雲計算安全實踐——從入門到精通

本書將雲計算安全能力建設對應到NIST CSF中，從雲計算安全能力建設的角度由淺入深地總結雲計算安全產業實踐的基本常識、雲安全能力構建的基礎實驗與雲計算產業安全綜合實踐。在簡單介紹基本原理的基礎上，以雲計算套用安全能力建設為主，重點介紹在雲安全能力建設中的典型案例與實驗。其中實驗部分又分為基礎篇、提高篇和綜合篇，通過動手實驗可以讓你快速學習基本的安全策略、安全功能、安全服務及實踐，深度體驗雲上安全能力的建設設計與實現，終完成自定義安全集成和綜合安全架構的設計與實現。

王紹斌 亞馬遜雲計算Lambda產品線首席安全官。曾兼職美國信息產業機構USITO安全組聯合主席（2011-2020年），國際可信計算組織TCG大中華區主席（2011-2015年），上海數據治理與安全產業發展專業委員會專家(2019-2021年) 。具有26年的安全技術研究經歷，主要研究領域包括雲計算安全、網路安全、套用密碼學、網路攻擊與防禦、電子商務安全。申請專利16項，發表學術論文16篇，出版著作3部。

盧朝陽 亞馬遜Amazon Web Service雲安全專業架構師，從事金融和網際網路信息安全工作17年，為全球100多個客戶提供專業定製雲安全架構，曾歷任安全滲透專家、安全諮詢顧問、安全風險管理專家、安全負責人等，致力於多雲上DevSecOps與雲安全自動化和智慧型化的建設和最佳化。

餘波 亞馬遜Amazon Web Service安全市場與產品專家，碩士畢業於北京大學光華管理學院。有多年歐洲和東南亞的海外經歷，歷任奇安信集團國際部負責人、網宿科技香港網盾公司負責人、綠盟科技歐洲及中東分公司總經理、華為東南亞某系統部門負責人等。

朱志強 亞馬遜Amazon Web Service安全市場與產品專家，負責雲安全方案的拓展工作，曾在華為、綠盟等多家知名網路安全公司任職，擁有十多年網路安全行業架構和諮詢經驗。

