云原生安全經(jīng)典實(shí)例
定 價(jià):¥148
中 教 價(jià):¥111.00 (7.50折)
庫(kù) 存 數(shù): 1
本書基于AWS、Azure和GCP平臺(tái)提供一些技巧,幫助你增強(qiáng)自己的云原生系統(tǒng)安全性。每個(gè)技巧均討論了云與原先方案的相似與不同,以及相應(yīng)的改變。本書的主要內(nèi)容有:了解云原生如何提供優(yōu)于本地環(huán)境的安全性。理解云原生安全原則和思維模型,使你在解決方案中做出Z優(yōu)解。了解如何實(shí)施穩(wěn)健且安全的現(xiàn)有解決方案,并針對(duì)新的有趣問題設(shè)計(jì)解決方案。使你可以從水平和垂直層面應(yīng)對(duì)企業(yè)中的安全挑戰(zhàn)和提出解決方案。
編輯推薦隨著云計(jì)算的崛起,IT產(chǎn)業(yè)的各個(gè)方面都產(chǎn)生巨大的震蕩。盡管鞏固系統(tǒng)安全性的原則依然適用,但構(gòu)建軟件系統(tǒng)的基礎(chǔ)設(shè)施正在悄然變化,安全性方面的實(shí)踐早已變得面目全非。本書基于AWS、Azure和GCP平臺(tái)提供一些技巧,幫助你增強(qiáng)自己的云原生系統(tǒng)安全性。咨詢師Josh Armitage基于其與一些世界知名企業(yè)和快速迭代的初創(chuàng)公司合作積累的寶貴經(jīng)驗(yàn),介紹了安全專家、開發(fā)人員和基礎(chǔ)設(shè)施專家在與不同的云提供商合作時(shí)需要做出的權(quán)衡。每個(gè)技巧均討論了云與原先方案的相似與不同,以及相應(yīng)的改變。專家推薦這是一本關(guān)于云安全的必B備手冊(cè)。以客戶所需規(guī)模運(yùn)行工作負(fù)載的組織需要云安全,而本書正是為其提供奠定成功基礎(chǔ)和安全擴(kuò)展的必要訣竅。JK Gunnink谷歌云技術(shù)專家如果你正在云安全領(lǐng)域工作或試圖進(jìn)入此領(lǐng)域,請(qǐng)務(wù)必閱讀這本書。Josh出色地展示了如何通過Terraform的力量實(shí)現(xiàn)安全云環(huán)境的各種組件。Marcus MaxwellContino安全實(shí)踐主管
前言在2000 年初期,公有云作為新的基礎(chǔ)設(shè)施消費(fèi)模式,徹底改變了全球技術(shù)基礎(chǔ)設(shè)施的消費(fèi)模式。只需像線上購(gòu)物一樣一鍵購(gòu)買即可使用所購(gòu)買的計(jì)算資源,不必再花費(fèi)數(shù)周至數(shù)月的時(shí)間來訂購(gòu)設(shè)備、等待設(shè)備交付和使用新設(shè)備。在大學(xué)畢業(yè)后的我的第一份工作是在IBM 的大型機(jī)事業(yè)部負(fù)責(zé)構(gòu)建云交付的虛擬化大型機(jī)環(huán)境。我們希望將DevOps 引入世界上最受尊敬的企業(yè)。隨著時(shí)間的推移,安全成為與客戶溝通的焦點(diǎn)。當(dāng)他們將數(shù)據(jù)上傳到云端時(shí),如何確保他們的數(shù)據(jù)是安全的?當(dāng)技術(shù)選型最保守、規(guī)避風(fēng)險(xiǎn)要求最高的行業(yè)也在積極擁抱云計(jì)算時(shí),我確信云計(jì)算是企業(yè)想要在數(shù)字時(shí)代脫穎而出的方向。自IBM 的工作生涯以來,我大部分時(shí)間都在澳大利亞和英國(guó)擔(dān)任咨詢師,專注于幫助初創(chuàng)企業(yè)和大型企業(yè)使用云作為他們的創(chuàng)新引擎,使他們的開發(fā)人員能夠交付卓越的成果。根據(jù)我的經(jīng)驗(yàn),很多企業(yè)和工程師首次涉足云原生世界時(shí)會(huì)不斷出現(xiàn)錯(cuò)誤的步驟,模式與反模式。本書重點(diǎn)介紹如何安全地使用云。本書的技巧向你展示了如何在你的云環(huán)境中構(gòu)建安全基礎(chǔ)設(shè)施,以及如何利用第一方安全解決方案使你的基礎(chǔ)設(shè)施高效的擴(kuò)展。讀者對(duì)象本書目標(biāo)是帶領(lǐng)你親自動(dòng)手體驗(yàn)云計(jì)算。