云原生安全技术实践指南

作者: 张福

出版社: 电子工业出版社

出版时间: 2022-07

版次: 1

ISBN: 9787121435607

定价: 100.00

装帧: 其他

开本: 16开

纸张: 胶版纸

页数: 236页

分类: 计算机与互联网

7 张插图图片

10人买过

云原生技术在为企业带来快速交付与迭代数字业务应用的优势之外，也带来了新的安全要求与挑战。本书面向云原生安全攻防实战，从产业变革到新场景应用，深入浅出地分析了云原生安全的风险，并根据各类攻击场景有针对性地设计了新一代云原生安全防护体系。
   本书共分六个部分14章，前三部分介绍云原生安全行业的发展趋势和产业变革，对云原生安全技术和风险进行了详细分析；第四部分介绍云原生的攻击矩阵及高频攻击技术案例；第五部分讲解如何构建新一代的原生安全防御体系，并对重点行业实践进行了深入剖析；第六部分简要分析5G、边缘计算等新兴场景下的云原生安全新思考。本书适用于网络安全从业者和学习者，以及从事云原生行业的开发、运维和安全人员阅读。张福

  青藤云安全创始人&CEO，毕业于同济大学，专注于前沿技术研究，在安全攻防领域有超过15年的探索和实践经验，曾先后在国内多家知名互联网企业，如第九城市、盛大网络、昆仑万维，担任技术和业务安全负责人。拥有10余项自主知识产权发明专利、30余项软件著作权。荣获“改革开放40年网络安全领军人物”“中关村高端领军人才”“中关村创业之星”等称号。

胡俊

  毕业于华中科技大学，是国内知名安全专家，中国信息通信研究院可信云专家组成员，入选武汉东湖高新技术开发区第十一批“3551光谷人才计划”，曾在百纳信息主导了多款应用及海豚浏览器云服务的开发。青藤云安全创立后，主导开发“青藤万相·主机自适应安全平台”“青藤蜂巢·云原生安全平台”等产品，获得发明专利10余项，发表多篇中文核心期刊论文。

程度

  毕业于首都师范大学，擅长网络攻防安全技术研究和大数据算法研究，在云计算安全、机器学习领域有很高的学术造诣，参与过多项云安全标准制定和审核工作，现兼任《信息安全研究》《信息网络安全》编委，曾发表多篇中文核心期刊论文，荣获“OSCAR尖峰开源技术杰出贡献奖”。

杨更

  毕业于清华大学和南加州大学（USC），二十年职业生涯始终专注于信息安全领域。2013年从西雅图回国，历任亚马逊中国、美团、小米首席安全官，全面负责产品安全、数据安全、企业安全、用户隐私、风险控制等安全相关业务领域，任职期间极大提升了企业的安全能力。

龙华桥

  毕业于武汉大学，曾先后就职于多家知名企业，如盛大、爱立信等，主要从事安全技术研发及管理工作。2014年作为联合创始人加入青藤云安全，领导青藤攻防团队参与到攻防实战中去，对企业安全需求和安全技术有着丰富的实战经验和独到的专业见解。第1部分趋势篇  云原生时代的产业变革与安全重构

