云計算安全實踐（從入門到精通）

目　　錄
第1章 云安全基礎(chǔ) 1
1.1 云安全定義 4
1.2 云安全理念與責(zé)任共擔(dān)模型 7
1.3 云安全產(chǎn)業(yè)與產(chǎn)品 10
1.3.1 云原生安全產(chǎn)品 11
1.3.2 第三方云安全產(chǎn)品 17
1.4 云安全優(yōu)勢 21
第2章 云安全體系 22
2.1 NIST CSF 22
2.1.1 什么是NIST CSF框架 22
2.1.2 CSF的作用 23
2.1.3 CSF的核心 25
2.1.4 CSF在云治理中的作用 29
2.2 CAF 30
2.2.1 什么是CAF 30
2.2.2 CAF的維度 30
2.2.3 CAF的能力要求 31
2.2.4 CAF的核心內(nèi)容 31
2.2.5 CAF在云轉(zhuǎn)型中的作用 32
2.3 GDPR 33
2.3.1 什么是GDPR 33
2.3.2 GDPR的重要意義 34
2.3.3 云中進行GDPR合規(guī)的注意事項 34
2.3.4 GDPR的責(zé)任分擔(dān) 35
2.3.5 云服務(wù)商的GDPR傳導(dǎo)路徑 36
2.3.6 云用戶的GDPR挑戰(zhàn)與影響 38
2.4 ATT＆CK云安全攻防模型 39
2.4.1 ATT＆CK定義 39
2.4.2 ATT＆CK使用場景 39
2.4.3 AWS ATT＆CK云模型 41
2.5 零信任網(wǎng)絡(luò) 46
2.5.1 為什么提出零信任 46
2.5.2 零信任的理念 46
2.5.3 零信任的價值體現(xiàn) 47
2.5.4 零信任的安全體系 48
2.5.5 零信任的核心內(nèi)容 49
2.5.6 零信任在云平臺上的應(yīng)用 50
2.6 等級保護 51
2.6.1 什么是等級保護 51
2.6.2 等級保護的重要意義 52
2.6.3 等級保護的標(biāo)準(zhǔn)體系 53
2.6.4 云環(huán)境下的等級保護 58
2.7 ISO 27000系列安全標(biāo)準(zhǔn) 59
2.7.1 ISO 27000系列 59
2.7.2 ISO 27001體系框架 60
2.7.3 ISO 27001對云安全的作用 61
2.7.4 企業(yè)如何在上云中合理使用標(biāo)準(zhǔn) 62
2.7.5 云服務(wù)商如何合規(guī) 63
2.7.6 ISO 27000的安全隱私保護 63
2.8 SOC 64
2.8.1 什么是SOC 64
2.8.2 SOC 2的重要意義 65
2.8.3 SOC 2的核心內(nèi)容 65
2.8.4 SOC 2對云服務(wù)商的要求 67
2.9 中國云計算服務(wù)安全標(biāo)準(zhǔn) 68
2.9.1 標(biāo)準(zhǔn)的背景 68
2.9.2 標(biāo)準(zhǔn)的概述 68
2.9.3 標(biāo)準(zhǔn)對云服務(wù)商的能力要求 69
2.9.4 標(biāo)準(zhǔn)的意義 70
2.10 美國的FedRAMP 70
2.10.1 FedRAMP 70
2.10.2 FedRAMP的基本要求與類型 71
2.10.3 FedRAMP的評估與授權(quán)機制 71
2.10.4 FedRAMP的意義與價值 72
第3章 云安全治理模型 73
3.1 如何選擇云安全治理模型 73
3.1.1 云安全治理在數(shù)字化轉(zhuǎn)型中的作用 73
3.1.2 云安全治理模型的適用性說明 74
3.1.3 云安全治理模型的三種不同場景 74
3.1.4 云安全責(zé)任共擔(dān)模型 75
3.1.5 云平臺責(zé)任共擔(dān)模型分類 76
3.2 如何構(gòu)建云安全治理模型 81
3.2.1 云安全治理模型設(shè)計的七個原則 81
3.2.2 基于隱私的云安全治理模型 82
第4章 云安全規(guī)劃設(shè)計 83
4.1 云安全規(guī)劃方法 83
4.1.1 SbD的設(shè)計方法 84
4.1.2 SbD的目標(biāo) 84
4.1.3 SbD的過程 84
4.2 云資產(chǎn)的定義和分類 87
4.2.1 云中資產(chǎn)的定義與分類 87
4.2.2 云中數(shù)據(jù)的定義與分類 87
4.2.3 AWS三層數(shù)據(jù)分類法 91
