云計算安全實踐（從入門到精通）

目　　錄
第1章 云安全基礎 1
1.1 云安全定義 4
1.2 云安全理念與責任共擔模型 7
1.3 云安全產(chǎn)業(yè)與產(chǎn)品 10
1.3.1 云原生安全產(chǎn)品 11
1.3.2 第三方云安全產(chǎn)品 17
1.4 云安全優(yōu)勢 21
第2章 云安全體系 22
2.1 NIST CSF 22
2.1.1 什么是NIST CSF框架 22
2.1.2 CSF的作用 23
2.1.3 CSF的核心 25
2.1.4 CSF在云治理中的作用 29
2.2 CAF 30
2.2.1 什么是CAF 30
2.2.2 CAF的維度 30
2.2.3 CAF的能力要求 31
2.2.4 CAF的核心內(nèi)容 31
2.2.5 CAF在云轉(zhuǎn)型中的作用 32
2.3 GDPR 33
2.3.1 什么是GDPR 33
2.3.2 GDPR的重要意義 34
2.3.3 云中進行GDPR合規(guī)的注意事項 34
2.3.4 GDPR的責任分擔 35
2.3.5 云服務商的GDPR傳導路徑 36
2.3.6 云用戶的GDPR挑戰(zhàn)與影響 38
2.4 ATT＆CK云安全攻防模型 39
2.4.1 ATT＆CK定義 39
2.4.2 ATT＆CK使用場景 39
2.4.3 AWS ATT＆CK云模型 41
2.5 零信任網(wǎng)絡 46
2.5.1 為什么提出零信任 46
2.5.2 零信任的理念 46
2.5.3 零信任的價值體現(xiàn) 47
2.5.4 零信任的安全體系 48
2.5.5 零信任的核心內(nèi)容 49
2.5.6 零信任在云平臺上的應用 50
2.6 等級保護 51
2.6.1 什么是等級保護 51
2.6.2 等級保護的重要意義 52
2.6.3 等級保護的標準體系 53
2.6.4 云環(huán)境下的等級保護 58
2.7 ISO 27000系列安全標準 59
2.7.1 ISO 27000系列 59
2.7.2 ISO 27001體系框架 60
2.7.3 ISO 27001對云安全的作用 61
2.7.4 企業(yè)如何在上云中合理使用標準 62
2.7.5 云服務商如何合規(guī) 63
2.7.6 ISO 27000的安全隱私保護 63
2.8 SOC 64
2.8.1 什么是SOC 64
2.8.2 SOC 2的重要意義 65
2.8.3 SOC 2的核心內(nèi)容 65
2.8.4 SOC 2對云服務商的要求 67
2.9 中國云計算服務安全標準 68
2.9.1 標準的背景 68
2.9.2 標準的概述 68
2.9.3 標準對云服務商的能力要求 69
2.9.4 標準的意義 70
2.10 美國的FedRAMP 70
2.10.1 FedRAMP 70
2.10.2 FedRAMP的基本要求與類型 71
2.10.3 FedRAMP的評估與授權(quán)機制 71
2.10.4 FedRAMP的意義與價值 72
第3章 云安全治理模型 73
3.1 如何選擇云安全治理模型 73
3.1.1 云安全治理在數(shù)字化轉(zhuǎn)型中的作用 73
3.1.2 云安全治理模型的適用性說明 74
3.1.3 云安全治理模型的三種不同場景 74
3.1.4 云安全責任共擔模型 75
3.1.5 云平臺責任共擔模型分類 76
3.2 如何構(gòu)建云安全治理模型 81
3.2.1 云安全治理模型設計的七個原則 81
3.2.2 基于隱私的云安全治理模型 82
第4章 云安全規(guī)劃設計 83
4.1 云安全規(guī)劃方法 83
4.1.1 SbD的設計方法 84
4.1.2 SbD的目標 84
4.1.3 SbD的過程 84
4.2 云資產(chǎn)的定義和分類 87
4.2.1 云中資產(chǎn)的定義與分類 87
4.2.2 云中數(shù)據(jù)的定義與分類 87
4.2.3 AWS三層數(shù)據(jù)分類法 91
4.3 云安全建設路徑 91
4.3.1 起步階段的云安全建設路徑 92
4.3.2 升級階段的云安全建設路徑 94
