公有雲安全實踐(AWS版·微課視頻版)
陳濤、陳庭暄
- 出版商: 清華大學
- 出版日期: 2024-08-01
- 售價: $474
- 貴賓價: 9.5 折 $450
- 語言: 簡體中文
- ISBN: 7302669880
- ISBN-13: 9787302669883
-
相關分類:
Amazon Web Services
立即出貨 (庫存 < 3)
相關主題
商品描述
"本書是一本專門針對公有雲安全的深入探討的書籍。它根據公共雲領域廣為接受的“雲計算安全責任共擔模型”,簡要介紹了公共雲供應商如何確保雲自身的安全,並重點闡述了客戶如何負責雲上應用的安全配置與管理。 本書共九章,內容涵蓋了雲計算安全基礎、身份和訪問管理、計算安全管理、網絡安全管理、數據安全管理、應用安全管理、密鑰與證書管理、監控、日誌收集和審計,以及事件響應和恢復等多個方面。每章都深入淺出地講解了相關的理論知識,並結合AWS的實際操作進行了詳細的示例演示,使讀者能夠更好地理解和掌握公有雲安全的實踐技巧。 雖然市場上有多家公有雲供應商,每家都有其獨特的優勢,但由於篇幅所限,本書的實踐部分僅聚焦於AWS雲。本書涵蓋了AWS的40多種雲服務,對其他公有雲的安全管理也具有參考價值。 "
作者簡介
陳濤,資深計算機專家,三十多年IT從業經驗,曾主持過多項虛擬化、雲計算、容災及信息安全等大型項目的建設,在多行業擁有豐富的經驗並得到客戶認可。1997年開始講授Microsoft、Linux、Oracle等1T認證課程,課程內容豐富充實,案例典型、貼近工作,深入淺出、感染力強的授課風格備受學員好評。長期分享技術微課,其中“笨辦法學Linux”“AWS雲計算實戰”等系列影響較大,有九十多萬人參加學習。清華大學出版社《虛擬化KVM極速入門》《虛擬化KVM進階實踐》《虛擬化與容器技術》等書籍作者。
陳庭暄,人工智能專家,德國慕尼黑工業大學數據工程與分析專業碩士,基於純文本訓練的外科手術動作解釋項目的負責人,其主導研發的基於公共雲分區隔離技術的學習實驗平台,在中國高校計算機挑戰賽決賽中獲得“創新創意”和“創業價值”兩個賽道的二等獎,該項目也被評選為河南省大學生創新重點項目。
目錄大綱
目錄
第1章雲計算安全基礎1
1.1信息安全基礎1
1.1.1雲計算的優勢和挑戰1
1.1.2公有雲的特點和服務模型2
1.1.3信息安全的基本概念3
1.2主要攻擊類型4
1.2.1針對雲環境的常見攻擊類型4
1.2.2防止和應對攻擊的策略和工具5
1.3安全框架和風險管理6
1.3.1AWS雲採用框架6
1.3.2AWS架構完善的框架7
1.3.3NIST網絡安全框架9
1.3.4風險評估與管理12
1.4責任共擔模型13
1.5公有雲的安全考慮與最佳實踐14
1.6本章小結15
第2章身份和訪問管理(77min)16
2.1身份和訪問管理基礎16
2.1.1與AWS交互訪問的流程16
2.1.2通過簽名保護API18
2.2AWS賬戶中的根用戶和用戶憑證18
2.2.1AWS賬戶根用戶與IAM用戶18
2.2.2保護AWS賬戶根用戶19
2.2.3用戶訪問密鑰19
2.2.4訪問密鑰的保護20
2.3AWS多因素身份驗證21
2.3.1MFA基本工作原理21
2.3.2AWS支持的MFA設備22
2.3.3用於AWS CLI的MFA23
2.3.4用於AWS API的MFA24
2.4聯合身份驗證概述25
2.5AWS SSO服務26
2.6AWS Microsoft AD服務27
2.6.1AWS Microsoft AD服務的類型27
2.6.2AWS Microsoft AD服務的案例28
2.7AWS Organizations服務30
2.7.1單賬戶與多賬戶30
2.7.2AWS Organizations概述31
2.7.3AWS Organizations的安全優勢31
2.7.4AWS Organizations的基本操作32
2.7.5AWS Organizations的架構32
2.7.6AWS Organizations的服務控制策略33
2.8策略與權限管理34
2.8.1術語與基本原理34
2.8.2策略的類型36
2.8.3JSON格式的策略38
2.8.4策略的評估流程42
2.8.5通過用戶組簡化權限管理49
2.8.6通過角色簡化權限管理49
2.9IAM訪問分析器56
2.10本章小結57
第3章計算安全管理(48min)58
3.1EC2實例安全訪問管理58
3.1.1使用IAM控制訪問權限58
3.1.2使用SSH和RDP連接到實例62
3.1.3使用安全組控制網絡流量63
3.2密鑰對管理65
3.2.1密鑰對的基本使用66
3.2.2密鑰對的保護和備份66
3.2.3輪換和重置密鑰對67
3.3AMI管理68
3.3.1AMI的安全性與合規性 68
3.3.2構建自定義的AMI69
3.4使用AWS Systems Manager管理實例72
3.4.1AWS Systems Manager簡介72
3.4.2執行常見的安全管理任務74
3.4.3收集和監控實例信息76
3.5使用Amazon Inspector管理實例77
3.5.1Amazon Inspector簡介77
3.5.2Amazon Inspector技術概念 78
3.5.3Amazon Inspector使用案例 82
3.6EC2實例安全管理最佳實踐85
3.6.1遵循最小權限原則85
3.6.2定期更新和輪換密鑰對87
3.6.3定期更新並修復操作系統和應用程序漏洞88
3.6.4利用加密技術保護數據89
