電腦類專業系統能力培養系列教材:雲安全原理與實踐 计算机类专业系统能力培养系列教材:云安全原理与实践

本書介紹了雲安全的基本概念、原理、技術，主要內容包括雲安全的風險分析、主機虛擬化安全、網絡虛擬化安全、身份管理與訪問控制、雲數據安全、雲運維安全、雲服務的安全使用、雲安全解決方案以及雲計算相關標準、法規等，並通過產業案例使讀者掌握雲安全的相關技術，從產業發展角度理解雲安全的技術發展趨勢。本書適合作為高等院校信息安全、電腦、電子工程及相關專業本科生及研究生雲安全相關課程的教材，也可作為雲安全的從業人員的技術參考書。

博士，教授，博士生導師。四川大學信息管理中心副主任，網絡空間安全學院院長，四川省計算機學會副秘書長，網絡與信息系統專委會副主任，四川省學術與技術帶頭人後備人選。

叢書序言
本書編委會
序
前言

第一部分雲安全基礎
第1章云計算基礎2 
1.1雲計算的發展歷程2 
1.1.1雲計算的起源與發展3 
1.1.2雲計算的主要廠商與社區6 
1.2雲計算的基本概念6 
1.2.1雲計算的定義與術語6 
1.2.2雲計算的主要特性7 
1.2.3服務模式8 
1.2.4部署模式10 
1.3雲計算的應用案例13 
1.3.1政府部門13 
1.3.2金融行業14 
1.3.3醫藥行業15 
1.3.4 12306網站15 
1.4小結15 
1.5參考文獻與進一步閱讀16
 
第2章云計算安全風險分析17 
2.1雲計算面臨的技術風險17 
2.1.1物理與環境安全風險17 
2.1.2主機安全風險18 
2.1.3虛擬化安全風險18 
2.1.4網絡安全風險19 
2.1.5安全漏洞20 
2.1.6數據安全風險22 
2.1.7加密與密鑰風險24 
2.1. 8 API安全風險24
2.1.9安全風險案例分析26 
2.2雲計算面臨的管理風險27 
2.2.1組織與策略風險27 
2.2.2數據歸屬不清晰28 
2.2.3安全邊界不清晰29 
2.2.4內部竊密29 
2.2.5權限管理混亂29 
2.3雲計算面臨的法律法規風險29 
2.3.1數據跨境流動29 
2.3.2集體訴訟31 
2.3.3個人隱私保護不當31 
2.4雲計算安全設計原則32 
2.4.1最小特權33 
2.4.2職責分離33 
2.4.3縱深防禦33 
2.4.4防禦單元解耦35 
2.4.5面向失效的安全設計35 
2.4.6回溯和審計35 
2.4.7安全數據標準化36 
2.5小結36 
2.6參考文獻與進一步閱讀36 

第二部分雲計算服務的安全能力與運維
第3章主機虛擬化安全38 
3.1主機虛擬化技術概述38 
3.1.1主機虛擬化的概念38 
3.1.2主機虛擬化實現方案39 
3.1.3主機虛擬化的特性41 
3.1.4主機虛擬化的關鍵技術42 
3.1.5主機虛擬化的優勢47
3.1.6主機虛擬化上機實踐50 
3.2主機虛擬化的主要安全威脅60 
3.2.1虛擬機信息竊取和篡改62 
3.2.2虛擬機逃逸62 
3.2.3 Rootkit攻擊63 
3.2.4分佈式拒絕服務攻擊64 
3.2.5側信道攻擊64 
3.3主機虛擬化安全的解決方案64 
3.3.1虛擬化安全防禦架構65 
3.3.2宿主機安全機制65 
3.3.3 Hypervisor安全機制66 
3.3.4虛擬機隔離機制68 
3.3 .5虛擬可信計算技術69 
3.3.6虛擬機安全監控73 
3.3.7虛擬機自省技術75 
3.3.8主機虛擬化安全最佳實踐77 
3.4小結82 
3.5參考文獻與進一步閱讀82 

第4章網絡虛擬化安全84 
4.1網絡虛擬化技術概述84 
4.1.1傳統網絡虛擬化技術——VLAN 84 
4.1.2雲環境下的網絡虛擬化技術85 
4.1.3軟件定義網絡與OpenFlow 89 
4.1.4 IaaS環境下網絡安全域的劃分與構建91 
4.2虛擬網絡安全分析93 
4.2.1網絡虛擬化面臨的安全問題93 
4.2.2 SDN面臨的安全威脅95
4.3 VPC 95 
4.3.1 VPC的概念95 
4.3.2 VPC的應用96 
4.4網絡功能虛擬化與安全服務接入103 
4.4.1網絡功能虛擬化103 
4.4.2雲環境中的安全服務接入105 
4.4. 3安全服務最佳實踐108 
4.5小結111 
4.6參考文獻與進一步閱讀111 

