推薦語
序言1
序言2
前 言

第 1 章 雲端安全基礎
1.1 雲端安全定義
1.2 雲端安全理念與責任共擔模型
1.3 雲端安全產業與產品
1.4 雲端安全優勢

第 2 章 雲端安全係統
2.1 NIST CSF
2.2 CAF
2.3 GDPR
2.4 ATT&CK 雲端安全攻防模型
2.5 零信任網路
2.6 ISO 27000 係列安全標準
2.7 SOC
2.8 FedRAMP

第 3 章 雲端安全治理模型
3.1 如何選擇雲端安全治理模型
3.2 如何建構雲端安全治理模型

第 4 章 雲端安全規劃設計
4.1 雲端安全規劃方法
4.2 雲端資產的定義和分類
4.3 雲端安全建設路徑

第 5 章 NIST CSF 雲端安全建設實踐
5.1 雲端安全辨識能力建設
5.2 雲端安全保護能力建設
5.3 雲端安全檢測能力建設
5.4 雲端安全迴應能力建設
5.5 雲端安全恢復能力建設

第 6 章 雲端安全動手實驗—基礎篇
6.1 Lab1：手工創建第一個根使用者帳戶
6.2 Lab2：手工設定第一個IAM 使用者和角色
6.3 Lab3：手工創建第一個安全資料倉儲帳戶
6.4 Lab4：手工設定第一個安全靜態網站
6.5 Lab5：手工創建第一個安全運行維護堡壘機
6.6 Lab6：手工設定第一個安全開發環境
6.7 Lab7：自動部署IAM 群組、策略和角色
6.8 Lab8：自動部署VPC 安全網路架構
6.9 Lab9：自動部署Web 安全防護架構
6.10 Lab10：自動部署雲端WAF 防禦架構

第 7 章 雲端安全動手實驗—提升篇
7.1 Lab1：設計IAM 進階許可權和精細策略
7.2 Lab2：整閤IAM 標籤細顆粒存取控製
7.3 Lab3：設計Web 應用的Cognito 身份驗證
7.4 Lab4：設計VPC EndPoint 安全存取策略
7.5 Lab5：設計WAF 進階Web 防護策略
7.6 Lab6：設計SSM 和Inspector 漏洞掃描與加固
7.7 Lab7：自動部署雲端上威脅智慧檢測
7.8 Lab8：自動部署Config 監控並修復S3 符閤規範性
7.9 Lab9：自動部署雲端上漏洞修復與符閤規範管理

第 8 章 雲端安全動手實驗—綜閤篇
8.1 Lab1：整閤雲端上ACM 私有CA 數位憑證係統
8.2 Lab2：整閤雲端上的安全事件監控和應急迴應
8.3 Lab3：整閤AWS 的PCI-DSS 安全符閤規範性架構
8.4 Lab4：整閤DevSecOps 安全敏捷開發平颱
8.5 Lab5：整閤AWS 雲端上綜閤安全管理中心
8.6 Lab6：AWS WA Labs 動手實驗

第 9 章 雲端安全能力評估
9.1 雲端安全能力評估的原則
9.2 雲端安全能力評估內容

第 10 章 雲端安全能力教育訓練與認證係統
10.1 雲端安全技能認證
10.2 競訓平颱AWS Jam

第 11 章 雲端安全的發展趨勢
11.1 世界雲端安全的發展趨勢
11.2 新時期雲端運算安全

 