3.7容器安全90
3.7.1AWS容器服務簡介90
3.7.2AWS容器映像安全92
3.7.3AWS容器和任務的安全93
3.8本章小結95
第4章網絡安全管理(124min)96
4.1採用縱深防禦策略進行網絡安全管理96
4.2AWS VPC基礎97
4.2.1VPC概述98
4.2.2VPC的安全性100
4.3因特網網關100
4.4NAT設備102
4.4.1公有連接類型的NAT網關103
4.4.2私有連接類型的NAT網關104
4.4.3NAT網關的安全性105
4.5網絡訪問控制列表105
4.5.1NACL概述105
4.5.2NACL排錯案例107
4.6負載均衡器109
4.6.1負載均衡器概述110
4.6.2ELB的安全優勢110
4.6.3ELB的應用場景111
4.6.4ELB的選型112
4.7VPC對等連接、終端節點和私有鏈接114
4.7.1VPC對等連接114
4.7.2VPC的網關終端節點115
4.7.3VPC的接口終端節點與私有鏈接122
4.7.4VPC的網關負載均衡器終端節點125
4.8VPC流量鏡像127
4.8.1網絡流量監控和分析概述127
4.8.2VPC流量鏡像概述128
4.8.3VPC流量鏡像的應用場景129
4.9AWS VPN服務130
4.9.1AWS站點到站點VPN130
4.9.2AWS客戶端VPN131
4.10AWS Route 53服務132
4.10.1AWS域名解析概述132
4.10.2AWS Route 53的托管區域134
4.10.3AWS Route 53的安全134
4.11AWS CloudFront服務136
4.11.1AWS CloudFront服務概述136
4.11.2限制AWS CloudFront源服務器與邊緣站點的訪問138
4.11.3AWS CloudFront 訪問日誌139
4.11.4AWS CloudFront安全解決方案140
4.12AWS Network Firewall服務143
4.12.1AWS Network Firewall的工作原理143
4.12.2AWS Network Firewall架構145
4.12.3AWS Network Firewall應用案例147
4.13AWS Firewall Manager服務150
4.14本章小結150
第5章數據安全管理(96min)151
5.1Amazon S3的保護151
5.1.1加密過程概述151
5.1.2Amazon S3服務器端加密153
5.1.3Amazon S3資源保護156
5.1.4Amazon S3訪問分析器159
5.1.5Amazon S3訪問點160
5.1.6Amazon S3跨源資源共享161
5.1.7Amazon S3 Glacier167
5.1.8文件庫鎖定168
5.2Amazon RDS的保護169
5.2.1網絡隔離169
5.2.2訪問控制選項169
5.2.3數據保護170
5.3Amazon DynamoDB的保護171
5.3.1Amazon DynamoDB簡介171
5.3.2訪問權限控制171
5.3.3數據保護概述172
5.4數據庫的跨區域加密174
5.5EBS捲的保護175
5.5.1EBS捲訪問控制175
5.5.2EBS捲加密176
5.5.3EBS捲數據刪除179
5.6數據備份與恢復179
5.6.1數據備份與恢復概述180
5.6.2AWS數據保護產品概述181
5.6.3AWS Backup支持的服務182
5.6.4AWS Backup使用概述185
5.6.5AWS Backup與勒索軟件攻擊緩解187
5.7Amazon Macie服務187
5.7.1Amazon Macie服務概述188
5.7.2Amazon Macie服務的案例190
5.8本章小結192
第6章應用安全管理(90min)193
6.1應用開發與安全概述193
6.1.1設計階段194
6.1.2編碼階段194
6.1.3測試階段195
6.1.4發布階段195
6.1.5運行階段195
6.1.6維護階段195
6.1.7廢棄階段196
6.2AWS WAF服務196
6.2.1AWS WAF的基本概念和功能196
6.2.2AWS WAF的管理與配置197
6.2.3AWS WAF的案例199
6.3AWS Shield服務200
6.3.1AWS Shield的基本概念和版本200
6.3.2實時指標和報告202
6.4DDoS緩解203
6.4.1拒絕服務威脅203
6.4.2DDoS緩解方法205
6.4.3DDoS攻擊緩解的案例206
6.5無服務器與安全性209
6.6Amazon Cognito服務210
6.6.1Amazon Cognito概述210
6.6.2Amazon Cognito用戶池211
6.6.3Amazon Cognito身份池214
6.6.4Amazon Cognito案例216
6.7Amazon API Gateway服務217
6.7.1Amazon API Gateway概述217
6.7.2Amazon API Gateway的訪問控制218
6.7.3Amazon API Gateway的安全性220
6.8AWS Lambda 函數220
6.8.1AWS Lambda函數概述221
6.8.2AWS Lambda函數的權限222
6.8.3AWS Lambda函數的角色223
6.8.4AWS Lambda函數的監控225
6.9本章小結225