目　　錄

第1章 雲安全基礎 1

1.1 雲安全定義 4

1.2 雲安全理念與責任共擔模型 7

1.3 雲安全產業與產品 10

1.3.1 雲原生安全產品 11

1.3.2 第三方雲安全產品 17

1.4 雲安全優勢 21

第2章 雲安全體系 22

2.1 NIST CSF 22

2.1.1 什麼是NIST CSF框架 22

2.1.2 CSF的作用 23

2.1.3 CSF的核心 25

2.1.4 CSF在雲治理中的作用 29

2.2 CAF 30

2.2.1 什麼是CAF 30

2.2.2 CAF的維度 30

2.2.3 CAF的能力要求 31

2.2.4 CAF的核心內容 31

2.2.5 CAF在雲轉型中的作用 32

2.3 GDPR 33

2.3.1 什麼是GDPR 33

2.3.2 GDPR的重要意義 34

2.3.3 雲中進行GDPR合規的注意事項 34

2.3.4 GDPR的責任分擔 35

2.3.5 雲服務商的GDPR傳導路徑 36

2.3.6 雲用戶的GDPR挑戰與影響 38

2.4 ATT＆CK雲安全攻防模型 39

2.4.1 ATT＆CK定義 39

2.4.2 ATT＆CK使用場景 39

2.4.3 AWS ATT＆CK雲模型 41

2.5 零信任網路 46

2.5.1 為什麼提出零信任 46

2.5.2 零信任的理念 46

2.5.3 零信任的價值體現 47

2.5.4 零信任的安全體系 48

2.5.5 零信任的核心內容 49

2.5.6 零信任在雲平台上的套用 50

2.6 等級保護 51

2.6.1 什麼是等級保護 51

2.6.2 等級保護的重要意義 52

2.6.3 等級保護的標準體系 53

2.6.4 雲環境下的等級保護 58

2.7 ISO 27000系列安全標準 59

2.7.1 ISO 27000系列 59

2.7.2 ISO 27001體系框架 60

2.7.3 ISO 27001對雲安全的作用 61

2.7.4 企業如何在上雲中合理使用標準 62

2.7.5 雲服務商如何合規 63

2.7.6 ISO 27000的安全隱私保護 63

2.8 SOC 64

2.8.1 什麼是SOC 64

2.8.2 SOC 2的重要意義 65

2.8.3 SOC 2的核心內容 65

2.8.4 SOC 2對雲服務商的要求 67

2.9 中國雲計算服務安全標準 68

2.9.1 標準的背景 68

2.9.2 標準的概述 68

2.9.3 標準對雲服務商的能力要求 69

2.9.4 標準的意義 70

2.10 美國的FedRAMP 70

2.10.1 FedRAMP 70

2.10.2 FedRAMP的基本要求與類型 71

2.10.3 FedRAMP的評估與授權機制 71

2.10.4 FedRAMP的意義與價值 72

第3章 雲安全治理模型 73

3.1 如何選擇雲安全治理模型 73

3.1.1 雲安全治理在數位化轉型中的作用 73

3.1.2 雲安全治理模型的適用性說明 74

3.1.3 雲安全治理模型的三種不同場景 74

3.1.4 雲安全責任共擔模型 75

3.1.5 雲平台責任共擔模型分類 76

3.2 如何構建雲安全治理模型 81

3.2.1 雲安全治理模型設計的七個原則 81

3.2.2 基於隱私的雲安全治理模型 82

第4章 雲安全規劃設計 83

4.1 雲安全規劃方法 83

4.1.1 SbD的設計方法 84

4.1.2 SbD的目標 84

4.1.3 SbD的過程 84

4.2 雲資產的定義和分類 87

4.2.1 雲中資產的定義與分類 87

4.2.2 雲中數據的定義與分類 87

4.2.3 AWS三層數據分類法 91

4.3 雲安全建設路徑 91

4.3.1 起步階段的雲安全建設路徑 92

4.3.2 升級階段的雲安全建設路徑 94

4.3.3 發展階段的雲安全建設路徑 97

4.3.4 整合階段的雲安全建設路徑 100

4.3.5 成熟階段的雲安全建設路徑 102

第5章 NIST CSF雲安全建設實踐 105

5.1 雲安全識別能力建設 106

5.1.1 雲安全識別能力概述 107

5.1.2 雲安全識別能力構成 107

5.1.3 雲安全識別能力建設實踐 110

5.2 雲安全保護能力建設 115

5.2.1 雲安全保護能力概述 115

5.2.2 雲安全保護能力構成 116

5.2.3 雲安全保護能力建設實踐 120

5.3 雲安全檢測能力建設 140

5.3.1 雲安全檢測能力概述 141

5.3.2 雲安全檢測能力構成 142

5.3.3 雲安全檢測能力建設實踐 145

5.4 雲安全回響能力建設 147

5.4.1 雲安全回響能力概述 148

5.4.2 雲安全回響能力構成 150

5.4.3 雲安全回響能力建設實踐 151

5.5 雲安全恢復能力建設 154

5.5.1 雲安全恢復能力概述 155

5.5.2 雲安全恢復能力構成 155

5.5.3 雲計算恢復能力建設實踐 156

第6章 雲安全動手實驗——基礎篇 158

6.1 Lab1：手工創建個根用戶賬戶 162

6.1.1 實驗概述 162

6.1.2 實驗步驟 162

6.1.3 實驗總結 165

6.1.4 策略示例 166

6.1.5 實踐 168

6.2 Lab2：手工配置個IAM用戶和角色 169

6.2.1 實驗概述 169

6.2.2 實驗架構 169

6.2.3 實驗步驟 169

6.2.4 實驗總結 177

6.2.5 策略邏輯 177

6.2.6 策略示例 180

6.3 Lab3：手工創建個安全數據倉庫賬戶 182

6.3.1 實驗概述 182

6.3.2 實驗架構 182

