本書(shū)注重理論聯(lián)系實(shí)際����,內(nèi)容豐富多彩且圖文并茂����,不僅介紹云計(jì)算安全技術(shù)是什么����,還從技術(shù)提出的背景出發(fā),介紹相關(guān)云計(jì)算安全技術(shù)的提出意義����。為滿足零基礎(chǔ)讀者的需要,本書(shū)內(nèi)容深入淺出����,用通俗易懂的語(yǔ)言詳細(xì)介紹云計(jì)算的相關(guān)理論及技術(shù)。此外����,本書(shū)還注重知識(shí)與技術(shù)的系統(tǒng)性,以便讀者在全面了解云計(jì)算安全體系的同時(shí)����,掌握云計(jì)算安全關(guān)鍵技術(shù),了解當(dāng)前最新的云計(jì)算安全前沿技術(shù)。本書(shū)可作為高等院校信息安全����、計(jì)算機(jī)等相關(guān)專業(yè)的課程教材,也可作為廣大云計(jì)算運(yùn)維人員����、云計(jì)算安全開(kāi)發(fā)人員及對(duì)云計(jì)算安全感興趣的讀者的參考用書(shū)。
孫磊����,教授,博導(dǎo)����,主要研究方向包括信息系統(tǒng)安全、云計(jì)算安全����、人工智能安全、5G安全等����。獲國(guó)家科技進(jìn)步二等獎(jiǎng)1項(xiàng)����,省部級(jí)科技進(jìn)步一等獎(jiǎng)2項(xiàng)����,二等獎(jiǎng)4項(xiàng)����,申請(qǐng)國(guó)家發(fā)明專利12項(xiàng),發(fā)表學(xué)術(shù)論文50余篇����。
第 1 章 云計(jì)算基礎(chǔ) .........................................................................................................1
1.1 云計(jì)算的基本概念 ........................................................................................................ 1
1.1.1 云計(jì)算的起源 ..................................................................................................... 1
1.1.2 云計(jì)算的定義與術(shù)語(yǔ) ......................................................................................... 6
1.1.3 云計(jì)算的特點(diǎn) ..................................................................................................... 7
1.1.4 云計(jì)算的優(yōu)勢(shì) ..................................................................................................... 8
1.2 云計(jì)算的服務(wù)模型 ........................................................................................................ 9
1.2.1 基礎(chǔ)設(shè)施即服務(wù)(IaaS) .................................................................................. 9
1.2.2 平臺(tái)即服務(wù)(PaaS) ....................................................................................... 10
1.2.3 軟件即服務(wù)(SaaS) ....................................................................................... 12
1.2.4 3 種服務(wù)模型的對(duì)比分析 ................................................................................ 12
1.3 云計(jì)算的部署模式 ...................................................................................................... 14
1.3.1 私有云 ............................................................................................................... 14
1.3.2 公有云 ............................................................................................................... 15
1.3.3 社區(qū)云 ............................................................................................................... 16
1.3.4 混合云 ............................................................................................................... 18
1.4 云計(jì)算的總體架構(gòu) ...................................................................................................... 18
1.5 云操作系統(tǒng) OpenStack................................................................................................ 20
1.6 本章小結(jié) ...................................................................................................................... 26
第 2 章 云計(jì)算安全概述 ............................................................................................... 27
2.1 云計(jì)算的安全需求 ...................................................................................................... 27
2.2 云計(jì)算面臨的威脅 ...................................................................................................... 27
2.2.1 外包服務(wù)模式帶來(lái)的安全威脅 ....................................................................... 27
2.2.2 云管理員特權(quán)帶來(lái)的安全威脅 ....................................................................... 28
2.2.3 共享技術(shù)帶來(lái)的安全威脅 ............................................................................... 30
2.2.4 按需租用帶來(lái)的安全威脅 ............................................................................... 31
2.2.5 泛在互聯(lián)帶來(lái)的安全威脅 ............................................................................... 31
2.2.6 云安全聯(lián)盟給出的十二大云安全威脅 ........................................................... 32
2.3 云計(jì)算的脆弱性 .......................................................................................................... 36
2.3.1 云計(jì)算的層次架構(gòu) ........................................................................................... 36
2.3.2 應(yīng)用和接口層的脆弱性 ................................................................................... 37
2.3.3 平臺(tái)層的脆弱性 ............................................................................................... 38
2.3.4 基礎(chǔ)設(shè)施層的脆弱性 ....................................................................................... 39
2.3.5 保證與合規(guī)垂直面的脆弱性 ........................................................................... 42
2.4 云計(jì)算安全體系 .......................................................................................................... 43
2.5 本章小結(jié) ...................................................................................................................... 46
第 3 章 主機(jī)虛擬化安全 ............................................................................................... 47
3.1 虛擬化概述 .................................................................................................................. 47