4.3 云安全建設(shè)路徑 91
4.3.1 起步階段的云安全建設(shè)路徑 92
4.3.2 升級階段的云安全建設(shè)路徑 94
4.3.3 發(fā)展階段的云安全建設(shè)路徑 97
4.3.4 整合階段的云安全建設(shè)路徑 100
4.3.5 成熟階段的云安全建設(shè)路徑 102
第5章 NIST CSF云安全建設(shè)實踐 105
5.1 云安全識別能力建設(shè) 106
5.1.1 云安全識別能力概述 107
5.1.2 云安全識別能力構(gòu)成 107
5.1.3 云安全識別能力建設(shè)實踐 110
5.2 云安全保護能力建設(shè) 115
5.2.1 云安全保護能力概述 115
5.2.2 云安全保護能力構(gòu)成 116
5.2.3 云安全保護能力建設(shè)實踐 120
5.3 云安全檢測能力建設(shè) 140
5.3.1 云安全檢測能力概述 141
5.3.2 云安全檢測能力構(gòu)成 142
5.3.3 云安全檢測能力建設(shè)實踐 145
5.4 云安全響應(yīng)能力建設(shè) 147
5.4.1 云安全響應(yīng)能力概述 148
5.4.2 云安全響應(yīng)能力構(gòu)成 150
5.4.3 云安全響應(yīng)能力建設(shè)實踐 151
5.5 云安全恢復(fù)能力建設(shè) 154
5.5.1 云安全恢復(fù)能力概述 155
5.5.2 云安全恢復(fù)能力構(gòu)成 155
5.5.3 云計算恢復(fù)能力建設(shè)實踐 156
第6章 云安全動手實驗——基礎(chǔ)篇 158
6.1 Lab1：手工創(chuàng)建個根用戶賬戶 162
6.1.1 實驗概述 162
6.1.2 實驗步驟 162
6.1.3 實驗總結(jié) 165
6.1.4 策略示例 166
6.1.5 實踐 168
6.2 Lab2：手工配置個IAM用戶和角色 169
6.2.1 實驗概述 169
6.2.2 實驗架構(gòu) 169
6.2.3 實驗步驟 169
6.2.4 實驗總結(jié) 177
6.2.5 策略邏輯 177
6.2.6 策略示例 180
6.3 Lab3：手工創(chuàng)建個安全數(shù)據(jù)倉庫賬戶 182
6.3.1 實驗概述 182
6.3.2 實驗架構(gòu) 182
6.3.3 實驗步驟 183
6.3.4 實驗總結(jié) 187
6.4 Lab4：手工配置個安全靜態(tài)網(wǎng)站 187
6.4.1 實驗概述 187
6.4.2 實驗架構(gòu) 187
6.4.3 實驗步驟 187
6.4.4 實驗總結(jié) 194
6.5 Lab5：手工創(chuàng)建個安全運維堡壘機 194
6.5.1 實驗概述 194
6.5.2 實驗場景 194
6.5.3 實驗架構(gòu) 195
6.5.4 實驗步驟 196
6.5.5 實驗總結(jié) 203
6.6 Lab6：手工配置個安全開發(fā)環(huán)境 203
6.6.1 實驗概述 203
6.6.2 實驗場景 204
6.6.3 實驗架構(gòu) 204
6.6.4 實驗步驟 204
6.6.5 實驗總結(jié) 208
6.7 Lab7：自動部署IAM組、策略和角色 209
6.7.1 實驗概述 209
6.7.2 實驗架構(gòu) 209
6.7.3 實驗步驟 209
6.7.4 實驗總結(jié) 219
6.8 Lab8：自動部署VPC安全網(wǎng)絡(luò)架構(gòu) 219
6.8.1 實驗概述 219
6.8.2 實驗架構(gòu) 220
6.8.3 實驗步驟 220
6.8.4 實驗總結(jié) 224
6.9 Lab9：自動部署Web安全防護架構(gòu) 224
6.9.1 實驗概述 224
6.9.2 實驗架構(gòu) 224
6.9.3 實驗步驟 225
6.9.4 實驗總結(jié) 229
6.10 Lab10：自動部署云WAF防御架構(gòu) 229
6.10.1 實驗概述 229
6.10.2 實驗?zāi)繕?biāo) 229
6.10.3 實驗步驟 230
6.10.4 實驗總結(jié) 234
第7章 云安全動手實驗——提高篇 235
7.1 Lab1：設(shè)計IAM高級權(quán)限和精細(xì)策略 235
7.1.1 實驗概述 235
7.1.2 實驗場景 235