4.3.3 發(fā)展階段的云安全建設路徑 97
4.3.4 整合階段的云安全建設路徑 100
4.3.5 成熟階段的云安全建設路徑 102
第5章 NIST CSF云安全建設實踐 105
5.1 云安全識別能力建設 106
5.1.1 云安全識別能力概述 107
5.1.2 云安全識別能力構(gòu)成 107
5.1.3 云安全識別能力建設實踐 110
5.2 云安全保護能力建設 115
5.2.1 云安全保護能力概述 115
5.2.2 云安全保護能力構(gòu)成 116
5.2.3 云安全保護能力建設實踐 120
5.3 云安全檢測能力建設 140
5.3.1 云安全檢測能力概述 141
5.3.2 云安全檢測能力構(gòu)成 142
5.3.3 云安全檢測能力建設實踐 145
5.4 云安全響應能力建設 147
5.4.1 云安全響應能力概述 148
5.4.2 云安全響應能力構(gòu)成 150
5.4.3 云安全響應能力建設實踐 151
5.5 云安全恢復能力建設 154
5.5.1 云安全恢復能力概述 155
5.5.2 云安全恢復能力構(gòu)成 155
5.5.3 云計算恢復能力建設實踐 156
第6章 云安全動手實驗——基礎篇 158
6.1 Lab1：手工創(chuàng)建個根用戶賬戶 162
6.1.1 實驗概述 162
6.1.2 實驗步驟 162
6.1.3 實驗總結(jié) 165
6.1.4 策略示例 166
6.1.5 實踐 168
6.2 Lab2：手工配置個IAM用戶和角色 169
6.2.1 實驗概述 169
6.2.2 實驗架構(gòu) 169
6.2.3 實驗步驟 169
6.2.4 實驗總結(jié) 177
6.2.5 策略邏輯 177
6.2.6 策略示例 180
6.3 Lab3：手工創(chuàng)建個安全數(shù)據(jù)倉庫賬戶 182
6.3.1 實驗概述 182
6.3.2 實驗架構(gòu) 182
6.3.3 實驗步驟 183
6.3.4 實驗總結(jié) 187
6.4 Lab4：手工配置個安全靜態(tài)網(wǎng)站 187
6.4.1 實驗概述 187
6.4.2 實驗架構(gòu) 187
6.4.3 實驗步驟 187
6.4.4 實驗總結(jié) 194
6.5 Lab5：手工創(chuàng)建個安全運維堡壘機 194
6.5.1 實驗概述 194
6.5.2 實驗場景 194
6.5.3 實驗架構(gòu) 195
6.5.4 實驗步驟 196
6.5.5 實驗總結(jié) 203
6.6 Lab6：手工配置個安全開發(fā)環(huán)境 203
6.6.1 實驗概述 203
6.6.2 實驗場景 204
6.6.3 實驗架構(gòu) 204
6.6.4 實驗步驟 204
6.6.5 實驗總結(jié) 208
6.7 Lab7：自動部署IAM組、策略和角色 209
6.7.1 實驗概述 209
6.7.2 實驗架構(gòu) 209
6.7.3 實驗步驟 209
6.7.4 實驗總結(jié) 219
6.8 Lab8：自動部署VPC安全網(wǎng)絡架構(gòu) 219
6.8.1 實驗概述 219
6.8.2 實驗架構(gòu) 220
6.8.3 實驗步驟 220
6.8.4 實驗總結(jié) 224
6.9 Lab9：自動部署Web安全防護架構(gòu) 224
6.9.1 實驗概述 224
6.9.2 實驗架構(gòu) 224
6.9.3 實驗步驟 225
6.9.4 實驗總結(jié) 229
6.10 Lab10：自動部署云WAF防御架構(gòu) 229
6.10.1 實驗概述 229
6.10.2 實驗目標 229
6.10.3 實驗步驟 230
6.10.4 實驗總結(jié) 234
第7章 云安全動手實驗——提高篇 235
7.1 Lab1：設計IAM高級權(quán)限和精細策略 235
7.1.1 實驗概述 235
7.1.2 實驗場景 235
7.1.3 實驗步驟 236
7.1.4 實驗總結(jié) 248
