本書注重理論聯(lián)系實際���,內(nèi)容豐富多彩且圖文并茂�,不僅介紹云計算安全技術(shù)是什么��,還從技術(shù)提出的背景出發(fā)����,介紹相關(guān)云計算安全技術(shù)的提出意義。為滿足零基礎(chǔ)讀者的需要�,本書內(nèi)容深入淺出,用通俗易懂的語言詳細介紹云計算的相關(guān)理論及技術(shù)�。此外,本書還注重知識與技術(shù)的系統(tǒng)性��,以便讀者在全面了解云計算安全體系的同時�����,掌握云計算安全關(guān)鍵技術(shù),了解當(dāng)前最新的云計算安全前沿技術(shù)�����。本書可作為高等院校信息安全�����、計算機等相關(guān)專業(yè)的課程教材���,也可作為廣大云計算運維人員、云計算安全開發(fā)人員及對云計算安全感興趣的讀者的參考用書��。
孫磊�,教授,博導(dǎo)����,主要研究方向包括信息系統(tǒng)安全、云計算安全���、人工智能安全����、5G安全等。獲國家科技進步二等獎1項�,省部級科技進步一等獎2項,二等獎4項�����,申請國家發(fā)明專利12項�,發(fā)表學(xué)術(shù)論文50余篇。
第 1 章 云計算基礎(chǔ) .........................................................................................................1
1.1 云計算的基本概念 ........................................................................................................ 1
1.1.1 云計算的起源 ..................................................................................................... 1
1.1.2 云計算的定義與術(shù)語 ......................................................................................... 6
1.1.3 云計算的特點 ..................................................................................................... 7
1.1.4 云計算的優(yōu)勢 ..................................................................................................... 8
1.2 云計算的服務(wù)模型 ........................................................................................................ 9
1.2.1 基礎(chǔ)設(shè)施即服務(wù)(IaaS) .................................................................................. 9
1.2.2 平臺即服務(wù)(PaaS) ....................................................................................... 10
1.2.3 軟件即服務(wù)(SaaS) ....................................................................................... 12
1.2.4 3 種服務(wù)模型的對比分析 ................................................................................ 12
1.3 云計算的部署模式 ...................................................................................................... 14
1.3.1 私有云 ............................................................................................................... 14
1.3.2 公有云 ............................................................................................................... 15
1.3.3 社區(qū)云 ............................................................................................................... 16
1.3.4 混合云 ............................................................................................................... 18
1.4 云計算的總體架構(gòu) ...................................................................................................... 18
1.5 云操作系統(tǒng) OpenStack................................................................................................ 20
1.6 本章小結(jié) ...................................................................................................................... 26
第 2 章 云計算安全概述 ............................................................................................... 27
2.1 云計算的安全需求 ...................................................................................................... 27
2.2 云計算面臨的威脅 ...................................................................................................... 27
2.2.1 外包服務(wù)模式帶來的安全威脅 ....................................................................... 27
2.2.2 云管理員特權(quán)帶來的安全威脅 ....................................................................... 28
2.2.3 共享技術(shù)帶來的安全威脅 ............................................................................... 30
2.2.4 按需租用帶來的安全威脅 ............................................................................... 31
2.2.5 泛在互聯(lián)帶來的安全威脅 ............................................................................... 31
2.2.6 云安全聯(lián)盟給出的十二大云安全威脅 ........................................................... 32
2.3 云計算的脆弱性 .......................................................................................................... 36
2.3.1 云計算的層次架構(gòu) ........................................................................................... 36
2.3.2 應(yīng)用和接口層的脆弱性 ................................................................................... 37
2.3.3 平臺層的脆弱性 ............................................................................................... 38
2.3.4 基礎(chǔ)設(shè)施層的脆弱性 ....................................................................................... 39
2.3.5 保證與合規(guī)垂直面的脆弱性 ........................................................................... 42
2.4 云計算安全體系 .......................................................................................................... 43
2.5 本章小結(jié) ...................................................................................................................... 46
第 3 章 主機虛擬化安全 ............................................................................................... 47
3.1 虛擬化概述 .................................................................................................................. 47
3.1.1 虛擬化的基本概念 ........................................................................................... 47
3.1.2 平臺虛擬化的目的 ........................................................................................... 48
3.1.3 虛擬化架構(gòu) ....................................................................................................... 49
3.2 虛擬化技術(shù) .................................................................................................................. 51
3.2.1 CPU 虛擬化 ...................................................................................................... 51
3.2.2 內(nèi)存虛擬化 ....................................................................................................... 55
3.2.3 I/O 設(shè)備虛擬化 ................................................................................................. 58
3.3 虛擬化平臺的安全威脅 .............................................................................................. 65
3.3.1 虛擬機蔓延 ....................................................................................................... 65
3.3.2 特殊配置隱患 ................................................................................................... 66
3.3.3 狀態(tài)恢復(fù)隱患 ................................................................................................... 67
3.3.4 虛擬機暫態(tài)隱患 ............................................................................................... 68
3.3.5 長期未使用虛擬機隱患 ................................................................................... 68
3.4 虛擬化平臺的安全攻擊 .............................................................................................. 68
3.4.1 虛擬機鏡像的竊取和篡改 ............................................................................... 68
3.4.2 虛擬機跨域訪問 ............................................................................................... 69