Terraform 是使用最廣泛的基礎(chǔ)設(shè)施即代碼工具,本書提供的每個(gè)技巧都帶有一個(gè)在Terraform 中完全可用的解決方案。對(duì)于書中提到的每個(gè)問題,亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)、微軟Azure 和谷歌云平臺(tái)(GCP)這三個(gè)主要云服務(wù)廠商每個(gè)都有一個(gè)解決方案。隨著現(xiàn)代世界提供的云服務(wù)越來越多,跨云平臺(tái)的語(yǔ)言變得越來越有價(jià)值。盡管這三種云服務(wù)廠商在它們提供的服務(wù)上有很大的重疊,但云服務(wù)本身的設(shè)計(jì)思路對(duì)安全性有巨大的影響。通過本書你將能夠在這三種云服務(wù)廠商之間轉(zhuǎn)換,并快速解決任何地方的問題。內(nèi)容編排本書共有11 章,每章都專注于一個(gè)特定的主題,從如何構(gòu)建你的計(jì)算資源和管理用戶,到如何確保可擴(kuò)展的合規(guī)性,再到每個(gè)云提供商的身份和訪問管理的復(fù)雜性。使用本書為了學(xué)習(xí)本書中的技巧,你需要對(duì)你所選擇的云服務(wù)具有較高的權(quán)限,才能按照書中所述的步驟進(jìn)行操作。所有的技巧都是采用Terraform 1.0 版開發(fā)的。 如果你以前沒有使用過Terraform,那么第11 章會(huì)展示如何安全地對(duì)你的云服務(wù)進(jìn)行身份驗(yàn)證。排版約定本書采用以下排版約定。斜體(Italic)表示新術(shù)語(yǔ)、URL、電子郵件地址、文件名和文件擴(kuò)展名。等寬字體(Constant Width)表示程序清單,在段落內(nèi)表示程序元素,例如變量、函數(shù)名稱、數(shù)據(jù)庫(kù)、數(shù)據(jù)類型、環(huán)境變量、語(yǔ)句和關(guān)鍵字。粗體等寬字體(Constant width bold)表示應(yīng)由用戶原封不動(dòng)輸入的命令或其他文本。斜體等寬字體(Constant width italic)表示應(yīng)該替換成用戶提供值的文本,或者由上下文決定的值。使用代碼示例你可以從https://github.com/Armitagency/cloud-native-security-cookbook-tf 下載補(bǔ)充材料,包括代碼示例和練習(xí)。與本書相關(guān)的技術(shù)問題,或者在使用代碼示例上有疑問,請(qǐng)發(fā)電子郵件到 errata@oreilly.com.cn。本書是要幫你完成工作的。一般來說,如果本書提供了示例代碼,你可以把它用在你的程序或文檔中。除非你使用了很大一部分代碼,否則無需聯(lián)系我們獲得許可。比如,用本書的幾個(gè)代碼片段寫一個(gè)程序就無需獲得許可,銷售或分發(fā)OReilly 圖書的示例集則需要獲得許可;引用本書中的示例代碼回答問題無需獲得許可,將書中大量的代碼放到你的產(chǎn)品文檔中則需要獲得許可。我們很希望但并不強(qiáng)制要求你在引用本書內(nèi)容時(shí)加上引用說明。引用說明一般包括書名、作者、出版社和ISBN,例如:Cloud Native Security Cookbook by Josh Armitage (OReilly). Copyright 2022 Joshua Hagen Armitage, 978-1-098-10630-0。如果你覺得你使用的代碼示例超出了合理使用或上述許可的范圍,請(qǐng)隨時(shí)通過permissions@oreilly.com 與我們聯(lián)系。OReilly 在線學(xué)習(xí)平臺(tái)(OReilly Online Learning)近40 年來,OReilly Media 致力于提供技術(shù)和商業(yè)培訓(xùn)、知識(shí)和卓越見解,來幫助眾多公司取得成功。我們擁有獨(dú)一無二的專家和革新者組成的龐大網(wǎng)絡(luò),他們通過圖書、文章、會(huì)議和我們的在線學(xué)習(xí)平臺(tái)分享他們的知識(shí)和經(jīng)驗(yàn)。