7.1.3 實驗步驟 236
7.1.4 實驗總結(jié) 248
7.2 Lab2：集成IAM標(biāo)簽細(xì)粒度訪問控制 249
7.2.1 實驗概述 249
7.2.2 實驗條件 249
7.2.3 實驗步驟 249
7.2.4 實驗總結(jié) 266
7.3 Lab3：設(shè)計Web應(yīng)用的Cognito身份驗證 266
7.3.1 實驗概述 266
7.3.2 實驗場景 267
7.3.3 實驗架構(gòu) 267
7.3.4 實驗步驟 269
7.3.5 實驗總結(jié) 287
7.4 Lab4：設(shè)計VPC EndPoint安全訪問策略 287
7.4.1 實驗概述 287
7.4.2 實驗架構(gòu) 288
7.4.3 實驗步驟 289
7.4.4 實驗總結(jié) 318
7.5 Lab5：設(shè)計WAF高級Web防護策略 318
7.5.1 實驗概述 318
7.5.2 實驗工具 319
7.5.3 部署架構(gòu) 319
7.5.4 實驗步驟 320
7.5.5 實驗總結(jié) 328
7.6 Lab6：設(shè)計SSM和Inspector漏洞掃描與加固 329
7.6.1 實驗概述 329
7.6.2 實驗步驟 329
7.7 Lab7：自動部署云上威脅智能檢測 338
7.7.1 實驗概述 338
7.7.2 實驗條件 338
7.7.3 實驗步驟 338
7.7.4 實踐總結(jié) 342
7.8 Lab8：自動部署Config監(jiān)控并修復(fù)S3合規(guī)性 343
7.8.1 實驗概述 343
7.8.2 實驗架構(gòu) 343
7.8.3 實驗步驟 344
7.8.4 實驗總結(jié) 360
7.9 Lab9：自動部署云上漏洞修復(fù)與合規(guī)管理 360
7.9.1 實驗?zāi)K1：使用Ansible與Systems Manager的合規(guī)性管理 360
7.9.2 實驗?zāi)K2：監(jiān)控與修復(fù)Windows的RDP漏洞 373
7.9.3 實驗?zāi)K3：使用AWS Systems Manager和Config管理合規(guī)性 382
第8章 云安全動手實驗——綜合篇 390
8.1 Lab1：集成云上ACM私有CA數(shù)字證書體系 390
8.1.1 實驗概述 390
8.1.2 實驗架構(gòu) 391
8.1.3 實驗步驟 391
8.1.4 實驗總結(jié) 430
8.2 Lab2：集成云上的安全事件監(jiān)控和應(yīng)急響應(yīng) 431
8.2.1 實驗概述 431
8.2.2 用戶場景 431
8.2.3 部署架構(gòu) 431
8.2.4 實驗步驟 432
8.2.5 實驗總結(jié) 456
8.3 Lab3：集成AWS的PCI-DSS安全合規(guī)性架構(gòu) 457
8.3.1 實驗概述 457
8.3.2 部署模板 458
8.3.3 實驗架構(gòu) 462
8.3.4 實驗步驟 465
8.3.5 實驗總結(jié) 475
8.4 Lab4：集成DevSecOps安全敏捷開發(fā)平臺 475
8.4.1 實驗概述 475
8.4.2 實驗條件 476
8.4.3 實驗步驟 476
8.4.4 實驗總結(jié) 494
8.5 Lab5：集成AWS云上綜合安全管理中心 494
8.5.1 實驗概述 494
8.5.2 實驗場景 494
8.5.3 實驗條件 494
8.5.4 實驗?zāi)K1：環(huán)境構(gòu)建 495
8.5.5 實驗?zāi)K2：安全中心視圖 496
8.5.6 實驗?zāi)K3：安全中心自定義 503
8.5.7 實驗?zāi)K4：自定義處置與響應(yīng) 512
8.5.8 實驗?zāi)K5：自動化補救與響應(yīng) 519
8.6 Lab6：AWS WA Labs動手實驗 525
8.6.1 AWS WA Tool概念 525
8.6.2 AWS WA Tool作用 526
8.6.3 AWS WA Labs實驗 527
8.6.4 AWS WA Tool使用 536
8.6.5 AWS WA Tool安全實踐 536
第9章 云安全能力評估 543
9.1 云安全能力評估的原則 543
9.1.1 云安全能力的評估維度 543
9.1.2 安全能力等級要求 545