云原生安全

出版說明
推薦序
前　言
第 1章　什么是云原生
1.1　云原生平臺、架構及開發(fā)流程
　　 1.1.1　云原生之統(tǒng)一基礎平臺　
　　 1.1.2　云原生之統(tǒng)一軟件架構　
　　 1.1.3　云原生之統(tǒng)一開發(fā)流程
1.2　云原生與混合云　
　　 1.2.1　混合云的概念　
　　 1.2.2　混合云應用架構設計　
　　 1.2.3　云原生與混合云的關系　
1.3　CNCF與云原生平臺　
　　 1.3.1　CNCF社區(qū)　
　　 1.3.2　云服務商與云原生　
　　 1.3.3　利用開源技術搭建云原生平臺　
第2章　云原生安全演進
2.1　傳統(tǒng)安全解決方案　
　　2.1.1　以網(wǎng)絡邊界設備為核心的安全控制　
　　2.1.2　云安全服務　
　　2.1.3　終端安全　
2.2　云原生時代的安全變化趨勢　
2.3　云原生安全的整體建設思路　
　　2.3.1　圍繞應用的云原生轉(zhuǎn)型建設　
　　2.3.2　以加快業(yè)務進化速度為首要目標　
　　2.3.3　以應用為中心的云原生安全　
2.4　云原生安全技術發(fā)展趨勢展望　
第3章　應用平臺安全
3.1　私有云原生平臺架構
　　3.1.1　私有云原生平臺的技術標準
　　3.1.2　平臺架構
3.2　公有云原生平臺架構　
3.3　容器層安全　
　　3.3.1　容器鏡像安全
　　3.3.2　容器運行態(tài)安全
　　3.3.3　安全容器Kata
3.4　Kubernetes安全
　　3.4.1　Kubernetes中的關鍵組件
　　3.4.2　Kubernetes的威脅來源和攻擊模型　
　　3.4.3　Kubernetes組件安全加固　
　　3.4.4　Pod安全　
　　3.4.5　認證和鑒權
3.5　基礎Linux安全　
　　3.5.1　賬戶安全加固　
　　3.5.2　文件權限加固　
　　3.5.3　強制訪問控制　
　　3.5.4　iptables與Linux防火墻　
3.6　創(chuàng)建安全的云原生應用運行環(huán)境　
　　3.6.1　創(chuàng)建應用運行集群并對系統(tǒng)進行加固　
　　3.6.2　Kubernetes關鍵組件安全加固　
　　3.6.3　配置容器集群安全認證　
第4章　應用架構安全
4.1　云原生典型應用架構　
4.2　應用使用的云服務組件　
4.3　微服務與Web層架構安全　
　　4.3.1　防護跨站腳本攻擊　
　　4.3.2　跨站請求偽造防護　
　　4.3.3　防范XML外部實體攻擊　
4.3.4　SQL注入攻擊防護　
4.4　應用中間件安全　
　　4.4.1　Redis緩存安全　
　　4.4.2　消息中間件安全　
4.5　微服務與應用通信　
　　4.5.1　TLS與HTTPS通信加密　
　　4.5.2　微服務限流與應用防攻擊　
　　4.5.3　微服務間的訪問控制　
4.6　Service Mesh與應用服務安全　
　　4.6.1　云原生服務網(wǎng)絡技術實現(xiàn)框架對比　
　　4.6.2　Istio服務網(wǎng)絡技術架構　
　　4.6.3　使用Istio的內(nèi)置安全認證能力　
　　4.6.4　使用Istio的流量安全管理功能　
　　4.6.5　利用Istio的鑒權和監(jiān)測功能　
4.7　在云環(huán)境中構建安全的應用框架　
　　4.7.1　創(chuàng)建一個簡單的云原生應用　
　　4.7.2　為服務間通信配置訪問控制　
　　4.7.3　利用Service Mesh框架進行精細流量管控及監(jiān)測　
　　4.7.4　為應用配置認證和加密　
第5章　云原生應用安全管理
5.1　應用安全審計　
　　5.1.1　業(yè)務操作日志記錄
　　5.1.2　從系統(tǒng)及應用中收集日志　
5.1.3　日志存檔　　
5.1.4　日志分析及入侵檢測　
5.2　應用配置和密鑰安全　
　　5.2.1　應用配置中心安全防護　
　　5.2.2　應用密鑰安全　
5.3　數(shù)據(jù)安全　
　　5.3.1　數(shù)據(jù)安全的三個要素　
　　5.3.2　云生態(tài)中數(shù)據(jù)安全的整體架構　
　　5.3.3　應用數(shù)據(jù)加密技術　
　　5.3.4　數(shù)據(jù)脫敏技術　
5.4　在管理層面加固應用的安全　
　　5.4.1　配置應用運行日志存檔　
　　5.4.2　擴充日志動態(tài)分析　
　　5.4.3　操作日志記錄、歸檔和訪問控制　
第6章　應用流程安全
6.1　DevOps流程　
6.2　DevSecOps：開發(fā)、安全、運維一體化　
　　6.2.1　從DevOps到DevSecOps　
　　6.2.2　云原生自動化流水線的使用
　　6.2.3　自動化的安全流程　
　　6.2.4　測試驅(qū)動安全　
6.3　基于GitLab搭建一個自己的DevSecOps流水線　
　　6.3.1　搭建GitLab并為工程創(chuàng)建流水線　
　　6.3.2　GitLab與應用安全測試工具集成　
　　6.3.3　GitLab與代碼掃描工具集成　
第7章　應用集成和生態(tài)安全
7.1　利用云服務網(wǎng)關進行應用集成　
　　7.1.1　基于云服務網(wǎng)關進行接口發(fā)布和訂閱　
　　7.1.2　利用云服務網(wǎng)關實現(xiàn)接口格式轉(zhuǎn)換　
7.2　接口授權和認證　
　　7.2.1　ID和密鑰管理　
　　7.2.2　開放認證　
7.3　接口訪問安全策略和調(diào)用監(jiān)測　
　　7.3.1　訪問策略　
　　7.3.2　流控策略　
　　7.3.3　應用訪問監(jiān)控及日志分析　
7.4　服務能力對外開放　
　　7.4.1　使用云服務總線進行服務發(fā)布　
　　7.4.2　App授權　
第8章　云原生開源安全工具和方案
8.1　應用平臺層的開源安全工具　
　　8.1.1　Kubernetes安全監(jiān)測工具kube-bench　
　　8.1.2　Kubernetes安全策略配置工具kube-psp-advisor
　　8.1.3　Kubernetes滲透測試工具kube-hunter　
　　8.1.4　系統(tǒng)平臺信息掃描和檢索工具Osquery
8.2　應用架構層的安全工具　
　　8.2.1　靜態(tài)應用程序安全測試工