OReilly 的在線學(xué)習(xí)平臺(tái)允許你按需訪問現(xiàn)場(chǎng)培訓(xùn)課程、深入的學(xué)習(xí)路徑、交互式編程環(huán)境,以及OReilly 和200 多家其他出版商提供的大量文本和視頻資源。有關(guān)的更多信息,請(qǐng)?jiān)L問http://oreilly.com。聯(lián)系我們請(qǐng)把對(duì)本書的評(píng)價(jià)和問題發(fā)給出版社。美國(guó):OReilly Media, Inc.1005 Gravenstein Highway NorthSebastopol, CA 95472中國(guó):北京市西城區(qū)西直門南大街2號(hào)成銘大廈C座807室(100035)奧萊利技術(shù)咨詢(北京)有限公司勘誤、示例和其他信息可訪問https://oreil.ly/cloudNativeCkbk 獲取。對(duì)本書的評(píng)論或技術(shù)疑問,可以發(fā)電子郵件到errata@oreilly.com.cn。欲了解本社圖書和課程的新聞和信息,請(qǐng)?jiān)L問我們的網(wǎng)站http://oreilly.com。我們的LinkedIn:https: //linkedin.com/company/oreilly-media。我們的Twitter:http://twitter.com/oreillymedia。我們的YouTube:http://youtube.com/oreillymedia。致謝這本書借鑒了其他人的思想和知識(shí),我要感謝那些愿意分享專業(yè)知識(shí)的人。因?yàn)橛兴麄兊膸椭覀儾趴梢愿钊氲靥剿鳎槐匾槐橛忠槐榈貙W(xué)習(xí)相同的內(nèi)容。在我的家鄉(xiāng)珀斯的聯(lián)合辦公場(chǎng)所上方懸掛著一句希臘諺語(yǔ):只有當(dāng)老人種下他們知道永遠(yuǎn)不會(huì)坐在樹蔭下的樹時(shí),社會(huì)才能變得偉大。這個(gè)理念深深地印刻在我的心中。每個(gè)人都有值得分享的故事,無論你身處何地,在旅途中或者身邊的人都可以從你經(jīng)歷中受益。這本書是我嘗試幫助大家開發(fā)更安全的系統(tǒng),保護(hù)他們的用戶,并擁有一個(gè)充實(shí)快樂的工作和生活。在為世界上最大的企業(yè)提供多年咨詢服務(wù)之后,我親身體驗(yàn)了數(shù)字化和云轉(zhuǎn)型帶來的痛苦和喜悅,尤其是在安全領(lǐng)域。這本書是對(duì)一線工作中的經(jīng)驗(yàn)總結(jié),傾向于需要發(fā)生改變時(shí)所應(yīng)采取的行動(dòng)。與計(jì)算機(jī)打交道對(duì)我來說似乎是命中注定的事情,它似乎是我家人的首選職業(yè)。大約相隔30 年,我父親和我都在大學(xué)畢業(yè)后找到了大型機(jī)開發(fā)的工作。他非常開心我和他做了同樣的選擇。在英國(guó)期間我開始撰寫這本書,希望能通過這件事來幫助我保持理智。就在我女兒即將出生之前,我在澳大利亞完成了它。如果沒有我妻子Rebecca 持續(xù)的支持,我不可能完成這本書,她不得不面對(duì)我敲打鍵盤的許多深夜和周末。結(jié)束這項(xiàng)艱巨的工作并成為一名父親,這個(gè)時(shí)機(jī)真是再合適不過了。感謝三位技術(shù)評(píng)論家Marcus Maxwell、JK Gunnink 和Pete Yandell,你們一直在挑戰(zhàn)我并讓我在本書中保持誠(chéng)實(shí)。正因?yàn)槟銈兓〞r(shí)間來剖析我書寫的內(nèi)容,才使得本書能更上一層樓。我永遠(yuǎn)感激你們。感謝 OReilly 出色的工作人員,尤其是Corbin Collins 對(duì)我的支持,感謝Jennifer Pollock 給我寫這本書的機(jī)會(huì),感謝制作團(tuán)隊(duì),感謝你們的耐心從而確保這本書的發(fā)行。如果沒有你們每一個(gè)人的支持,很難想象這本書會(huì)問世。