3.1.1 虛擬化的基本概念 ........................................................................................... 47
3.1.2 平臺(tái)虛擬化的目的 ........................................................................................... 48
3.1.3 虛擬化架構(gòu) ....................................................................................................... 49
3.2 虛擬化技術(shù) .................................................................................................................. 51
3.2.1 CPU 虛擬化 ...................................................................................................... 51
3.2.2 內(nèi)存虛擬化 ....................................................................................................... 55
3.2.3 I/O 設(shè)備虛擬化 ................................................................................................. 58
3.3 虛擬化平臺(tái)的安全威脅 .............................................................................................. 65
3.3.1 虛擬機(jī)蔓延 ....................................................................................................... 65
3.3.2 特殊配置隱患 ................................................................................................... 66
3.3.3 狀態(tài)恢復(fù)隱患 ................................................................................................... 67
3.3.4 虛擬機(jī)暫態(tài)隱患 ............................................................................................... 68
3.3.5 長(zhǎng)期未使用虛擬機(jī)隱患 ................................................................................... 68
3.4 虛擬化平臺(tái)的安全攻擊 .............................................................................................. 68
3.4.1 虛擬機(jī)鏡像的竊取和篡改 ............................................................................... 68
3.4.2 虛擬機(jī)跨域訪問(wèn) ............................................................................................... 69
3.4.3 虛擬機(jī)逃逸 ....................................................................................................... 69
3.4.4 VMBR 攻擊 ...................................................................................................... 72
3.4.5 拒絕服務(wù)(DoS)攻擊 .................................................................................... 72
3.4.6 基于 Cache 的側(cè)信道攻擊 ............................................................................... 73
3.5 虛擬化平臺(tái)的安全機(jī)制 .............................................................................................. 73
3.5.1 虛擬化平臺(tái)的安全防御架構(gòu) ........................................................................... 73
3.5.2 基于虛擬化平臺(tái)的安全模型 ........................................................................... 74
3.5.3 虛擬環(huán)境下的安全監(jiān)控機(jī)制 ........................................................................... 77
3.5.4 可信虛擬化平臺(tái) ............................................................................................... 79
3.6 本章小結(jié) ...................................................................................................................... 86
第 4 章 容器安全 .......................................................................................................... 87
4.1 容器技術(shù) ...................................................................................................................... 87
4.1.1 容器技術(shù)概述 ................................................................................................... 87
4.1.2 容器的隔離機(jī)制 ............................................................................................... 88
4.1.3 容器與云計(jì)算 ................................................................................................... 91
4.2 容器安全 ...................................................................................................................... 92
4.2.1 容器面臨的威脅 ............................................................................................... 92
4.2.2 容器安全機(jī)制 ................................................................................................... 95
4.3 本章小結(jié) .................................................................................................................... 100
第 5 章 網(wǎng)絡(luò)虛擬化安全 ............................................................................................. 101
5.1 網(wǎng)絡(luò)虛擬化技術(shù) ........................................................................................................ 101
5.1.1 網(wǎng)絡(luò)基礎(chǔ)知識(shí) ................................................................................................. 101
5.1.2 虛擬局域網(wǎng)(VLAN) .................................................................................. 106
5.1.3 Overlay 技術(shù) ................................................................................................... 112
5.2 軟件定義網(wǎng)絡(luò)及安全 ................................................................................................ 122
5.2.1 軟件定義網(wǎng)絡(luò)架構(gòu) ......................................................................................... 123
5.2.2 OpenFlow 規(guī)范 ............................................................................................... 124