第5章身份管理與訪問控制113 
5.1身份管理113 
5.1.1基本概念113 
5.1.2雲計算中的認證場景117 
5.1.3基於阿里雲的身份管理最佳實踐121 
5.2授權管理123 
5.2.1基本概念123 
5.2.2典型訪問控制機制126 
5.2.3雲計算中典型的授權場景129 
5.2.4基於阿里雲RAM的權限管理實踐132 
5.3小結137 
5.4參考文獻與進一步閱讀137 

第6章云數據安全139 
6.1數據安全生命週期139 
6.2加密和密鑰管理141 
6.2.1加密流程及術語141 
6.2.2客戶端加密方式142 
6.2.3雲服務端加密方式143 
6.2.4云密碼機服務144 
6.2.5密鑰管理服務146
6.2.6數據存儲加密149 
6.2.7數據傳輸加密150 
6.3數據備份和恢復151 
6.3.1數據備份151 
6.3.2數據恢復演練153 
6.3.3備份加密153 
6.4數據容災154 
6.5數據脫敏155 
6.6數據刪除156 
6.6.1覆蓋157 
6.6.2消磁157 
6.6.3物理破壞157 
6.7阿里雲數據安全157 
6.8小結158 
6.9參考文獻與進一步閱讀158 

第7章云運維安全159 
7.1雲運維概述159 
7.2基礎設施運維安全159 
7.2.1物理訪問控制160 
7.2.2視頻監控161 
7.2.3存儲介質管理161 
7.2.4訪客管理162 
7.3雲計算環境下的運維162 
7.3.1雲運維與傳統運維的差別163 
7.3.2雲運維中應該注意的問題163 
7.4運維賬號安全管理164 
7.4.1特權賬戶控制與管理164 
7.4.2多因素身份認證165 
7.5操作日誌165 
7.6第三方審計166 
7.7小結167
7.8參考文獻與進一步閱讀167 

第8章云安全技術的發展168 
8.1零信任模型168 
8.1.1傳統網絡安全模型168 
8.1.2零信任模型概述170 
8.2 MSSP 171 
8.3 APT攻擊防禦172 
8.3.1 APT攻擊的概念172 
8.3.2防禦APT攻擊的思路173 
8.4大數據安全分析174 
8.4.1大數據174 
8.4.2大數據分析技術175 
8.4.3大數據異常檢測應用175 
8.5小結176 
8.6參考文獻與進一步閱讀177 

第三部分雲計算服務的安全使用和雲安全解決方案
第9章安全地使用雲計算服務180 
9.1雲計算服務中的角色與責任180 
9.1.1主要角色180 
9.1.2角色關係模型181 
9.2客戶的責任與管理義務181 
9.3客戶端的安全182 
9.4雲賬戶管理183 
9.4.1賬戶管理183 
9.4.2阿里雲賬戶管理最佳實踐184 
9.5雲操作審計187 
9.5.1雲操作審計的關鍵技術187 
9.5. 2雲操作審計典型場景191 
9.5.3阿里雲操作審計最佳實踐191
9.6雲應用安全193 
9.6.1安全開發194 
9.6.2 Web應用防火牆194 
9.6.3滲透測試195 
9.6.4安全眾測195 
9.7雲系統運維195 
9.8雲數據保護196 
9.9小結197 
9.10參考文獻與進一步閱讀197 

第10章云安全解決方案198 
10.1雲上業務系統安全風險概述198 
10.2雲安全服務能力200 
10.2.1 DDoS防護服務200 
10.2.2入侵防護服務200 
10.2.3數據加密服務201 
10.2.4業務風險控制服務202 
10.2.5內容安全服務203 
10.2.6移動安全服務203 
10.3阿里雲安全解決方案最佳實踐203 
10.3.1電子商務行業雲安全解決方案203 
10.3.2遊戲行業雲安全解決方案206 
10.4小結209 
10.5參考文獻與進一步閱讀209 

第四部分雲計算的安全標準和管理機制
第11章云計算安全管理和標準212 
11.1國外雲計算服務安全管理212 
11.1.1 FedRAMP 212 
11.1.2澳大利亞對雲計算服務的安全管理218
11.1.3歐盟對雲計算服務的安全管理219 
11.2我國的雲計算服務安全管理221 
11.2.1我國雲服務面臨的安全問題221 
11.2.2我國雲服務安全審查的目的222 
11.2.3我國雲服務安全審查的要求223 
11.2.4我國雲服務安全審查的相關程序文件224 
11.3國外的雲計算安全標準225 
11.3.1 ISO／IEC 225 
11.3.2 ITU—T 226 
11.3.3 NIST 227 
11.3.4 CSA 227 
11.3 .5 OASIS 227 
11.3.6 ENISA 228 
11.4我國的雲計算安全標準228 
11.4.1 GB／T 31167228 
11.4.2 GB／T 31168241 
11.5小結242 
11.6參考文獻與進一步閱讀242