第1章云原生的发展促进了产业变革 2

1.1 云原生相关概念 2

1.2 企业正加速向云原生发展 5

1.3 云原生给组织带来的变化 7

1.3.1 体系流程的变化 7

1.3.2 开发模式的变化 8

1.3.3 应用架构的变化 11

1.3.4 运行平台的变化 15

第2章云原生时代安全需要重构 16

2.1 组织重构 17

2.2 技术重构 20

第2部分概念篇  云原生场景中关键概念解析

第3章容器安全技术概念 28

3.1 容器与镜像基础概念 28

3.1.1 容器基础概念 28

3.1.2 镜像基础概念 29

3.2 容器与镜像安全原则 30

3.2.1 容器安全原则 30

3.2.2 镜像安全原则 31

3.3 容器隔离限制技术 32

3.3.1 容器两大限制技术 32

3.3.2 容器五大隔离技术 33

3.4 镜像安全控制技术 37

第4章编排工具安全技术概念 41

4.1 Kubernetes基础概念 41

4.1.1 Kubernetes功能 42

4.1.2 Kubernetes架构 42

4.1.3 Kubernetes对象 45

4.2 Kubernetes安全原则 46

4.2.1 Kubernetes主体最小权限 46

4.2.2 Kubernetes工作负载最小权限 50

4.3 Kubernetes安全控制技术 54

4.3.1 Kubernetes认证 55

4.3.2 Kubernetes授权 61

4.3.3 准入控制器 65

第5章应用安全技术概念 69

5.1 微服务安全 69

5.1.1 微服务安全框架 70

5.1.2 微服务实例说明 73

5.2 API安全 74

5.2.1 API基础概念 75

5.2.2 API常见类型 76

5.2.3 API安全方案 78

5.3 Serverless安全 82

5.3.1 Serverless基础概念 82

5.3.2 Serverless架构及实例 84

5.3.3 Serverless安全控制技术 86

第3部分风险篇  云原生安全的风险分析

第6章容器风险分析 90

6.1 容器威胁建模 90

6.2 容器加固 93

6.2.1 镜像风险 94

6.2.2 镜像仓库风险 96

6.2.3 容器风险 98

6.2.4 主机操作系统风险 100

第7章编排风险分析 102

7.1 Kubernetes威胁建模 102

7.2 安全加固 104

7.2.1 Pod安全 104

7.2.2 网络隔离与加固 106

7.2.3 认证与授权 108

7.2.4 日志审计与威胁检测 109

第8章应用风险分析 113

8.1 微服务风险分析 113

8.1.1 Spring Cloud安全分析 114

8.1.2 Istio安全分析 118

8.2 API风险分析 122

8.3 Serverless风险分析 128

第4部分攻击篇  云原生攻击矩阵与实战案例

第9章针对云原生的ATT＆CK攻击矩阵 134

9.1 针对容器的ATT＆CK攻击矩阵 134

9.2 针对Kubernetes的ATT＆CK攻击矩阵 138

第10章云原生高频攻击战术的攻击案例 146

10.1 容器逃逸攻击案例 146

10.1.1 容器运行时逃逸漏洞 147

10.1.2 Linux内核漏洞 149

10.1.3 挂载宿主机Procfs文件系统的利用 153

10.1.4 SYS_PTRACE权限利用 156

10.2 镜像攻击案例 157

10.2.1 通过运行恶意镜像实现初始化访问 157

10.2.2 创建后门镜像 159

10.3 Kubernetes攻击案例 162

10.3.1 通过API Server实现初始访问 162

10.3.2 在容器中实现恶意执行 165

10.3.3 创建特权容器实现持久化 170

