內(nèi)容簡介這既是一本全面講解網(wǎng)絡(luò)安全,特別是混合云安全的著作,它全方位地講解了混合云環(huán)境下的網(wǎng)絡(luò)安全的理論與實踐。本書由阿里云安全團(tuán)隊前身份安全和零信任系列產(chǎn)品負(fù)責(zé)人撰寫,力求全面,全面講解混合云安全的概念、技術(shù)、產(chǎn)品、服務(wù)、運營和團(tuán)隊建設(shè);力求實踐,基于作者豐富安全經(jīng)驗,從攻防雙重視角總結(jié)大量方法和最佳實踐;力求圖解,利用大量圖表輔助講解,先整體后局部,讓復(fù)雜的更知識通俗易懂。全書一共11章,各章的核心內(nèi)容如下:第1章立足于網(wǎng)絡(luò)安全理論,如縱深防御和紅藍(lán)對抗等,奠定了混合云安全的理論根基。第2章以業(yè)務(wù)為出發(fā)點,闡述了業(yè)務(wù)發(fā)展與混合云安全措施的相互關(guān)系。第3章專注于團(tuán)隊建設(shè),強調(diào)了安全從業(yè)人員在混合云環(huán)境下需要持續(xù)更新的知識技能。第4~8章從網(wǎng)絡(luò)邊界、計算環(huán)境、網(wǎng)站應(yīng)用、辦公安全和數(shù)據(jù)安全等多個角度,深入探討了混合云環(huán)境下的具體安全問題和相應(yīng)的解決方案。第9章作為核心篇章,詳細(xì)解析了將傳統(tǒng)數(shù)據(jù)中心與公有云相結(jié)合的混合云環(huán)境所面臨的安全需求和挑戰(zhàn),特別講解了公有云上獨特的安全技術(shù)和方法。第10~11章從安全運營和內(nèi)控合規(guī)兩個角度,講解了如何在混合云環(huán)境下緊跟時代,并滿足各方面的合規(guī)要求。本書旨在幫助首席安全官(CSO)、系統(tǒng)架構(gòu)師、開發(fā)工程師、安全運維人員以及大學(xué)生,共同迎接人工智能時代帶來的安全新機遇和挑戰(zhàn)。
(1)資深安全專家、阿里云安全前身份安全和零信任系列產(chǎn)品負(fù)責(zé)人撰寫(2)力求全面,全面講解混合云安全的概念、技術(shù)、產(chǎn)品、服務(wù)、運營和團(tuán)隊建設(shè)(3)力求實踐,基于作者豐富安全經(jīng)驗,從攻防雙重視角總結(jié)大量方法和最佳實踐(4)力求圖解,利用大量圖表輔助講解,先整體后局部,讓復(fù)雜的更知識通俗易懂(5)賽博英杰創(chuàng)始人兼董事長譚曉生、IDF極安客實驗室創(chuàng)始人萬濤(老鷹)、 長亭科技CEO肖力等多位專家高度評價并推薦。
Preface 前言
為什么要寫這本書
自從 20 多年前開始從事政企 IT 軟件工作以來,我深刻地了解到國內(nèi)外軟件行業(yè)的差異。國內(nèi)軟件往往由甲方驅(qū)動,存在較多的碎片化問題,邊界常常按照組織架構(gòu)來劃分;國外軟件往往由乙方驅(qū)動,投入較大,相比于國內(nèi)軟件,甲乙雙方各司其職,接口開放,可以實現(xiàn)產(chǎn)品間的協(xié)同聯(lián)動。
安全永遠(yuǎn)是對抗?fàn)顟B(tài)下的安全。在 2022 年卡塔爾足球世界杯上,我們欣賞了明星球員的個人能力和球隊整體的精彩配合。同樣,在安全領(lǐng)域也有“明星球員”,態(tài)勢感知
(SA)、安全信息和事件管理(SIEM)系統(tǒng)、安全運營中心(SOC)、安全編排自動化與響應(yīng)(SOAR)平臺等關(guān)鍵技術(shù)就是安全方案的中場核心,是安全領(lǐng)域的“明星球員”。
面對攻擊,我們需要從多個維度進(jìn)行評估。防火墻、Web 應(yīng)用防火墻(WAF)、主機入侵檢測系統(tǒng)(HIDS)、終端檢測與響應(yīng)(EDR)系統(tǒng)等在安全整體布局和聯(lián)防聯(lián)控中仍起著重要的作用。因此,在龐雜的產(chǎn)品環(huán)境中,要實現(xiàn)這些網(wǎng)絡(luò)安全設(shè)備的融合,理解業(yè)務(wù)流程,掌握網(wǎng)絡(luò)安全知識,熟悉攻防技術(shù),不能寄希望于僅僅依賴設(shè)備本身來抵御和發(fā)現(xiàn)所有的網(wǎng)絡(luò)攻擊。