3.4.3 虛擬機逃逸 ....................................................................................................... 69
3.4.4 VMBR 攻擊 ...................................................................................................... 72
3.4.5 拒絕服務(wù)(DoS)攻擊 .................................................................................... 72
3.4.6 基于 Cache 的側(cè)信道攻擊 ............................................................................... 73
3.5 虛擬化平臺的安全機制 .............................................................................................. 73
3.5.1 虛擬化平臺的安全防御架構(gòu) ........................................................................... 73
3.5.2 基于虛擬化平臺的安全模型 ........................................................................... 74
3.5.3 虛擬環(huán)境下的安全監(jiān)控機制 ........................................................................... 77
3.5.4 可信虛擬化平臺 ............................................................................................... 79
3.6 本章小結(jié) ...................................................................................................................... 86
第 4 章 容器安全 .......................................................................................................... 87
4.1 容器技術(shù) ...................................................................................................................... 87
4.1.1 容器技術(shù)概述 ................................................................................................... 87
4.1.2 容器的隔離機制 ............................................................................................... 88
4.1.3 容器與云計算 ................................................................................................... 91
4.2 容器安全 ...................................................................................................................... 92
4.2.1 容器面臨的威脅 ............................................................................................... 92
4.2.2 容器安全機制 ................................................................................................... 95
4.3 本章小結(jié) .................................................................................................................... 100
第 5 章 網(wǎng)絡(luò)虛擬化安全 ............................................................................................. 101
5.1 網(wǎng)絡(luò)虛擬化技術(shù) ........................................................................................................ 101
5.1.1 網(wǎng)絡(luò)基礎(chǔ)知識 ................................................................................................. 101
5.1.2 虛擬局域網(wǎng)(VLAN) .................................................................................. 106
5.1.3 Overlay 技術(shù) ................................................................................................... 112
5.2 軟件定義網(wǎng)絡(luò)及安全 ................................................................................................ 122
5.2.1 軟件定義網(wǎng)絡(luò)架構(gòu) ......................................................................................... 123
5.2.2 OpenFlow 規(guī)范 ............................................................................................... 124
5.2.3 ☆SDN 的安全問題 ........................................................................................ 129
5.2.4 ☆SDN 的安全技術(shù) ........................................................................................ 136
5.3 網(wǎng)絡(luò)功能虛擬化 ........................................................................................................ 141
5.3.1 網(wǎng)絡(luò)功能虛擬化解決的問題 ......................................................................... 141
5.3.2 網(wǎng)絡(luò)功能虛擬化的架構(gòu) ................................................................................. 143
5.3.3 NFV 與 SDN ................................................................................................... 144
5.4 虛擬私有云 ................................................................................................................ 145
5.4.1 虛擬私有云的概念 ......................................................................................... 145
5.4.2 VPC 網(wǎng)絡(luò)規(guī)劃 ................................................................................................ 146
5.4.3 VPC 與 SDN����、NFV ....................................................................................... 149
5.5 軟件定義安全 ............................................................................................................ 149
5.5.1 軟件定義安全的概念 ..................................................................................... 149
5.5.2 云數(shù)據(jù)中心的安全方案 ................................................................................. 152
5.6 本章小結(jié) .................................................................................................................... 154
第 6 章 云數(shù)據(jù)安全 .................................................................................................... 155
6.1 云數(shù)據(jù)面臨的安全威脅 ............................................................................................ 155
6.2 云數(shù)據(jù)安全技術(shù)的介紹 ............................................................................................ 157
6.3 云數(shù)據(jù)的加密存儲 .................................................................................................... 158
6.3.1 數(shù)據(jù)加密的基本流程 ..................................................................................... 158
6.3.2 基于客戶端主密鑰的客戶端加密 ................................................................. 159
6.3.3 基于云端托管主密鑰的客戶端加密 ............................................................. 162
6.3.4 基于客戶端主密鑰的云端加密 ..................................................................... 164
6.3.5 基于云端托管主密鑰的云端加密 ................................................................. 167
6.4 ☆云密文數(shù)據(jù)的安全搜索 ........................................................................................ 169
6.4.1 核心思想 ......................................................................................................... 169
6.4.2 基于對稱密碼學(xué)的可搜索加密 ..................................................................... 170
6.4.3 基于非對稱密碼學(xué)的可搜索加密 ................................................................. 174
6.5 ☆云密文數(shù)據(jù)的安全共享 ........................................................................................ 175
6.6 本章小結(jié) .................................................................................................................... 176
第 7 章 云計算安全認(rèn)證 ............................................................................................. 177
7.1 云計算環(huán)境中的認(rèn)證需求 ........................................................................................ 177
