全球最強雲端平台實作：用AWS完成安全穩定快速的系統 DM2168

全球最強雲端平台實作：用AWS完成安全穩定快速的系統

雲端運算產業的發展已經進入第二十年，雲端運算身為基礎設施已經開始大規模支援各行各業的發展。本書在參考軟體工程的思想和NIST CSF（National Institute of Standards and Technology Cybersecurity Framework，美國國家標準與技術研究院網路安全框架）的基礎上，將雲端運算安全能力建設對應到NIST CSF中，從雲端運算安全能力建設的角度由淺入深地複習雲端運算安全產業實踐的基本常識、雲端安全能力建構的基礎實驗與雲端運算產業安全的綜合實踐。我們希望本書能夠對雲端運算相關產業的安全能力建設造成參考作用。雲端運算的普及對雲端安全從業者的數量和品質提出了極大的需求，本書的問世是產業之幸。它對雲端安全的基礎知識、基礎實驗、前端實踐、發展趨勢等內容做了綜合、全面的介紹，不僅能幫助所有安全技術領域的人員迅速掌握基本理論，並且能獲得雲端安全實操經驗，縮短從入門到精通的時間，可以說這本書是對CSA CCSK雲端安全知識很好的教材。

亞馬遜雲計算Lambda產品線首席安全官。曾兼職美國資訊產業機構USITO安全性群組聯合主席（2011-2020年），國際可信計算組織TCG大中華區主席（2011-2015年），上海資料治理與安全產業發展專業委員會專家(2019-2021年) 。具有26年的安全技術研究經歷，主要研究領域包括雲計算安全、網路安全、應用密碼學、網路攻擊與防禦、電子商務安全。

盧朝陽

亞馬遜Amazon Web Service雲安全專業架構師，從事金融和互聯網資訊安全工作17年，為全球100多個客戶提供專業定制雲安全架構，曾歷任安全滲透專家、安全諮詢顧問、安全風險管理專家、安全負責人等，致力於多雲上DevSecOps與雲安全自動化和智慧化的建設和優化。

余波

亞馬遜Amazon Web Service安全市場與產品專家，有多年歐洲和東南亞的海外經歷，歷任奇安信集團國際部負責人、網宿科技香港網盾公司負責人、綠盟科技歐洲及中東分公司總經理、華為東南亞某系統部門負責人等。

朱志強

亞馬遜Amazon Web Service安全市場與產品專家，負責雲安全方案的拓展工作，曾在華為、綠盟等多家知名網路安全公司任職，擁有十多年網路安全行業架構和諮詢經驗。