我看過不少書,也聆聽過眾多演講,常常對看到、聽到的新知識嘆為觀止。然而,大部分知識是零散的。我日常接觸到的網(wǎng)絡(luò)安全產(chǎn)品推薦、工具用法及攻擊過程等方面的內(nèi)容, 全面的理論指導(dǎo)和實踐類的作品
較多。拿一個“貓如何快速吃到魚”的迷宮游戲(見圖 1)來類比,初學(xué)者面臨的網(wǎng)絡(luò)世界何嘗不是如此,所有的網(wǎng)絡(luò)流量大致可以歸納為不同角色的主體(圖
1 中的狗、老鼠和貓可以類比為用戶、黑客和管理員),他們?nèi)ピL問不同類型的客體(圖 1 中
的魚、骨頭和奶酪可以類比為文圖 1 迷宮游戲
IV
件、數(shù)據(jù)和接口)。圖 1 左圖看起來還不算復(fù)雜,那么圖 1 右圖中的貓該如何去找魚呢?
在網(wǎng)絡(luò)空間中,這個問題更為復(fù)雜,路徑真實存在,但是大家看不見、摸不著。平時工作很忙,將眾多乙方的產(chǎn)品無縫融入甲方現(xiàn)有的 IT 基礎(chǔ)設(shè)施,并且傳遞安全知識給新來的同事是非常困難的事。作為一個有安全創(chuàng)業(yè)經(jīng)歷及多年軟件開發(fā)經(jīng)驗的從業(yè)者,我骨子里是看到問題就想解決問題,因此,我有一種去做點什么的迫切沖動。開發(fā)一款軟件來解決這個問題是一個過于宏大的話題,To B 產(chǎn)品非幾十上百人的團(tuán)隊不敢想;寫書是切實可行的。坐而言不如起而行,這就是本書誕生的背景。
讀者對象
本書適合以下讀者閱讀:
◆初入網(wǎng)絡(luò)安全行業(yè)的安全運維和安全服務(wù)人員;
◆網(wǎng)絡(luò)安全相關(guān)專業(yè)的教師和學(xué)生;
◆政府和企事業(yè)單位的安全架構(gòu)師、CIO 和 CSO。
本書特色
本書旨在基于實戰(zhàn)經(jīng)驗,以圖解的方式介紹組織需要考慮的典型信息安全工作。除了強調(diào)利用云原生應(yīng)用保護(hù)平臺(CNAPP)、云安全態(tài)勢管理(CSPM)、SOC 和 SIEM 系統(tǒng)等有能力處理海量數(shù)據(jù)的安全平臺來彌補傳統(tǒng)的安全產(chǎn)品單兵作戰(zhàn)能力的不足,本書還試圖通過一張圖將 IT 團(tuán)隊內(nèi)部的信息安全與研發(fā)、運維、測試、應(yīng)急等需要密切協(xié)作的部門聚焦起來(見圖 2),以實現(xiàn)更好的跨團(tuán)隊協(xié)同作戰(zhàn)。
安全攻防如同行軍打仗。通過城防大圖,可以看到一個組織需要關(guān)注的不僅有網(wǎng)絡(luò)通信安全,還有很多作為基礎(chǔ)的專業(yè)安全設(shè)備,覆蓋網(wǎng)站安全、辦公安全、開發(fā)安全、依法合規(guī)等?傊,梳理出攻擊鏈路后的掛圖作戰(zhàn)能促進(jìn)基于上下文的縱深防御,看清有無漏洞、風(fēng)險及攻擊,顯著提升人員效能等。
廣度是深度的副產(chǎn)品。在我的印象中,混合云安全的相關(guān)知識點非常多。本書強調(diào)結(jié)構(gòu)化思維,力求做到以下三點。
◆力求圖解:利用圖表、流程圖和示意圖來輔助解釋復(fù)雜的安全概念,先整體再局部, 展示影響網(wǎng)站的方方面面,而不是專注在 WAF,一頭扎進(jìn)細(xì)節(jié)而管中窺豹。
◆力求全面:這恐怕是市面上最全的一本介紹混合云安全產(chǎn)品和服務(wù)的書了;除了安全產(chǎn)品和技術(shù),本書介紹了人才的安全運營和依法合規(guī),避免顧此失彼。
◆力求實踐:根據(jù)我多年來積累的安全工作經(jīng)驗,尤其是防守方視角的經(jīng)驗,推薦最佳實踐來提升混合云環(huán)境的安全性。從蠕蟲勒索防御到云上訪問密鑰(Access Key,AK) 泄露,你都可以從本書中找到最新的知識與實踐,避免成為眼高手低的“理論家”。
V
圖 2 跨團(tuán)隊協(xié)作
我常常在想:假如我有一天成為一個組織的首席安全官(CSO),我的工作應(yīng)當(dāng)從哪里開始?如何組建一支由安全分析師、安全工程師和安全運營人員組成的有力團(tuán)隊,以確保組織的混合云環(huán)境能及時檢測風(fēng)險和應(yīng)對威脅?希望本書在回答我這個問題的同時,也能給讀者帶來裨益。
如何閱讀本書
本書章節(jié)組織如下。
第 1 章:網(wǎng)絡(luò)安全 詳細(xì)介紹了網(wǎng)絡(luò)安全的重要概念和策略,涵蓋縱深防御、紅藍(lán)對抗和業(yè)務(wù) CIA 原則等關(guān)鍵內(nèi)容。
第 2 章:業(yè)務(wù)安全 介紹了業(yè)務(wù)與安全的關(guān)系,即業(yè)務(wù)的發(fā)展與安全相互促進(jìn),重點講述業(yè)務(wù)的支撐體系及對應(yīng)的安全措施。
第 3 章:團(tuán)隊建設(shè) 網(wǎng)絡(luò)安全技術(shù)更新非常迅速,網(wǎng)絡(luò)安全人才
阿里云資深安全技術(shù)專家,創(chuàng)辦北京九州云騰科技有限公司,后被阿里云全資收購。深耕安全領(lǐng)域近20年,有著豐富的國內(nèi)外云安全行業(yè)經(jīng)驗。被阿里云并購后,負(fù)責(zé)應(yīng)用身份安全I(xiàn)DaaS及衍生的零信任安全產(chǎn)品線。過去幾年帶領(lǐng)團(tuán)隊打造了業(yè)界知名的多租戶IDaaS云服務(wù),基于PKI的移動認(rèn)證App等,為行業(yè)的突破發(fā)展貢獻(xiàn)了力量。
Contents 目錄
前言
第 1 章網(wǎng)絡(luò)安全1
2.2.2更多行業(yè)23
2.3 梳 理 資產(chǎn)24
2.3.1從資產(chǎn)關(guān)系開始24
第 2 章業(yè)務(wù)安全20
2.8.1身份認(rèn)證系統(tǒng)的安全
功能44
2.1沒有絕對的安全20
2.1.1人是最脆弱的環(huán)節(jié)21
2.92.8.2身份安全產(chǎn)品45
實人安全45
2.1.2安全體系212.9.1實人認(rèn)證系統(tǒng)的安全
2.2識別業(yè)務(wù)安全的意義22
2.2.1金融行業(yè)23功能45
2.9.2實人安全產(chǎn)品45
VIII
2.10 移 動 App 安全463.5.7安全項目經(jīng)理63
2.10.1移動 App 的安全功能463.5.8安全產(chǎn)品銷售63
2.10.2移動 App 安全產(chǎn)品463.5.9安全培訓(xùn)講師63
2.11 小程序安全463.5.10創(chuàng)業(yè)公司多面手64
2.11.1小程序的安全功能473.5.11首席技術(shù)官64
2.11.2小程序安全產(chǎn)品47
2.12 本 章 小結(jié)47
第 3 章團(tuán)隊建設(shè)48
3.1人才標(biāo)準(zhǔn)49
3.2從業(yè)者50
3.2.1分類50
3.2.2個人動機與團(tuán)隊文化53
3.2.3個人能力54
3.3攻擊方人才成長55
3.3.1業(yè)余愛好者56
3.6監(jiān)管人才成長64
3.6.1網(wǎng)安警務(wù)人員66
3.6.2行業(yè)監(jiān)管人員66
3.7安全資格認(rèn)證66
3.7.1人才培訓(xùn)66
3.7.2靶場及實驗室67
3.7.3證書70
3.8本章小結(jié)71
第 4 章網(wǎng)絡(luò)邊界安全72
4.1 網(wǎng)絡(luò)基本知識73
3.4.7安全合規(guī)評估工程師60
3.4.8首席安全官60