7.2 云計算安全認(rèn)證技術(shù) ................................................................................................ 179
7.2.1 安全認(rèn)證基礎(chǔ) ................................................................................................. 179
7.2.2 云計算安全認(rèn)證技術(shù) ..................................................................................... 180
7.3 云計算安全認(rèn)證協(xié)議 ................................................................................................ 182
7.3.1 基于 OAuth 的云安全認(rèn)證 ............................................................................ 182
7.3.2 基于 OpenID 的云安全認(rèn)證 .......................................................................... 185
7.3.3 基于 SAML 的云安全認(rèn)證 ............................................................................ 188
7.4 云計算安全認(rèn)證系統(tǒng)實現(xiàn) ........................................................................................ 190
7.4.1 統(tǒng)一認(rèn)證系統(tǒng)架構(gòu) ......................................................................................... 190
7.4.2 OpenStack 的身份認(rèn)證系統(tǒng) .......................................................................... 191
7.5 本章小結(jié) .................................................................................................................... 201
第 8 章 云計算訪問控制 ............................................................................................. 202
8.1 概述 ............................................................................................................................ 202
8.1.1 云計算的參與方 ............................................................................................. 202
8.1.2 訪問控制原理 ................................................................................................. 203
8.2 云租戶的內(nèi)部訪問控制 ............................................................................................ 204
8.3 云代理者的訪問控制 ................................................................................................ 208
8.4 不可信第三方應(yīng)用的臨時授權(quán)管理 ........................................................................ 212
8.5 ☆云訪問控制模型 .................................................................................................... 214
8.5.1 基于任務(wù)的訪問控制模型 ............................................................................. 214
8.5.2 基于屬性的訪問控制模型 ............................................................................. 217
8.5.3 基于 UCON 的訪問控制模型 ........................................................................ 221
8.5.4 基于屬性加密的訪問控制模型 ..................................................................... 224
8.6 本章小結(jié) .................................................................................................................... 228
9 章 ☆云數(shù)據(jù)安全審計技術(shù) .................................................................................. 229
9.1 云數(shù)據(jù)安全審計架構(gòu) ................................................................................................ 229
9.1.1 審計內(nèi)容架構(gòu) ................................................................................................. 229
9.1.2 審計流程架構(gòu) ................................................................................................. 230
9.2 數(shù)據(jù)持有性證明 ........................................................................................................ 230
9.2.1 基于 RSA 簽名的 PDP 機制 .......................................................................... 230
9.2.2 基于 BLS 簽名的 PDP 機制 .......................................................................... 232
9.2.3 支持動態(tài)操作的 PDP 機制 ............................................................................ 233
9.2.4 支持多副本的 PDP 機制 ................................................................................ 236
9.3 數(shù)據(jù)可恢復(fù)性證明 .................................................................................................... 239
9.3.1 基于哨兵的 POR 機制 ................................................................................... 239
9.3.2 緊縮的 POR 機制 ........................................................................................... 240
9.4 本章小結(jié) .................................................................................................................... 242
第 10 章 ☆密碼服務(wù)云............................................................................................... 243
10.1 云密碼服務(wù)簡介 ...................................................................................................... 243
10.2 密碼服務(wù)云的總體架構(gòu) .......................................................................................... 244
10.3 密碼服務(wù)云系統(tǒng) ...................................................................................................... 250
10.4 密碼服務(wù)云工作原理 .............................................................................................. 253
10.5 本章小節(jié) .................................................................................................................. 254
第 11 章 ☆零信任模型............................................................................................... 255
11.1 零信任概述 .............................................................................................................. 255
11.1.1 零信任產(chǎn)生的背景 ....................................................................................... 255
11.1.2 零信任定義 ................................................................................................... 256
11.1.3 零信任的發(fā)展歷程 ....................................................................................... 256
11.2 零信任體系 .............................................................................................................. 257
11.2.1 零信任訪問模型 ........................................................................................... 257
11.2.2 零信任原則 ................................................................................................... 257
11.2.3 零信任的核心技術(shù) ....................................................................................... 258
11.2.4 零信任體系的邏輯組件 ............................................................................... 260
11.3 零信任網(wǎng)絡(luò)安全應(yīng)用 .............................................................................................. 261
11.3.1 遠程移動辦公應(yīng)用 ....................................................................................... 261
11.3.2 谷歌 BeyondCorp .......................................................................................... 263
11.4 本章小結(jié) .................................................................................................................. 266
參考文獻 ...................................................................................................................... 267
書單推薦