第7章密鑰與證書管理(45min)226
7.1AWS KMS服務226
7.1.1AWS KMS概述226
7.1.2AWS KMS的工作原理227
7.1.3AWS KMS密鑰管理228
7.1.4AWS KMS的案例233
7.2AWS Secrets Manager服務234
7.2.1密鑰管理的挑戰234
7.2.2AWS Secrets Manager概述235
7.2.3AWS Secrets Manager的案例236
7.2.4密鑰的輪換237
7.2.5密鑰安全管理237
7.2.6AWS Secrets Manager與SSM ParameterStore239
7.3AWS證書服務240
7.3.1公鑰基礎設施概述240
7.3.2AWS Certificate Manager服務243
7.3.3AWS Private CA服務245
7.4AWS CloudHSM服務246
7.4.1HSM簡介246
7.4.2AWS CloudHSM概述247
7.4.3AWS CloudHSM的架構248
7.4.4AWS CloudHSM與AWS KMS的結合使用249
7.5本章小結250
第8章監控、日誌收集和審計(50min)251
8.1Amazon CloudWatch服務概述251
8.2Amazon CloudWatch服務的警報功能252
8.2.1CloudWatch警告功能概述252
8.2.2CloudWatch警告功能的案例256
8.3Amazon CloudWatch日誌功能256
8.3.1CloudWatch日誌功能概述257
8.3.2CloudWatch日誌功能的配置259
8.3.3CloudWatch日誌功能的案例261
8.4Amazon EventBridge服務262
8.4.1Amazon EventBridge服務概述262
8.4.2Amazon EventBridge服務的組件263
8.4.3Amazon EventBridge服務的案例264
8.5AWS CloudTrail服務267
8.5.1AWS CloudTrail服務概述268
8.5.2AWS CloudTrail服務的基本概念269
8.5.3AWS CloudTrail服務的事件歷史記錄功能270
8.5.4AWS CloudTrail Trails功能簡介274
8.5.5AWS CloudTrail Trails功能的基本概念275
8.5.6AWS CloudTrail Trails功能的應用場景277
8.5.7AWS CloudTrail Lake功能簡介278
8.5.8AWS CloudTrail Lake功能的基本概念280
8.5.9AWS CloudTrail Lake功能的應用場景281
8.6AWS Config服務282
8.6.1AWS Config服務概述282
8.6.2AWS Config服務的組件284
8.6.3AWS Config服務的案例286
8.7AWS Systems Manager服務287
8.8VPC流日誌287
8.8.1VPC流日誌概述287
8.8.2VPC流日誌的配置288
8.8.3VPC流日誌的格式289
8.8.4VPC流日誌的應用場景290
8.9負載均衡器訪問日誌291
8.9.1負載均衡器訪問日誌概述291
8.9.2負載均衡器訪問日誌的配置與應用292
8.9.3負載均衡器訪問日誌的應用場景293
8.10S3訪問日誌293
8.10.1S3日誌記錄簡介293
8.10.2服務器訪問日誌記錄使用295
8.10.3AWS CloudTrail日誌記錄使用296
8.10.4服務器訪問日誌與CloudTrail日誌的比較297
8.11Amazon Macie服務298
8.11.1Amazon Macie服務概述298
8.11.2Amazon Macie服務的組件300
8.11.3Amazon Macie服務的案例302
8.12其他高級服務302
8.13本章小結303
第9章事件響應和恢復(24min)304
9.1事件響應成熟度模型304
9.2安全事件的響應流程305
9.3AWS Trusted Advisor服務306
9.3.1AWS Trusted Advisor服務概述306
9.3.2AWS Trusted Advisor在安全方面的應用307
9.3.3AWS Trusted Advisor服務的案例308
9.4AWS Security Hub服務309
9.4.1AWS Security Hub服務概述309
9.4.2AWS Security Hub服務的使用310
9.4.3AWS Security Hub服務的案例311
9.5AWS GuardDuty服務313
9.5.1AWS GuardDuty服務概述313
9.5.2AWS GuardDuty服務的檢測結果314
9.5.3AWS GuardDuty服務案例315
9.6AWS Detective服務317
9.6.1AWS Detective服務概述317
9.6.2AWS Detective服務的檢測結果319
9.6.3AWS Detective服務的案例319
9.7AWS Incident Manager服務320
9.8安全管理自動化321
9.8.1安全管理自動化的概念和意義321
9.8.2安全管理自動化的主要內容322
9.8.3AWS的安全管理自動化的服務和工具323
9.9AWS事件響應最佳實踐324
9.10本章小結325