內(nèi)容簡介這既是一本全面講解網(wǎng)絡安全���,特別是混合云安全的著作����,它全方位地講解了混合云環(huán)境下的網(wǎng)絡安全的理論與實踐����。本書由阿里云安全團隊前身份安全和零信任系列產(chǎn)品負責人撰寫,力求全面�����,全面講解混合云安全的概念、技術����、產(chǎn)品����、服務、運營和團隊建設�����;力求實踐�����,基于作者豐富安全經(jīng)驗��,從攻防雙重視角總結大量方法和最佳實踐�;力求圖解,利用大量圖表輔助講解�����,先整體后局部����,讓復雜的更知識通俗易懂���。全書一共11章,各章的核心內(nèi)容如下:第1章立足于網(wǎng)絡安全理論�����,如縱深防御和紅藍對抗等�,奠定了混合云安全的理論根基。第2章以業(yè)務為出發(fā)點��,闡述了業(yè)務發(fā)展與混合云安全措施的相互關系����。第3章專注于團隊建設,強調了安全從業(yè)人員在混合云環(huán)境下需要持續(xù)更新的知識技能�。第4~8章從網(wǎng)絡邊界、計算環(huán)境���、網(wǎng)站應用����、辦公安全和數(shù)據(jù)安全等多個角度�,深入探討了混合云環(huán)境下的具體安全問題和相應的解決方案。第9章作為核心篇章,詳細解析了將傳統(tǒng)數(shù)據(jù)中心與公有云相結合的混合云環(huán)境所面臨的安全需求和挑戰(zhàn)����,特別講解了公有云上獨特的安全技術和方法。第10~11章從安全運營和內(nèi)控合規(guī)兩個角度���,講解了如何在混合云環(huán)境下緊跟時代,并滿足各方面的合規(guī)要求����。本書旨在幫助首席安全官(CSO)、系統(tǒng)架構師�、開發(fā)工程師、安全運維人員以及大學生�,共同迎接人工智能時代帶來的安全新機遇和挑戰(zhàn)。
(1)資深安全專家�、阿里云安全前身份安全和零信任系列產(chǎn)品負責人撰寫(2)力求全面,全面講解混合云安全的概念�����、技術�、產(chǎn)品、服務��、運營和團隊建設(3)力求實踐,基于作者豐富安全經(jīng)驗���,從攻防雙重視角總結大量方法和最佳實踐(4)力求圖解���,利用大量圖表輔助講解,先整體后局部���,讓復雜的更知識通俗易懂(5)賽博英杰創(chuàng)始人兼董事長譚曉生����、IDF極安客實驗室創(chuàng)始人萬濤(老鷹)�����、 長亭科技CEO肖力等多位專家高度評價并推薦�。
Preface 前言
為什么要寫這本書
自從 20 多年前開始從事政企 IT 軟件工作以來,我深刻地了解到國內(nèi)外軟件行業(yè)的差異��。國內(nèi)軟件往往由甲方驅動�����,存在較多的碎片化問題����,邊界常常按照組織架構來劃分�;國外軟件往往由乙方驅動�,投入較大,相比于國內(nèi)軟件���,甲乙雙方各司其職�����,接口開放,可以實現(xiàn)產(chǎn)品間的協(xié)同聯(lián)動����。
安全永遠是對抗狀態(tài)下的安全。在 2022 年卡塔爾足球世界杯上�����,我們欣賞了明星球員的個人能力和球隊整體的精彩配合��。同樣��,在安全領域也有“明星球員”�����,態(tài)勢感知
(SA)、安全信息和事件管理(SIEM)系統(tǒng)�、安全運營中心(SOC)、安全編排自動化與響應(SOAR)平臺等關鍵技術就是安全方案的中場核心���,是安全領域的“明星球員”���。