5.2.3 ☆SDN 的安全問(wèn)題 ........................................................................................ 129
5.2.4 ☆SDN 的安全技術(shù) ........................................................................................ 136
5.3 網(wǎng)絡(luò)功能虛擬化 ........................................................................................................ 141
5.3.1 網(wǎng)絡(luò)功能虛擬化解決的問(wèn)題 ......................................................................... 141
5.3.2 網(wǎng)絡(luò)功能虛擬化的架構(gòu) ................................................................................. 143
5.3.3 NFV 與 SDN ................................................................................................... 144
5.4 虛擬私有云 ................................................................................................................ 145
5.4.1 虛擬私有云的概念 ......................................................................................... 145
5.4.2 VPC 網(wǎng)絡(luò)規(guī)劃 ................................................................................................ 146
5.4.3 VPC 與 SDN、NFV ....................................................................................... 149
5.5 軟件定義安全 ............................................................................................................ 149
5.5.1 軟件定義安全的概念 ..................................................................................... 149
5.5.2 云數(shù)據(jù)中心的安全方案 ................................................................................. 152
5.6 本章小結(jié) .................................................................................................................... 154
第 6 章 云數(shù)據(jù)安全 .................................................................................................... 155
6.1 云數(shù)據(jù)面臨的安全威脅 ............................................................................................ 155
6.2 云數(shù)據(jù)安全技術(shù)的介紹 ............................................................................................ 157
6.3 云數(shù)據(jù)的加密存儲(chǔ) .................................................................................................... 158
6.3.1 數(shù)據(jù)加密的基本流程 ..................................................................................... 158
6.3.2 基于客戶端主密鑰的客戶端加密 ................................................................. 159
6.3.3 基于云端托管主密鑰的客戶端加密 ............................................................. 162
6.3.4 基于客戶端主密鑰的云端加密 ..................................................................... 164
6.3.5 基于云端托管主密鑰的云端加密 ................................................................. 167
6.4 ☆云密文數(shù)據(jù)的安全搜索 ........................................................................................ 169
6.4.1 核心思想 ......................................................................................................... 169
6.4.2 基于對(duì)稱密碼學(xué)的可搜索加密 ..................................................................... 170
6.4.3 基于非對(duì)稱密碼學(xué)的可搜索加密 ................................................................. 174
6.5 ☆云密文數(shù)據(jù)的安全共享 ........................................................................................ 175
6.6 本章小結(jié) .................................................................................................................... 176
第 7 章 云計(jì)算安全認(rèn)證 ............................................................................................. 177
7.1 云計(jì)算環(huán)境中的認(rèn)證需求 ........................................................................................ 177
7.2 云計(jì)算安全認(rèn)證技術(shù) ................................................................................................ 179
7.2.1 安全認(rèn)證基礎(chǔ) ................................................................................................. 179
7.2.2 云計(jì)算安全認(rèn)證技術(shù) ..................................................................................... 180
7.3 云計(jì)算安全認(rèn)證協(xié)議 ................................................................................................ 182
7.3.1 基于 OAuth 的云安全認(rèn)證 ............................................................................ 182
7.3.2 基于 OpenID 的云安全認(rèn)證 .......................................................................... 185
7.3.3 基于 SAML 的云安全認(rèn)證 ............................................................................ 188
7.4 云計(jì)算安全認(rèn)證系統(tǒng)實(shí)現(xiàn) ........................................................................................ 190
7.4.1 統(tǒng)一認(rèn)證系統(tǒng)架構(gòu) ......................................................................................... 190
7.4.2 OpenStack 的身份認(rèn)證系統(tǒng) .......................................................................... 191
7.5 本章小結(jié) .................................................................................................................... 201
第 8 章 云計(jì)算訪問(wèn)控制 ............................................................................................. 202
8.1 概述 ............................................................................................................................ 202
8.1.1 云計(jì)算的參與方 ............................................................................................. 202