Josh Armitage多年來一直從事大型企業(yè)和初創(chuàng)公司咨詢顧問的工作,使得他從多個(gè)角度看待安全問題并且擁有廣泛而深入的技術(shù)專長(zhǎng),包括在大型機(jī)上編寫生產(chǎn)程序集和運(yùn)維全球性分布式機(jī)器學(xué)習(xí)系統(tǒng)。Josh現(xiàn)在專注于云原生技術(shù)、精益軟件開發(fā)以及帶領(lǐng)團(tuán)隊(duì)完成DevSecOps轉(zhuǎn)型。
目錄前言 .1第1 章 現(xiàn)代化企業(yè)的云安全 71.1 安全的重要性 71.2 云原生安全 91.3 安全在現(xiàn)代企業(yè)中的應(yīng)用 111.4 現(xiàn)代安全的目的 121.5 DevSecOps 131.6 衡量安全的影響 181.7 安全原則 20第2 章 設(shè)置賬戶與用戶 242.1 GCP 上可擴(kuò)展的項(xiàng)目結(jié)構(gòu) 242.2 AWS 上可擴(kuò)展的賬戶結(jié)構(gòu) . 312.3 Azure 上可擴(kuò)展的訂閱結(jié)構(gòu) 392.4 GCP 的區(qū)域鎖定 452.5 AWS 的地區(qū)鎖定 . 482.6 Azure 的地區(qū)鎖定 532.7 GCP 上的用戶集中 . 552.8 AWS 上的用戶集中 612.9 Azure 上的用戶集中 . 65第3 章 獲得可擴(kuò)展的安全可見性 703.1 構(gòu)建基于GCP 的云原生安全運(yùn)營(yíng)中心 713.2 在AWS 上構(gòu)建云原生安全運(yùn)營(yíng)中心 793.3 在Azure 上構(gòu)建云原生安全運(yùn)營(yíng)中心 833.4 在GCP 上匯集日志 873.5 在AWS 上匯集日志 913.6 在Azure 上匯集日志 . 983.7 GCP 上的日志異常警報(bào) 1053.8 AWS 上的日志異常警報(bào) 1103.9 Azure 上的日志異常警報(bào) 1143.10 在GCP 上構(gòu)建基礎(chǔ)設(shè)施注冊(cè)表 . 1183.11 在AWS 上構(gòu)建基礎(chǔ)設(shè)施注冊(cè)表 . 1233.12 在Azure 上構(gòu)建基礎(chǔ)設(shè)施注冊(cè)表 132第4 章 數(shù)據(jù)保護(hù) 1374.1 在GCP 上對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密 1384.2 在AWS 上對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密 1444.3 在Azure 上對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密 . 1534.4 使用個(gè)人密鑰在GCP 上對(duì)數(shù)據(jù)進(jìn)行加密 1604.5 使用個(gè)人密鑰在AWS 上對(duì)數(shù)據(jù)進(jìn)行加密 1654.6 使用個(gè)人密鑰在Azure 上對(duì)數(shù)據(jù)進(jìn)行加密 1694.7 在GCP 上強(qiáng)制執(zhí)行傳輸中數(shù)據(jù)加密 1744.8 在AWS 上強(qiáng)制執(zhí)行傳輸中數(shù)據(jù)加密 . 1794.9 在Azure 上強(qiáng)制執(zhí)行傳輸中數(shù)據(jù)加密 1814.10 在GCP 上防止數(shù)據(jù)丟失 . 1844.11 在AWS 上防止數(shù)據(jù)丟失 1904.12 在Azure 上防止數(shù)據(jù)丟失 194第5 章 網(wǎng)絡(luò)安全 2015.1 GCP 的網(wǎng)絡(luò)基礎(chǔ) 2025.2 AWS 上的網(wǎng)絡(luò)基礎(chǔ) . 2085.3 Azure 上的網(wǎng)絡(luò)基礎(chǔ) 2165.4 在GCP 上啟用外部訪問 2255.5 在AWS 上啟用外部訪問 2315.6 在Azure 上啟用外部訪問 . 2385.7 通過GCP 允許訪問內(nèi)部資源 . 