10.3.4 清理Kubernetes日志绕过防御 172

10.3.5 窃取Kubernetes secret 173

第5部分防御篇  新一代云原生安全防御体系

第11章云原生安全防御原则与框架 178

11.1 云原生安全四大原则 178

11.1.1 零信任 178

11.1.2 左移 180

11.1.3 持续监控＆响应 181

11.1.4 工作负载可观测 182

11.2 新一代云原生安全框架 183

第12章基于行业的云原生安全防御实践 185

12.1 通信行业云原生安全防御实践 185

12.2 金融行业云原生安全防御实践 188

12.3 互联网行业云原生安全防御实践 191

第6部分进化篇  新兴场景下的云原生安全新思考

第13章 5G场景下的容器安全 196

13.1 检测5G云横向移动 197

13.2 网络资源隔离 200

第14章边缘计算场景下的容器安全 203

14.1 容器与边缘计算 204

14.1.1 边缘计算工作原理 204

14.1.2 边缘计算与云计算的区别 205

14.1.3 边缘计算对隐私和安全的重要性 206

14.2 将Kubernetes工作负载带到边缘 207

14.2.1 在Kubernetes中管理边缘工作负载 207

14.2.2 边缘容器 208

14.2.3 WebAssembly和Wasi 209

14.3 边缘计算环境下的容器数据安全 211
内容简介:
云原生技术在为企业带来快速交付与迭代数字业务应用的优势之外，也带来了新的安全要求与挑战。本书面向云原生安全攻防实战，从产业变革到新场景应用，深入浅出地分析了云原生安全的风险，并根据各类攻击场景有针对性地设计了新一代云原生安全防护体系。
本书共分六个部分14章，前三部分介绍云原生安全行业的发展趋势和产业变革，对云原生安全技术和风险进行了详细分析；第四部分介绍云原生的攻击矩阵及高频攻击技术案例；第五部分讲解如何构建新一代的原生安全防御体系，并对重点行业实践进行了深入剖析；第六部分简要分析5G、边缘计算等新兴场景下的云原生安全新思考。本书适用于网络安全从业者和学习者，以及从事云原生行业的开发、运维和安全人员阅读。
作者简介:
张福

  青藤云安全创始人&CEO，毕业于同济大学，专注于前沿技术研究，在安全攻防领域有超过15年的探索和实践经验，曾先后在国内多家知名互联网企业，如第九城市、盛大网络、昆仑万维，担任技术和业务安全负责人。拥有10余项自主知识产权发明专利、30余项软件著作权。荣获“改革开放40年网络安全领军人物”“中关村高端领军人才”“中关村创业之星”等称号。

胡俊

  毕业于华中科技大学，是国内知名安全专家，中国信息通信研究院可信云专家组成员，入选武汉东湖高新技术开发区第十一批“3551光谷人才计划”，曾在百纳信息主导了多款应用及海豚浏览器云服务的开发。青藤云安全创立后，主导开发“青藤万相·主机自适应安全平台”“青藤蜂巢·云原生安全平台”等产品，获得发明专利10余项，发表多篇中文核心期刊论文。

程度

  毕业于首都师范大学，擅长网络攻防安全技术研究和大数据算法研究，在云计算安全、机器学习领域有很高的学术造诣，参与过多项云安全标准制定和审核工作，现兼任《信息安全研究》《信息网络安全》编委，曾发表多篇中文核心期刊论文，荣获“OSCAR尖峰开源技术杰出贡献奖”。

杨更

  毕业于清华大学和南加州大学（USC），二十年职业生涯始终专注于信息安全领域。2013年从西雅图回国，历任亚马逊中国、美团、小米首席安全官，全面负责产品安全、数据安全、企业安全、用户隐私、风险控制等安全相关业务领域，任职期间极大提升了企业的安全能力。

龙华桥

  毕业于武汉大学，曾先后就职于多家知名企业，如盛大、爱立信等，主要从事安全技术研发及管理工作。2014年作为联合创始人加入青藤云安全，领导青藤攻防团队参与到攻防实战中去，对企业安全需求和安全技术有着丰富的实战经验和独到的专业见解。
目录:
第1部分趋势篇  云原生时代的产业变革与安全重构