面對攻擊,我們需要從多個維度進行評估�����。防火墻���、Web 應用防火墻(WAF)�、主機入侵檢測系統(tǒng)(HIDS)�、終端檢測與響應(EDR)系統(tǒng)等在安全整體布局和聯(lián)防聯(lián)控中仍起著重要的作用。因此�����,在龐雜的產(chǎn)品環(huán)境中���,要實現(xiàn)這些網(wǎng)絡安全設備的融合����,理解業(yè)務流程,掌握網(wǎng)絡安全知識�,熟悉攻防技術,不能寄希望于僅僅依賴設備本身來抵御和發(fā)現(xiàn)所有的網(wǎng)絡攻擊����。
我看過不少書,也聆聽過眾多演講���,常常對看到��、聽到的新知識嘆為觀止。然而�,大部分知識是零散的。我日常接觸到的網(wǎng)絡安全產(chǎn)品推薦�、工具用法及攻擊過程等方面的內(nèi)容, 全面的理論指導和實踐類的作品
較多��。拿一個“貓如何快速吃到魚”的迷宮游戲(見圖 1)來類比��,初學者面臨的網(wǎng)絡世界何嘗不是如此��,所有的網(wǎng)絡流量大致可以歸納為不同角色的主體(圖
1 中的狗、老鼠和貓可以類比為用戶�、黑客和管理員),他們?nèi)ピL問不同類型的客體(圖 1 中
的魚�、骨頭和奶酪可以類比為文圖 1 迷宮游戲
IV
件、數(shù)據(jù)和接口)�。圖 1 左圖看起來還不算復雜,那么圖 1 右圖中的貓該如何去找魚呢��?
在網(wǎng)絡空間中��,這個問題更為復雜�,路徑真實存在,但是大家看不見����、摸不著。平時工作很忙�,將眾多乙方的產(chǎn)品無縫融入甲方現(xiàn)有的 IT 基礎設施,并且傳遞安全知識給新來的同事是非常困難的事��。作為一個有安全創(chuàng)業(yè)經(jīng)歷及多年軟件開發(fā)經(jīng)驗的從業(yè)者���,我骨子里是看到問題就想解決問題�,因此���,我有一種去做點什么的迫切沖動���。開發(fā)一款軟件來解決這個問題是一個過于宏大的話題���,To B 產(chǎn)品非幾十上百人的團隊不敢想;寫書是切實可行的����。坐而言不如起而行,這就是本書誕生的背景��。
讀者對象
本書適合以下讀者閱讀:
◆初入網(wǎng)絡安全行業(yè)的安全運維和安全服務人員��;
◆網(wǎng)絡安全相關專業(yè)的教師和學生��;
◆政府和企事業(yè)單位的安全架構師���、CIO 和 CSO。
本書特色
本書旨在基于實戰(zhàn)經(jīng)驗��,以圖解的方式介紹組織需要考慮的典型信息安全工作����。除了強調利用云原生應用保護平臺(CNAPP)���、云安全態(tài)勢管理(CSPM)、SOC 和 SIEM 系統(tǒng)等有能力處理海量數(shù)據(jù)的安全平臺來彌補傳統(tǒng)的安全產(chǎn)品單兵作戰(zhàn)能力的不足����,本書還試圖通過一張圖將 IT 團隊內(nèi)部的信息安全與研發(fā)、運維�����、測試��、應急等需要密切協(xié)作的部門聚焦起來(見圖 2)�,以實現(xiàn)更好的跨團隊協(xié)同作戰(zhàn)。
安全攻防如同行軍打仗��。通過城防大圖����,可以看到一個組織需要關注的不僅有網(wǎng)絡通信安全,還有很多作為基礎的專業(yè)安全設備�����,覆蓋網(wǎng)站安全、辦公安全��、開發(fā)安全�����、依法合規(guī)等����。總之���,梳理出攻擊鏈路后的掛圖作戰(zhàn)能促進基于上下文的縱深防御��,看清有無漏洞���、風險及攻擊,顯著提升人員效能等����。
廣度是深度的副產(chǎn)品。在我的印象中���,混合云安全的相關知識點非常多。本書強調結構化思維,力求做到以下三點���。
◆力求圖解:利用圖表��、流程圖和示意圖來輔助解釋復雜的安全概念�����,先整體再局部��, 展示影響網(wǎng)站的方方面面��,而不是專注在 WAF�����,一頭扎進細節(jié)而管中窺豹����。