8.1.2 訪問(wèn)控制原理 ................................................................................................. 203
8.2 云租戶的內(nèi)部訪問(wèn)控制 ............................................................................................ 204
8.3 云代理者的訪問(wèn)控制 ................................................................................................ 208
8.4 不可信第三方應(yīng)用的臨時(shí)授權(quán)管理 ........................................................................ 212
8.5 ☆云訪問(wèn)控制模型 .................................................................................................... 214
8.5.1 基于任務(wù)的訪問(wèn)控制模型 ............................................................................. 214
8.5.2 基于屬性的訪問(wèn)控制模型 ............................................................................. 217
8.5.3 基于 UCON 的訪問(wèn)控制模型 ........................................................................ 221
8.5.4 基于屬性加密的訪問(wèn)控制模型 ..................................................................... 224
8.6 本章小結(jié) .................................................................................................................... 228
9 章 ☆云數(shù)據(jù)安全審計(jì)技術(shù) .................................................................................. 229
9.1 云數(shù)據(jù)安全審計(jì)架構(gòu) ................................................................................................ 229
9.1.1 審計(jì)內(nèi)容架構(gòu) ................................................................................................. 229
9.1.2 審計(jì)流程架構(gòu) ................................................................................................. 230
9.2 數(shù)據(jù)持有性證明 ........................................................................................................ 230
9.2.1 基于 RSA 簽名的 PDP 機(jī)制 .......................................................................... 230
9.2.2 基于 BLS 簽名的 PDP 機(jī)制 .......................................................................... 232
9.2.3 支持動(dòng)態(tài)操作的 PDP 機(jī)制 ............................................................................ 233
9.2.4 支持多副本的 PDP 機(jī)制 ................................................................................ 236
9.3 數(shù)據(jù)可恢復(fù)性證明 .................................................................................................... 239
9.3.1 基于哨兵的 POR 機(jī)制 ................................................................................... 239
9.3.2 緊縮的 POR 機(jī)制 ........................................................................................... 240
9.4 本章小結(jié) .................................................................................................................... 242
第 10 章 ☆密碼服務(wù)云............................................................................................... 243
10.1 云密碼服務(wù)簡(jiǎn)介 ...................................................................................................... 243
10.2 密碼服務(wù)云的總體架構(gòu) .......................................................................................... 244
10.3 密碼服務(wù)云系統(tǒng) ...................................................................................................... 250
10.4 密碼服務(wù)云工作原理 .............................................................................................. 253
10.5 本章小節(jié) .................................................................................................................. 254
第 11 章 ☆零信任模型............................................................................................... 255
11.1 零信任概述 .............................................................................................................. 255
11.1.1 零信任產(chǎn)生的背景 ....................................................................................... 255
11.1.2 零信任定義 ................................................................................................... 256
11.1.3 零信任的發(fā)展歷程 ....................................................................................... 256
11.2 零信任體系 .............................................................................................................. 257
11.2.1 零信任訪問(wèn)模型 ........................................................................................... 257
11.2.2 零信任原則 ................................................................................................... 257
11.2.3 零信任的核心技術(shù) ....................................................................................... 258
11.2.4 零信任體系的邏輯組件 ............................................................................... 260
11.3 零信任網(wǎng)絡(luò)安全應(yīng)用 .............................................................................................. 261
11.3.1 遠(yuǎn)程移動(dòng)辦公應(yīng)用 ....................................................................................... 261
11.3.2 谷歌 BeyondCorp .......................................................................................... 263
11.4 本章小結(jié) .................................................................................................................. 266
參考文獻(xiàn) ...................................................................................................................... 267
書(shū)單推薦
