軟體開發身分安全實務|開發人員必須掌握的最佳做法 (Identity Security for Software Development: Best Practices That Every Developer Must Know)
John Walsh, Uzi Ailon, Matt Barker
商品描述
打造預設即安全的軟體系統!
從身分驗證、授權、機密管理到機器身分,一次掌握現代軟體開發的身分安全最佳做法。
機密資訊、身分憑據與機器身分的安全管理,是現代軟體開發過程極為重要的一環,然而卻常被輕忽。DevOps安全往往偏重在漏洞修補,反而忽略了身分驗證、授權及存取控制等重要議題,以致在無意間為資安入侵開啟一扇大門。想要真正發揮保護作用,從專案一開始就該將「身分安全策略」整合到程式碼、基礎架構與各種環境裡。
本書以實務為導向,作者John Walsh、Uzi Ailon和Matt Barker藉由提供概念性框架、技術總覽及實用的程式碼範例,協助讀者彌合軟體開發、IT與資安之間的落差,讓穩固的身分安全機制全面整合至應用程式、CI/CD管線、Kubernetes,以及雲端原生、混合雲與多雲環境、流程自動化、IoT等各種應用情境中。
讀者可從本書學到:
• 開發人員在建構更安全應用程式時,必須瞭解的機密資訊與身分管理等關鍵知識。
• 什麼是機器身分、機密與身分憑據,以及如何保護它們。
• 如何保護軟體供應鏈,以建構更安全的應用程式。
• 如何將身分安全融入現代軟體開發實務。
作者簡介
John Walsh是一位擁有15年以上經驗的軟體安全專家,以清晰傳達複雜的軟體供應鏈安全觀念而受到推崇。
Uzi Ailon是一位資深軟體工程專家,相當瞭解《財星》500強(Fortune 500)企業的業務目標,以及企業在權衡創新與安全所面臨的獨特挑戰。
Matt Barker是Jetstack的共同創辦人暨前執行長,該公司以「cert-manager」開源專案聞名。Matt Barker目前任職於CyberArk,負責工作負載的身分識別架構。
目錄大綱
前言
翻譯風格說明
chapter 01 身分安全的基礎知識
身分安全的重要性
零信任身分安全
現今企業環境讓身分安全變得更難保護
機器身分的挑戰
常見的攻擊類型
淺談身分安全
本章小結
chapter 02 具身分安全的程式開發實務
零信任模型
最佳實務作法
認識安全標準
本章小結
chapter 03 身分驗證與授權
AuthN
AuthZ
本章小結
chapter 04 身分識別和存取管理的方案和協定
IAM的核心組件
IAM的重要性
身分生命週期管理
IAM的架構模型
與IAM有關的重要標準
IAM的新興趨勢
本章小結
chapter 05 密牒管理
密牒管理的重要性
密牒管理原則
程式裡的密牒管理
密牒管理工具和框架
本章小結
chapter 06 雲端安全與雲端原生考量
雲端運算和安全的背景知識
小心不當的安全設定
雲端原生與平移上雲
保護雲端應用程式安全的指導原則
比較各家的IAM服務
本章小結
chapter 07 Kubernetes的安全防護
Kubernetes的運作方式
Kubernetes的安全問題
Kubernetes裡的密牒管理
Kubernetes安全的最佳實務
使用SPIFFE處理Kubernetes上的身分識別管理
使用cert-manager實作TLS身分安全自動化
使用服務網格保護叢集
本章小結
chapter 08 安全自動化
安全自動化的重要性
安全自動化的類型
適合自動化的安全流程
安全自動化實務
範例:搭配Ansible和Conjur開源版的安全自動化
本章小結
chapter 09 CI/CD管線和軟體供應鏈安全
保護CI/CD管線安全的重要性
CI/CD安全的根基
本章小結
索引