◆力求全面:這恐怕是市面上最全的一本介紹混合云安全產(chǎn)品和服務的書了��;除了安全產(chǎn)品和技術����,本書介紹了人才的安全運營和依法合規(guī),避免顧此失彼。
◆力求實踐:根據(jù)我多年來積累的安全工作經(jīng)驗���,尤其是防守方視角的經(jīng)驗��,推薦最佳實踐來提升混合云環(huán)境的安全性���。從蠕蟲勒索防御到云上訪問密鑰(Access Key,AK) 泄露�����,你都可以從本書中找到最新的知識與實踐��,避免成為眼高手低的“理論家”���。
V
圖 2 跨團隊協(xié)作
我常常在想:假如我有一天成為一個組織的首席安全官(CSO)���,我的工作應當從哪里開始?如何組建一支由安全分析師�����、安全工程師和安全運營人員組成的有力團隊����,以確保組織的混合云環(huán)境能及時檢測風險和應對威脅���?希望本書在回答我這個問題的同時�,也能給讀者帶來裨益。
如何閱讀本書
本書章節(jié)組織如下���。
第 1 章:網(wǎng)絡安全 詳細介紹了網(wǎng)絡安全的重要概念和策略���,涵蓋縱深防御、紅藍對抗和業(yè)務 CIA 原則等關鍵內(nèi)容�。
第 2 章:業(yè)務安全 介紹了業(yè)務與安全的關系,即業(yè)務的發(fā)展與安全相互促進����,重點講述業(yè)務的支撐體系及對應的安全措施。
第 3 章:團隊建設 網(wǎng)絡安全技術更新非常迅速�����,網(wǎng)絡安全人才
阿里云資深安全技術專家�,創(chuàng)辦北京九州云騰科技有限公司,后被阿里云全資收購��。深耕安全領域近20年,有著豐富的國內(nèi)外云安全行業(yè)經(jīng)驗��。被阿里云并購后���,負責應用身份安全IDaaS及衍生的零信任安全產(chǎn)品線��。過去幾年帶領團隊打造了業(yè)界知名的多租戶IDaaS云服務���,基于PKI的移動認證App等,為行業(yè)的突破發(fā)展貢獻了力量��。
Contents 目錄
前言
第 1 章網(wǎng)絡安全1
2.2.2更多行業(yè)23
2.3 梳 理 資產(chǎn)24
2.3.1從資產(chǎn)關系開始24
第 2 章業(yè)務安全20
2.8.1身份認證系統(tǒng)的安全
功能44
2.1沒有絕對的安全20
2.1.1人是最脆弱的環(huán)節(jié)21
2.92.8.2身份安全產(chǎn)品45
實人安全45
2.1.2安全體系212.9.1實人認證系統(tǒng)的安全
2.2識別業(yè)務安全的意義22
2.2.1金融行業(yè)23功能45
2.9.2實人安全產(chǎn)品45
VIII
2.10 移 動 App 安全463.5.7安全項目經(jīng)理63
2.10.1移動 App 的安全功能463.5.8安全產(chǎn)品銷售63
2.10.2移動 App 安全產(chǎn)品463.5.9安全培訓講師63
2.11 小程序安全463.5.10創(chuàng)業(yè)公司多面手64
2.11.1小程序的安全功能473.5.11首席技術官64
2.11.2小程序安全產(chǎn)品47
2.12 本 章 小結47
第 3 章團隊建設48
3.1人才標準49
3.2從業(yè)者50
3.2.1分類50
3.2.2個人動機與團隊文化53
3.2.3個人能力54
3.3攻擊方人才成長55
3.3.1業(yè)余愛好者56
3.6監(jiān)管人才成長64
3.6.1網(wǎng)安警務人員66
3.6.2行業(yè)監(jiān)管人員66
3.7安全資格認證66
3.7.1人才培訓66
3.7.2靶場及實驗室67
3.7.3證書70
3.8本章小結71
第 4 章網(wǎng)絡邊界安全72
4.1 網(wǎng)絡基本知識73