6.3.3 實驗步驟 183

6.3.4 實驗總結 187

6.4 Lab4：手工配置個安全靜態網站 187

6.4.1 實驗概述 187

6.4.2 實驗架構 187

6.4.3 實驗步驟 187

6.4.4 實驗總結 194

6.5 Lab5：手工創建個安全運維堡壘機 194

6.5.1 實驗概述 194

6.5.2 實驗場景 194

6.5.3 實驗架構 195

6.5.4 實驗步驟 196

6.5.5 實驗總結 203

6.6 Lab6：手工配置個安全開發環境 203

6.6.1 實驗概述 203

6.6.2 實驗場景 204

6.6.3 實驗架構 204

6.6.4 實驗步驟 204

6.6.5 實驗總結 208

6.7 Lab7：自動部署IAM組、策略和角色 209

6.7.1 實驗概述 209

6.7.2 實驗架構 209

6.7.3 實驗步驟 209

6.7.4 實驗總結 219

6.8 Lab8：自動部署VPC安全網路架構 219

6.8.1 實驗概述 219

6.8.2 實驗架構 220

6.8.3 實驗步驟 220

6.8.4 實驗總結 224

6.9 Lab9：自動部署Web安全防護架構 224

6.9.1 實驗概述 224

6.9.2 實驗架構 224

6.9.3 實驗步驟 225

6.9.4 實驗總結 229

6.10 Lab10：自動部署雲WAF防禦架構 229

6.10.1 實驗概述 229

6.10.2 實驗目標 229

6.10.3 實驗步驟 230

6.10.4 實驗總結 234

第7章 雲安全動手實驗——提高篇 235

7.1 Lab1：設計IAM高級許可權和精細策略 235

7.1.1 實驗概述 235

7.1.2 實驗場景 235

7.1.3 實驗步驟 236

7.1.4 實驗總結 248

7.2 Lab2：集成IAM標籤細粒度訪問控制 249

7.2.1 實驗概述 249

7.2.2 實驗條件 249

7.2.3 實驗步驟 249

7.2.4 實驗總結 266

7.3 Lab3：設計Web套用的Cognito身份驗證 266

7.3.1 實驗概述 266

7.3.2 實驗場景 267

7.3.3 實驗架構 267

7.3.4 實驗步驟 269

7.3.5 實驗總結 287

7.4 Lab4：設計VPC EndPoint安全訪問策略 287

7.4.1 實驗概述 287

7.4.2 實驗架構 288

7.4.3 實驗步驟 289

7.4.4 實驗總結 318

7.5 Lab5：設計WAF高級Web防護策略 318

7.5.1 實驗概述 318

7.5.2 實驗工具 319

7.5.3 部署架構 319

7.5.4 實驗步驟 320

7.5.5 實驗總結 328

7.6 Lab6：設計SSM和Inspector漏洞掃描與加固 329

7.6.1 實驗概述 329

7.6.2 實驗步驟 329

7.7 Lab7：自動部署雲上威脅智慧型檢測 338

7.7.1 實驗概述 338

7.7.2 實驗條件 338

7.7.3 實驗步驟 338

7.7.4 實踐總結 342

7.8 Lab8：自動部署Config監控並修復S3合規性 343

7.8.1 實驗概述 343

7.8.2 實驗架構 343

7.8.3 實驗步驟 344

7.8.4 實驗總結 360

7.9 Lab9：自動部署雲上漏洞修復與合規管理 360

7.9.1 實驗模組1：使用Ansible與Systems Manager的合規性管理 360

7.9.2 實驗模組2：監控與修復Windows的RDP漏洞 373

7.9.3 實驗模組3：使用AWS Systems Manager和Config管理合規性 382

第8章 雲安全動手實驗——綜合篇 390

8.1 Lab1：集成雲上ACM私有CA數字證書體系 390

8.1.1 實驗概述 390

8.1.2 實驗架構 391

8.1.3 實驗步驟 391

8.1.4 實驗總結 430

8.2 Lab2：集成雲上的安全事件監控和應急回響 431

8.2.1 實驗概述 431

8.2.2 用戶場景 431

8.2.3 部署架構 431

8.2.4 實驗步驟 432

8.2.5 實驗總結 456

8.3 Lab3：集成AWS的PCI-DSS安全合規性架構 457

8.3.1 實驗概述 457

8.3.2 部署模板 458

8.3.3 實驗架構 462

8.3.4 實驗步驟 465

8.3.5 實驗總結 475

8.4 Lab4：集成DevSecOps安全敏捷開發平台 475

8.4.1 實驗概述 475

8.4.2 實驗條件 476

8.4.3 實驗步驟 476

8.4.4 實驗總結 494

8.5 Lab5：集成AWS雲上綜合安全管理中心 494

8.5.1 實驗概述 494

8.5.2 實驗場景 494

8.5.3 實驗條件 494

8.5.4 實驗模組1：環境構建 495

8.5.5 實驗模組2：安全中心視圖 496

8.5.6 實驗模組3：安全中心自定義 503

8.5.7 實驗模組4：自定義處置與回響 512

8.5.8 實驗模組5：自動化補救與回響 519

8.6 Lab6：AWS WA Labs動手實驗 525

8.6.1 AWS WA Tool概念 525

8.6.2 AWS WA Tool作用 526

8.6.3 AWS WA Labs實驗 527

8.6.4 AWS WA Tool使用 536

8.6.5 AWS WA Tool安全實踐 536

第9章 雲安全能力評估 543

9.1 雲安全能力評估的原則 543

9.1.1 雲安全能力的評估維度 543

9.1.2 安全能力等級要求 545