 125
第7章 雲的身份管理和控制 127
7.1 身份挑戰 128
7.1.1 身份使用 129
7.1.2 身份修改 130
7.1.3 身份撤銷 131
7.2 身份管理系統需求 131
7.3 身份管理解決方案的關鍵需求 132
7.3.1 可問責 133
7.3.2 通知 133
7.3.3 匿名 133
7.3.4 數據最小化 134
7.3.5 安全性 134
7.3.6 隱私性 134
7.4 身份表示和案例研究 135
7.4.1 PKI證書 135
7.4.2 安全和隱私的探討 136
7.4.3 身份聯合 137
7.4.4 單點登錄 138
7.5 英特爾身份技術 138
7.6 總結 143
第8章 可信虛擬機:雲虛擬機的完整性保障 144
8.1 可信虛擬機的需求 145
8.2 虛擬機鏡像 147
8.3 可信虛擬機概念架構 149
8.3.1 Mystery Hill客戶端 150
8.3.2 Mystery Hill密鑰管理和策略伺服器 151
8.3.3 Mystery Hill外掛程式 151
8.3.4 可信證明伺服器 152
8.4 可信虛擬機工作流 153
8.5 利用OpenStack部署可信虛擬機 155
8.6 總結 158
第9章 安全雲爆發的參考設計 160
9.1 雲爆發套用模型 161
9.2 數據中心部署模型 164
9.3 雲爆發的參考架構 166
9.3.1 圍繞最佳實踐建立安全的環境 168
9.3.2 雲管理 168
9.3.3 雲身份和訪問管理 168
9.3.4 雲資源、流量和數據的隔離 169
9.3.5 漏洞和補丁管理 169
9.3.6 合規性 169
9.4 網路拓撲及注意事項 171
9.5 安全設計考慮 174
9.5.1 虛擬機監視器硬化 174
9.5.2 防火牆和網路隔離 174
9.5.3 管理網路防火牆 176
9.5.4 虛擬網路 176
9.5.5 防病毒軟體 177
9.5.6 雲管理安全 177
9.6 虛擬機遷移的實踐考慮 182
9.7 總結 184
附錄A 中國可信雲社區 186
附錄B 相關開源合作項目和升級 188