第1章云原生的发展促进了产业变革 2

1.1 云原生相关概念 2

1.2 企业正加速向云原生发展 5

1.3 云原生给组织带来的变化 7

1.3.1 体系流程的变化 7

1.3.2 开发模式的变化 8

1.3.3 应用架构的变化 11

1.3.4 运行平台的变化 15

第2章云原生时代安全需要重构 16

2.1 组织重构 17

2.2 技术重构 20

第2部分概念篇  云原生场景中关键概念解析

第3章容器安全技术概念 28

3.1 容器与镜像基础概念 28

3.1.1 容器基础概念 28

3.1.2 镜像基础概念 29

3.2 容器与镜像安全原则 30

3.2.1 容器安全原则 30

3.2.2 镜像安全原则 31

3.3 容器隔离限制技术 32

3.3.1 容器两大限制技术 32

3.3.2 容器五大隔离技术 33

3.4 镜像安全控制技术 37

第4章编排工具安全技术概念 41

4.1 Kubernetes基础概念 41

4.1.1 Kubernetes功能 42

4.1.2 Kubernetes架构 42

4.1.3 Kubernetes对象 45

4.2 Kubernetes安全原则 46

4.2.1 Kubernetes主体最小权限 46

4.2.2 Kubernetes工作负载最小权限 50

4.3 Kubernetes安全控制技术 54

4.3.1 Kubernetes认证 55

4.3.2 Kubernetes授权 61

4.3.3 准入控制器 65

第5章应用安全技术概念 69

5.1 微服务安全 69

5.1.1 微服务安全框架 70

5.1.2 微服务实例说明 73

5.2 API安全 74

5.2.1 API基础概念 75

5.2.2 API常见类型 76

5.2.3 API安全方案 78

5.3 Serverless安全 82

5.3.1 Serverless基础概念 82

5.3.2 Serverless架构及实例 84

5.3.3 Serverless安全控制技术 86

第3部分风险篇  云原生安全的风险分析

第6章容器风险分析 90

6.1 容器威胁建模 90

6.2 容器加固 93

6.2.1 镜像风险 94

6.2.2 镜像仓库风险 96

6.2.3 容器风险 98

6.2.4 主机操作系统风险 100

第7章编排风险分析 102

7.1 Kubernetes威胁建模 102

7.2 安全加固 104

7.2.1 Pod安全 104

7.2.2 网络隔离与加固 106

7.2.3 认证与授权 108

7.2.4 日志审计与威胁检测 109

第8章应用风险分析 113

8.1 微服务风险分析 113

8.1.1 Spring Cloud安全分析 114

8.1.2 Istio安全分析 118

8.2 API风险分析 122

8.3 Serverless风险分析 128

第4部分攻击篇  云原生攻击矩阵与实战案例

第9章针对云原生的ATT＆CK攻击矩阵 134

9.1 针对容器的ATT＆CK攻击矩阵 134

9.2 针对Kubernetes的ATT＆CK攻击矩阵 138

第10章云原生高频攻击战术的攻击案例 146

10.1 容器逃逸攻击案例 146

10.1.1 容器运行时逃逸漏洞 147

10.1.2 Linux内核漏洞 149

10.1.3 挂载宿主机Procfs文件系统的利用 153

10.1.4 SYS_PTRACE权限利用 156

10.2 镜像攻击案例 157

10.2.1 通过运行恶意镜像实现初始化访问 157

10.2.2 创建后门镜像 159

10.3 Kubernetes攻击案例 162

10.3.1 通过API Server实现初始访问 162

10.3.2 在容器中实现恶意执行 165

10.3.3 创建特权容器实现持久化 170

10.3.4 清理Kubernetes日志绕过防御 172

10.3.5 窃取Kubernetes secret 173

第5部分防御篇  新一代云原生安全防御体系

第11章云原生安全防御原则与框架 178

11.1 云原生安全四大原则 178

11.1.1 零信任 178

11.1.2 左移 180

11.1.3 持续监控＆响应 181

11.1.4 工作负载可观测 182

11.2 新一代云原生安全框架 183

第12章基于行业的云原生安全防御实践 185

12.1 通信行业云原生安全防御实践 185

12.2 金融行业云原生安全防御实践 188

12.3 互联网行业云原生安全防御实践 191

第6部分进化篇  新兴场景下的云原生安全新思考

第13章 5G场景下的容器安全 196

13.1 检测5G云横向移动 197

13.2 网络资源隔离 200

第14章边缘计算场景下的容器安全 203

14.1 容器与边缘计算 204

14.1.1 边缘计算工作原理 204

14.1.2 边缘计算与云计算的区别 205

14.1.3 边缘计算对隐私和安全的重要性 206

14.2 将Kubernetes工作负载带到边缘 207

14.2.1 在Kubernetes中管理边缘工作负载 207

14.2.2 边缘容器 208

14.2.3 WebAssembly和Wasi 209

14.3 边缘计算环境下的容器数据安全 211

查看详情

云原生安全技术实践指南

内容简介:

作者简介:

目录: