云原生安全/网络空间安全技术丛书

《云原生安全》融合了信息安全行业资深技术专家多年经验，以面向应用的云原生安全建设为主线，从五个维度对云原生安全进行剖析。本书避免了概念和技术的生硬堆砌，采用循序渐进、前后铺垫的方式，利用大量的总结性图表，让复杂的云原生技术体系变得易懂、易实践。书中操作部分配有二维码视频，使读者身临其境，迅速、深入地掌握各种经验和技巧。

本书以帮助云原生从业技术人员建立云原生安全的整体视野为目的，通过梳理整个云原生的流程和技术结构，阐述如何以应用安全为抓手，将安全性内建到应用的流程、架构以及平台之中，从而获得一整套完善的云原生应用安全方案。同时书中对云原生安全开源方案进行了汇总，有针对性地对当前的热点行业，包括金融、交通、制造业的不同特点和安全诉求以及安全应对方案进行了简要说明。本书内容环环相扣，便于读者通过阅读建立自己的知识体系结构。
本书适用于对云原生安全技术有兴趣的技术开发者、维护者，以及对于云计算和分布式系统有兴趣的相关技术从业人员，也可以作为政企信息部门技术和管理人员进行业务系统云化改造方案设计的参考资料。

李学峰，中国电子云CCOS研发负责人，拥有十多年的云计算从业经验，精通云原生相关技术体系，包括容器平台、数据库、大数据、微服务、DevOps、云安全以及云运维等。

出版说明
推荐序
前言
第1章 什么是云原生
1.1 云原生平台、架构及开发流程
1.1.1 云原生之统一基础平台
1.1.2 云原生之统一软件架构
1.1.3 云原生之统一开发流程
1.2 云原生与混合云
1.2.1 混合云的概念
1.2.2 混合云应用架构设计
1.2.3 云原生与混合云的关系
1.3 CNCF与云原生平台
1.3.1 CNCF社区
1.3.2 云服务商与云原生
1.3.3 利用开源技术搭建云原生平台
第2章 云原生安全演进
2.1 传统安全解决方案
2.1.1 以网络边界设备为核心的安全控制
2.1.2 云安全服务
2.1.3 终端安全
2.2 云原生时代的安全变化趋势
2.3 云原生安全的整体建设思路
2.3.1 围绕应用的云原生转型建设
2.3.2 以加快业务进化速度为首要目标
2.3.3 以应用为中心的云原生安全
2.4 云原生安全技术发展趋势展望
第3章 应用平台安全
3.1 私有云原生平台架构
3.1.1 私有云原生平台的技术标准
3.1.2 平台架构
3.2 公有云原生平台架构
3.3 容器层安全
3.3.1 容器镜像安全
3.3.2 容器运行态安全
3.3.3 安全容器Kata
3.4 Kubernetes安全
3.4.1 Kubernetes中的关键组件
3.4.2 Kubernetes的威胁来源和攻击模型
3.4.3 Kubernetes组件安全加固
3.4.4 Pod安全
3.4.5 认证和鉴权
3.5 基础Linux安全
3.5.1 账户安全加固
3.5.2 文件权限加固
3.5.3 强制访问控制
3.5.4 iptables与Linux防火墙
3.6 创建安全的云原生应用运行环境
3.6.1 创建应用运行集群并对系统进行加固
3.6.2 Kubernetes关键组件安全加固
3.6.3 配置容器集群安全认证
第4章 应用架构安全
4.1 云原生典型应用架构
4.2 应用使用的云服务组件
4.3 微服务与Web层架构安全
4.3.1 防护跨站脚本攻击
4.3.2 跨站请求伪造防护
4.3.3 防范XML外部实体攻击
4.3.4 SQL注入攻击防护
4.4 应用中间件安全
4.4.1 Redis缓存安全
4.4.2 消息中间件安全
4.5 微服务与应用通信
4.5.1 TLS与HTTPS通信加密
4.5.2 微服务限流与应用防攻击
4.5.3 微服务间的访问控制
4.6 Service Mesh与应用服务安全
4.6.1 云原生服务网络技术实现框架对比
4.6.2 Istio服务网络技术架构
4.6.3 使用Istio的内置安全认证能力
4.6.4 使用Istio的流量安全管理功能
4.6.5 利用Istio的鉴权和监测功能
4.7 在云环境中构建安全的应用框架
4.7.1 创建一个简单的云原生应用
4.7.2 为服务间通信配置访问控制
4.7.3 利用Service Mesh框架进行精细流量管控及监测
4.7.4 为应用配置认证和加密
第5章 云原生应用安全管理
5.1 应用安全审计
5.1.1 业务操作日志记录
5.1.2 从系统及应用中收集日志
5.1.3 日志存档
5.1.4 日志分析及入侵检测
5.2 应用配置和密钥安全
5.2.1 应用配置中心安全防护
5.2.2 应用密钥安全
5.3 数据安全
5.3.1 数据安全的三个要素
5.3.2 云生态中数据安全的整体架构
5.3.3 应用数据加密技术
5.3.4 数据脱敏技术
5.4 在管理层面加固应用的安全
5.4.1 配置应用运行日志存档
5.4.2 扩充日志动态分析
5.4.3 操作日志记录、归档和访问控制
第6章 应用流程安全
6.1 DevOps流程
6.2 DevSecOps：开发、安全、运维一体化
6.2.1 从DevOps到DevSecOps
6.2.2 云原生自动化流水线的使用
6.2.3 自动化的安全流程
6.2.4 测试驱动安全
6.3 基于GitLab搭建一个自己的DevSecOps流水线
6.3.1 搭建GitLab并为工程创建流水线
6.3.2 GitLab与应用安全测试工具集成
6.3.3 GitLab与代码扫描工具集成
第7章 应用集成和生态安全
7.1 利用云服务网关进行应用集成
7.1.1 基于云服务网关进行接口发布和订阅
7.1.2 利用云服务网关实现接口格式转换
7.2 接口授权和认证
7.2.1 ID和密钥管理
7.2.2 开放认证
7.3 接口访问安全策略和调用监测
7.3.1 访问策略
7.3.2 流控策略
7.3.3 应用访问监控及日志分析
7.4 服务能力对外开放
7.4.1 使用云服务总线进行服务发布
7.4.2 App授权
第8章 云原生开源安全工具和方案
8.1 应用平台层的开源安全工具
8.1.1 Kubernetes安全监测工具kube-bench
8.1.2 Kubernetes安全策略配置工具kube-psp-advisor
8.1.3 Kubernetes渗透测试工具kube-hunter
8.1.4 系统平台信息扫描和检索工具Osquery
8.2 应用架构层的安全工具
8.2.1 静态应用程序安全测试工具
8.2.2 动态应用程序安全测试工具
8.2.3 交互