7.2 Lab2：集成IAM標簽細粒度訪問控制 249
7.2.1 實驗概述 249
7.2.2 實驗條件 249
7.2.3 實驗步驟 249
7.2.4 實驗總結(jié) 266
7.3 Lab3：設計Web應用的Cognito身份驗證 266
7.3.1 實驗概述 266
7.3.2 實驗場景 267
7.3.3 實驗架構(gòu) 267
7.3.4 實驗步驟 269
7.3.5 實驗總結(jié) 287
7.4 Lab4：設計VPC EndPoint安全訪問策略 287
7.4.1 實驗概述 287
7.4.2 實驗架構(gòu) 288
7.4.3 實驗步驟 289
7.4.4 實驗總結(jié) 318
7.5 Lab5：設計WAF高級Web防護策略 318
7.5.1 實驗概述 318
7.5.2 實驗工具 319
7.5.3 部署架構(gòu) 319
7.5.4 實驗步驟 320
7.5.5 實驗總結(jié) 328
7.6 Lab6：設計SSM和Inspector漏洞掃描與加固 329
7.6.1 實驗概述 329
7.6.2 實驗步驟 329
7.7 Lab7：自動部署云上威脅智能檢測 338
7.7.1 實驗概述 338
7.7.2 實驗條件 338
7.7.3 實驗步驟 338
7.7.4 實踐總結(jié) 342
7.8 Lab8：自動部署Config監(jiān)控并修復S3合規(guī)性 343
7.8.1 實驗概述 343
7.8.2 實驗架構(gòu) 343
7.8.3 實驗步驟 344
7.8.4 實驗總結(jié) 360
7.9 Lab9：自動部署云上漏洞修復與合規(guī)管理 360
7.9.1 實驗模塊1：使用Ansible與Systems Manager的合規(guī)性管理 360
7.9.2 實驗模塊2：監(jiān)控與修復Windows的RDP漏洞 373
7.9.3 實驗模塊3：使用AWS Systems Manager和Config管理合規(guī)性 382
第8章 云安全動手實驗——綜合篇 390
8.1 Lab1：集成云上ACM私有CA數(shù)字證書體系 390
8.1.1 實驗概述 390
8.1.2 實驗架構(gòu) 391
8.1.3 實驗步驟 391
8.1.4 實驗總結(jié) 430
8.2 Lab2：集成云上的安全事件監(jiān)控和應急響應 431
8.2.1 實驗概述 431
8.2.2 用戶場景 431
8.2.3 部署架構(gòu) 431
8.2.4 實驗步驟 432
8.2.5 實驗總結(jié) 456
8.3 Lab3：集成AWS的PCI-DSS安全合規(guī)性架構(gòu) 457
8.3.1 實驗概述 457
8.3.2 部署模板 458
8.3.3 實驗架構(gòu) 462
8.3.4 實驗步驟 465
8.3.5 實驗總結(jié) 475
8.4 Lab4：集成DevSecOps安全敏捷開發(fā)平臺 475
8.4.1 實驗概述 475
8.4.2 實驗條件 476
8.4.3 實驗步驟 476
8.4.4 實驗總結(jié) 494
8.5 Lab5：集成AWS云上綜合安全管理中心 494
8.5.1 實驗概述 494
8.5.2 實驗場景 494
8.5.3 實驗條件 494
8.5.4 實驗模塊1：環(huán)境構(gòu)建 495
8.5.5 實驗模塊2：安全中心視圖 496
8.5.6 實驗模塊3：安全中心自定義 503
8.5.7 實驗模塊4：自定義處置與響應 512
8.5.8 實驗模塊5：自動化補救與響應 519
8.6 Lab6：AWS WA Labs動手實驗 525
8.6.1 AWS WA Tool概念 525
8.6.2 AWS WA Tool作用 526
8.6.3 AWS WA Labs實驗 527
8.6.4 AWS WA Tool使用 536
8.6.5 AWS WA Tool安全實踐 536
第9章 云安全能力評估 543
9.1 云安全能力評估的原則 543
9.1.1 云安全能力的評估維度 543
9.1.2 安全能力等級要求 545