3.4.7安全合規(guī)評估工程師60
3.4.8首席安全官60
3.5廠商人才成長61
4.3 安全設備及技術95
4.3.1防火墻95
4.3.2網(wǎng)閘98
3.5.1安全技術售前614.3.3統(tǒng)一威脅管理平臺99
3.5.2安全技術售后624.3.4網(wǎng)絡威脅檢測及響應
3.5.3安全服務工程師62系統(tǒng)101
3.5.4安全產(chǎn)品研發(fā)工程師624.3.5入侵檢測系統(tǒng)104
3.5.5安全產(chǎn)品測試工程師634.3.6入侵防御系統(tǒng)106
3.5.6安全產(chǎn)品經(jīng)理634.3.7虛擬專用網(wǎng)絡109
IX
4.3.8軟件定義網(wǎng)絡1115.1.1主機服務器安全126
4.3.9軟件定義廣域網(wǎng)1125.1.2Linux 服務器安全127
4.4其他網(wǎng)絡邊界安全設備1135.1.3Windows 服務器安全129
4.4.1DNS1135.1.4虛擬私有服務器安全132
4.4.2SSL 證書1145.1.5容器安全133
4.5公有云網(wǎng)絡安全1155.1.6服務網(wǎng)格安全135
4.5.1虛擬交換機1165.1.7無服務器安全137
4.5.2虛擬路由器1165.1.8沙盒安全139
4.5.3VPC1165.1.9存儲安全140
4.5.4區(qū)域1175.1.10主機入侵檢測系統(tǒng)
4.5.5可用分區(qū)117安全141
4.5.6安全組與自身安全1175.1.11堡壘機安全143
4.5.7應用負載均衡器與自身5.1.12特權賬號管理系統(tǒng)
安全117安全147
4.5.8彈性公網(wǎng) IP 地址與自身5.1.13主機漏掃工具安全150
4.5.9安全118
網(wǎng)絡地址轉換網(wǎng)關與自身5.2災備環(huán)境安全150
5.2.1兩地三中心151
安全1185.2.2混合云災備152
4.5.10云防火墻與自身安全1185.3公有云安全152
4.5.11云 VPN 網(wǎng)關與自身5.3.1公有云規(guī)劃工具152
安全1195.3.2公有云安全實現(xiàn)153
4.5.12智能接入網(wǎng)關與自身
安全1195.4私有云安全157
5.4.1私有云規(guī)劃工具158
4.6網(wǎng)絡漏掃120
4.6.1網(wǎng)絡漏掃工具的作用120
4.6.2網(wǎng)絡漏掃工具的功能120
4.6.3網(wǎng)絡漏掃工具的部署
位置121
4.6.4網(wǎng)絡漏掃工具安全121
4.6.5網(wǎng)絡漏掃工具聯(lián)動121
4.6.6網(wǎng)絡漏掃產(chǎn)品122
4.7本章小結123
第 5 章基礎計算環(huán)境安全124
5.1 數(shù)據(jù)中心設備安全125
5.4.2私有云安全實現(xiàn)158
5.5 本 章 小結159
第 6 章網(wǎng)站安全160
6.1網(wǎng)站的縱深防御161
6.1.1HTTP162
6.1.2網(wǎng)站的架構163
6.1.3攻擊路徑分析164
6.1.4安全產(chǎn)品的組合166
6.1.5WAAP166
6.2Web 安全167
6.2.1OWASP 簡介167
X
6.2.2SQL 注入168
6.2.3Webshell 上傳方式168
6.2.4猖獗的內(nèi)存馬168
6.2.5Burp Suite 工具169
6.3 云 抗 D170
6.3.1云抗 D
書單推薦![一本書講透混合云安全 [加拿大]尚紅林](/uploadfile/202406/9787111749677.jpg)