3.5廠商人才成長61
4.3 安全設(shè)備及技術(shù)95
4.3.1防火墻95
4.3.2網(wǎng)閘98
3.5.1安全技術(shù)售前614.3.3統(tǒng)一威脅管理平臺99
3.5.2安全技術(shù)售后624.3.4網(wǎng)絡(luò)威脅檢測及響應(yīng)
3.5.3安全服務(wù)工程師62系統(tǒng)101
3.5.4安全產(chǎn)品研發(fā)工程師624.3.5入侵檢測系統(tǒng)104
3.5.5安全產(chǎn)品測試工程師634.3.6入侵防御系統(tǒng)106
3.5.6安全產(chǎn)品經(jīng)理634.3.7虛擬專用網(wǎng)絡(luò)109
IX
4.3.8軟件定義網(wǎng)絡(luò)1115.1.1主機服務(wù)器安全126
4.3.9軟件定義廣域網(wǎng)1125.1.2Linux 服務(wù)器安全127
4.4其他網(wǎng)絡(luò)邊界安全設(shè)備1135.1.3Windows 服務(wù)器安全129
4.4.1DNS1135.1.4虛擬私有服務(wù)器安全132
4.4.2SSL 證書1145.1.5容器安全133
4.5公有云網(wǎng)絡(luò)安全1155.1.6服務(wù)網(wǎng)格安全135
4.5.1虛擬交換機1165.1.7無服務(wù)器安全137
4.5.2虛擬路由器1165.1.8沙盒安全139
4.5.3VPC1165.1.9存儲安全140
4.5.4區(qū)域1175.1.10主機入侵檢測系統(tǒng)
4.5.5可用分區(qū)117安全141
4.5.6安全組與自身安全1175.1.11堡壘機安全143
4.5.7應(yīng)用負(fù)載均衡器與自身5.1.12特權(quán)賬號管理系統(tǒng)
安全117安全147
4.5.8彈性公網(wǎng) IP 地址與自身5.1.13主機漏掃工具安全150
4.5.9安全118
網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)關(guān)與自身5.2災(zāi)備環(huán)境安全150
5.2.1兩地三中心151
安全1185.2.2混合云災(zāi)備152
4.5.10云防火墻與自身安全1185.3公有云安全152
4.5.11云 VPN 網(wǎng)關(guān)與自身5.3.1公有云規(guī)劃工具152
安全1195.3.2公有云安全實現(xiàn)153
4.5.12智能接入網(wǎng)關(guān)與自身
安全1195.4私有云安全157
5.4.1私有云規(guī)劃工具158
4.6網(wǎng)絡(luò)漏掃120
4.6.1網(wǎng)絡(luò)漏掃工具的作用120
4.6.2網(wǎng)絡(luò)漏掃工具的功能120
4.6.3網(wǎng)絡(luò)漏掃工具的部署
位置121
4.6.4網(wǎng)絡(luò)漏掃工具安全121
4.6.5網(wǎng)絡(luò)漏掃工具聯(lián)動121
4.6.6網(wǎng)絡(luò)漏掃產(chǎn)品122
4.7本章小結(jié)123
第 5 章基礎(chǔ)計算環(huán)境安全124
5.1 數(shù)據(jù)中心設(shè)備安全125
5.4.2私有云安全實現(xiàn)158
5.5 本 章 小結(jié)159
第 6 章網(wǎng)站安全160
6.1網(wǎng)站的縱深防御161
6.1.1HTTP162
6.1.2網(wǎng)站的架構(gòu)163
6.1.3攻擊路徑分析164
6.1.4安全產(chǎn)品的組合166
6.1.5WAAP166
6.2Web 安全167
6.2.1OWASP 簡介167
X
6.2.2SQL 注入168
6.2.3Webshell 上傳方式168
6.2.4猖獗的內(nèi)存馬168
6.2.5Burp Suite 工具169
6.3 云 抗 D170
6.3.1云抗 D