前言

　　2019 年11 月，電子工業齣版社李淑麗編輯嚮我約稿，希望我能寫一本指導雲端運算相關公司建構雲端運算安全能力的書，於是有瞭本書。感謝李淑麗編輯讓我和電子工業齣版社能夠再續前緣，希望以後能夠基於興趣繼續和電子工業齣版社閤作齣版好書。雲端運算產業的發展已經進入第二個十年，雲端運算身為基礎設施已經開始大規模支持各行各業的發展。本書在參考軟體工程的思想和NIST CSF（National Institute of Standards and Technology Cybersecurity Framework，美國國傢標準與技術研究院網路安全框架）的基礎上，將雲端運算安全能力建設對應到NIST CSF 中，從雲端運算安全能力建設的角度由淺入深地複習雲端運算安全產業實踐的基本常識、雲端安全能力建構的基礎實驗與雲端運算產業安全的綜閤實踐。我們希望本書能夠對雲端運算相關產業的安全能力建設造成參考作用。本書編寫原則：①少而精。隻介紹與雲端安全相關的成熟的知識、技術、方法與實踐。②自成邏輯。每個章節既可以自成係統，又可以作為本書的一部分來組成整體知識係統。③由淺入深，從入門到精通。在介紹基本原理的基礎上，以雲端運算應用安全能力建設為主，重點介紹在雲端安全能力建設中的典型案例與實驗。本書共分為11 章。第1 章介紹雲端安全的基礎知識，包括雲端運算的基本定義、雲端運算的發展階段、雲端安全的定義、雲端安全的理念與責任共擔模型、雲端安全產業的發展，以及基於雲端運算的安全產品。第2 章介紹雲端安全相關的幾種框架和係統，重點介紹NIST CSF 和雲端採用框架（Cloud Adoption Framework，CAF），其他的安全係統作為補充簡介。第3 章介紹雲端安全治理模型，主要從戰略的角度介紹如何選擇雲端安全治理模型、如何建構雲端安全治理模型和如何實踐雲端安全治理模型。其目的是為不同規模的使用者提供從上往下的參考模型，為不同安全要求的使用者提供可參考的雲端安全規劃設計架構。第4 章介紹雲端安全的需求、規劃、建設和實施路徑。不同產業、不同規模的公司對雲端安全起點的要求是不一樣的。為瞭更進一步地幫助使用者選擇適閤自己的安全建設目標和路徑，我們基於Security by Design (SbD) 方法將使用者的實際情況和發展方式進行瞭梳理，從而提供給使用者可參考的、持續的雲端安全規劃和建設路徑。第5 章將雲端運算安全建設實踐對應到NIST CSF 框架中，以Amazon WebServices（本書中簡稱為AWS）雲端原生安全產品和服務為例，介紹在雲端運算安全建設實踐中與NIST CSF 對應的雲端安全辨識能力、雲端安全保護能力、雲端安全檢測能力、雲端安全迴應能力和雲端安全恢復能力。第6 ∼ 8 章為基礎篇、提高篇和綜閤篇，分別介紹雲端安全綜閤能力建設的實踐與實驗。第6 章基礎篇是雲端上基礎安全實驗，適閤雲端安全初學者，主要目的是幫助初學者動手操作，快速學習雲端上基本的安全性原則、安全功能和安全服務，並幫助讀者學習設定自動部署雲端安全實驗場景和安全最佳實踐。其包括10 個基礎實驗：手工創建第一個根使用者帳戶；手工設定第一個IAM 使用者和角色；手工創建第一個安全資料倉儲帳戶；手工設定第一個安全靜態網站；手工創建第一個安全運行維護堡壘機；手工設定第一個安全開發環境；自動部署IAM 組、策略和角色；自動部署VPC 安全網路架構；自動部署Web 安全防護架構；自動部署雲端WAF 防禦架構。第7 章提高篇是雲端上安全進階實驗組，主要目的是幫助讀者深入學習雲端上的安全服務和技術，深度體驗雲端上安全能力的設計與實現。其包括9 個提高實驗：設計IAM 進階許可權和精細策略；整閤IAM 標籤細粒度存取控製；設計Web 應用的Cognito 身份驗證；設計VPC EndPoint 安全存取策略；設計WAF 進階Web 防護策略；設計SSM 和Inspector 漏洞掃描與加固；自動部署雲端上威脅智慧檢測；自動部署Config 監控並修復S3 符閤規範性；自動部署雲端上漏洞修復與符閤規範管理。第8 章綜閤篇是雲端上安全綜閤實驗組，主要目的是幫助讀者全麵進行自訂安全整閤和綜閤複雜安全架構的設計與實現。其包括6 個綜閤實驗：整閤雲端上ACM 私有CA 數位憑證係統；整閤雲端上的安全事件監控和應急迴應；整閤AWS 的PCI-DSS 安全符閤規範性架構；整閤DevSecOps 安全敏捷開發平颱；整閤AWS 雲端上綜閤安全管理中心； AWS Well-Architected Labs 動手實驗。第9 章介紹雲端安全能力評估。本章基於CAF 和CSF 模型，聚焦於指導企業評估採用雲端服務時應具備的安全能力，以及如何保證雲端上安全建設與主流雲端廠商的最佳實踐保持一緻。本章從評估原則、範圍、方法等角度齣發，指導企業從實際齣發評估雲端上安全能力，從實際齣發製定自己的建設計畫。第10 章以AWS 的認證係統和競訓平颱為例，幫助企業瞭解不同知識儲備的員工可以透過哪些課程、認證和訓練平颱來培養、改進和提升雲端運算及雲端安全的技能。第11 章介紹雲端安全的發展趨勢與雲端安全麵臨的挑戰。本書可以作為雲端運算相關產業從業者和具備基本電腦知識的學生，從入門到精通學習雲端安全實踐的技術參考書。雲端運算技術和安全技術發展得很快，本書的內容可能存在遺漏甚至錯誤的地方，懇請讀者不吝批評指正。本書獲得瞭亞馬遜AWS 大中華區產品部總經理顧凡先生，亞馬遜AWS 大中華區市場部總經理邱勝先生，亞馬遜AWS 大中華區公共關係部門總監鐘敏先生的大力支持。本書獲得瞭電子工業齣版社的大力支持，電子工業齣版社編輯李淑麗女士為本書的齣版做瞭大量的工作。本書還獲得瞭業界專傢學者的評審和推薦，還有一些專傢學者和朋友評閱瞭本書的初稿，在此一併緻以誠摯的謝意。沒有你們的支持就不可能有本書的順利齣版，謝謝你們！最後要感謝我的兒子。在傢寫稿的過程中，他常常站在我的身旁看我寫作，也熱切地期盼著本書的齣版，他的關注給瞭我完成本書的動力。