2435.8 允許訪問AWS 上的內(nèi)部資源 2505.9 允許訪問Azure 上的內(nèi)部資源 2575.10 控制GCP 上的外部網(wǎng)絡(luò)連接 2635.11 在AWS 上控制外部網(wǎng)絡(luò)連接 2715.12 控制Azure 上的外部網(wǎng)絡(luò)連接 2805.13 GCP 上的私人應(yīng)用程序訪問 2865.14 AWS 私有應(yīng)用訪問 2955.15 Azure 上的私有應(yīng)用程序訪問 . 303第 6 章 基礎(chǔ)設(shè)施即代碼 . 3086.1 在GCP 上構(gòu)建安全基礎(chǔ)設(shè)施默認(rèn)值 3096.2 在AWS 上構(gòu)建安全基礎(chǔ)設(shè)施默認(rèn)值 . 3146.3 在Azure 上構(gòu)建安全基礎(chǔ)設(shè)施默認(rèn)值 3206.4 GCP 上的功能即服務(wù) . 3286.5 AWS 上的功能即服務(wù) . 3336.6 Azure 上的功能即服務(wù) 3386.7 在GCP 上的穩(wěn)健部署 3446.8 在AWS 上的穩(wěn)健部署 3506.9 在Azure 上的穩(wěn)健部署 . 3596.10 GCP 上可擴(kuò)展的部署 3666.11 AWS 上可擴(kuò)展的部署 3696.12 在Azure 上可擴(kuò)展的部署 375第 7 章 合規(guī)即代碼 3807.1 GCP 上的資源標(biāo)記 3817.2 在AWS 上標(biāo)記資源 3877.3 在Azure 上標(biāo)記資源 3927.4 檢測(cè)GCP 上不合規(guī)的基礎(chǔ)設(shè)施 3987.5 檢測(cè) AWS 上不合規(guī)的基礎(chǔ)設(shè)施 4067.6 檢測(cè)Azure 上不合規(guī)的基礎(chǔ)設(shè)施 . 4127.7 防止GCP 上的基礎(chǔ)設(shè)施不合規(guī) 4197.8 防止AWS 上的不合規(guī)基礎(chǔ)設(shè)施 4237.9 防止Azure 上不合規(guī)的基礎(chǔ)設(shè)施 . 4277.10 修復(fù)GCP 上不合規(guī)的基礎(chǔ)設(shè)施 . 4337.11 修復(fù)AWS 上不合規(guī)的基礎(chǔ)設(shè)施 . 4427.12 修復(fù)Azure 上不合規(guī)的基礎(chǔ)設(shè)施 446第8 章 提供內(nèi)部安全服務(wù) . 4548.1 在GCP 上保護(hù)安全資產(chǎn)和控制 4558.2 在AWS 上保護(hù)安全資產(chǎn)和控制 4608.3 在Azure 上保護(hù)安全資產(chǎn)和控制 . 4668.4 在Azure 上全面了解機(jī)器狀態(tài) 4718.5 在AWS 上全面了解機(jī)器狀態(tài) 4768.6 在Azure 上全面了解機(jī)器狀態(tài) 4808.7 在 GCP 上可擴(kuò)展的打補(bǔ)丁 4868.8 在AWS 上可擴(kuò)展的打補(bǔ)丁 . 4908.9 在Azure 上可擴(kuò)展的打補(bǔ)丁 4948.10 在GCP 上進(jìn)行數(shù)據(jù)備份 . 4998.11 在AWS 上進(jìn)行數(shù)據(jù)備份 5048.12 在Azure 上進(jìn)行數(shù)據(jù)備份 510第 9 章 使用團(tuán)隊(duì) 5159.1 在GCP 上使用項(xiàng)目共享 5169.2 在AWS 上使用項(xiàng)目共享 5199.3 在Azure 上使用項(xiàng)目共享 . 5239.4 GCP 上的應(yīng)用程序安全掃描 5279.5 AWS 上的應(yīng)用程序安全掃描 5319.6 Azure 上的應(yīng)用程序安全掃描 536第10 章 未來的安全 54010.1 無限游戲 . 54110.2 能力建設(shè) . 54210.3 建立態(tài)勢(shì)感知 54310.4 結(jié)論 545第 11 章 Terraform 入門 . 54611.1 使用GCP 進(jìn)行身份驗(yàn)證 . 54711.2 使用AWS 進(jìn)行身份驗(yàn)證 54711.3 使用Azure 進(jìn)行身份驗(yàn)證 547
新書資訊 新書推薦