推薦語

序言1

序言2

前 言

第 1 章 雲端安全基礎

1.1 雲端安全定義

1.2 雲端安全理念與責任共擔模型

1.3 雲端安全產業與產品

1.4 雲端安全優勢

第 2 章 雲端安全系統

2.1 NIST CSF

2.2 CAF

2.3 GDPR

2.4 ATT&CK 雲端安全攻防模型

2.5 零信任網路

2.6 ISO 27000 系列安全標準

2.7 SOC

2.8 FedRAMP

第 3 章 雲端安全治理模型

3.1 如何選擇雲端安全治理模型

3.2 如何建構雲端安全治理模型

第 4 章 雲端安全規劃設計

4.1 雲端安全規劃方法

4.2 雲端資產的定義和分類

4.3 雲端安全建設路徑

第 5 章 NIST CSF 雲端安全建設實踐

5.1 雲端安全辨識能力建設

5.2 雲端安全保護能力建設

5.3 雲端安全檢測能力建設

5.4 雲端安全回應能力建設

5.5 雲端安全恢復能力建設

第 6 章 雲端安全動手實驗—基礎篇

6.1 Lab1：手工創建第一個根使用者帳戶

6.2 Lab2：手工設定第一個IAM 使用者和角色

6.3 Lab3：手工創建第一個安全資料倉儲帳戶

6.4 Lab4：手工設定第一個安全靜態網站

6.5 Lab5：手工創建第一個安全運行維護堡壘機

6.6 Lab6：手工設定第一個安全開發環境

6.7 Lab7：自動部署IAM 群組、策略和角色

6.8 Lab8：自動部署VPC 安全網路架構

6.9 Lab9：自動部署Web 安全防護架構

6.10 Lab10：自動部署雲端WAF 防禦架構

第 7 章 雲端安全動手實驗—提升篇

7.1 Lab1：設計IAM 進階許可權和精細策略

7.2 Lab2：整合IAM 標籤細顆粒存取控制

7.3 Lab3：設計Web 應用的Cognito 身份驗證

7.4 Lab4：設計VPC EndPoint 安全存取策略

7.5 Lab5：設計WAF 進階Web 防護策略

7.6 Lab6：設計SSM 和Inspector 漏洞掃描與加固

7.7 Lab7：自動部署雲端上威脅智慧檢測

7.8 Lab8：自動部署Config 監控並修復S3 符合規範性

7.9 Lab9：自動部署雲端上漏洞修復與符合規範管理

第 8 章 雲端安全動手實驗—綜合篇

8.1 Lab1：整合雲端上ACM 私有CA 數位憑證系統

8.2 Lab2：整合雲端上的安全事件監控和應急回應

8.3 Lab3：整合AWS 的PCI-DSS 安全符合規範性架構

8.4 Lab4：整合DevSecOps 安全敏捷開發平台

8.5 Lab5：整合AWS 雲端上綜合安全管理中心

8.6 Lab6：AWS WA Labs 動手實驗

第 9 章 雲端安全能力評估

9.1 雲端安全能力評估的原則

9.2 雲端安全能力評估內容

第 10 章 雲端安全能力教育訓練與認證系統

10.1 雲端安全技能認證

10.2 競訓平台AWS Jam

第 11 章 雲端安全的發展趨勢

11.1 世界雲端安全的發展趨勢

11.2 新時期雲端運算安全

2019 年11 月，電子工業出版社李淑麗編輯向我約稿，希望我能寫一本指導雲端運算相關公司建構雲端運算安全能力的書，於是有了本書。感謝李淑麗編輯讓我和電子工業出版社能夠再續前緣，希望以後能夠基於興趣繼續和電子工業出版社合作出版好書。雲端運算產業的發展已經進入第二個十年，雲端運算身為基礎設施已經開始大規模支持各行各業的發展。本書在參考軟體工程的思想和NIST CSF（National Institute of Standards and Technology Cybersecurity Framework，美國國家標準與技術研究院網路安全框架）的基礎上，將雲端運算安全能力建設對應到NIST CSF 中，從雲端運算安全能力建設的角度由淺入深地複習雲端運算安全產業實踐的基本常識、雲端安全能力建構的基礎實驗與雲端運算產業安全的綜合實踐。我們希望本書能夠對雲端運算相關產業的安全能力建設造成參考作用。本書編寫原則：①少而精。只介紹與雲端安全相關的成熟的知識、技術、方法與實踐。②自成邏輯。每個章節既可以自成系統，又可以作為本書的一部分來組成整體知識系統。③由淺入深，從入門到精通。在介紹基本原理的基礎上，以雲端運算應用安全能力建設為主，重點介紹在雲端安全能力建設中的典型案例與實驗。本書共分為11 章。第1 章介紹雲端安全的基礎知識，包括雲端運算的基本定義、雲端運算的發展階段、雲端安全的定義、雲端安全的理念與責任共擔模型、雲端安全產業的發展，以及基於雲端運算的安全產品。第2 章介紹雲端安全相關的幾種框架和系統，重點介紹NIST CSF 和雲端採用框架（Cloud Adoption Framework，CAF），其他的安全系統作為補充簡介。第3 章介紹雲端安全治理模型，主要從戰略的角度介紹如何選擇雲端安全治理模型、如何建構雲端安全治理模型和如何實踐雲端安全治理模型。其目的是為不同規模的使用者提供從上往下的參考模型，為不同安全要求的使用者提供可參考的雲端安全規劃設計架構。第4 章介紹雲端安全的需求、規劃、建設和實施路徑。不同產業、不同規模的公司對雲端安全起點的要求是不一樣的。為了更進一步地幫助使用者選擇適合自己的安全建設目標和路徑，我們基於Security by Design (SbD) 方法將使用者的實際情況和發展方式進行了梳理，從而提供給使用者可參考的、持續的雲端安全規劃和建設路徑。第5 章將雲端運算安全建設實踐對應到NIST CSF 框架中，以Amazon WebServices（本書中簡稱為AWS）雲端原生安全產品和服務為例，介紹在雲端運算安全建設實踐中與NIST CSF 對應的雲端安全辨識能力、雲端安全保護能力、雲端安全檢測能力、雲端安全回應能力和雲端安全恢復能力。第6 ∼ 8 章為基礎篇、提高篇和綜合篇，分別介紹雲端安全綜合能力建設的實踐與實驗。第6 章基礎篇是雲端上基礎安全實驗，適合雲端安全初學者，主要目的是幫助初學者動手操作，快速學習雲端上基本的安全性原則、安全功能和安全服務，並幫助讀者學習設定自動部署雲端安全實驗場景和安全最佳實踐。其包括10 個基礎實驗：手工創建第一個根使用者帳戶；手工設定第一個IAM 使用者和角色；手工創建第一個安全資料倉儲帳戶；手工設定第一個安全靜態網站；手工創建第一個安全運行維護堡壘機；手工設定第一個安全開發環境；自動部署IAM 組、策略和角色；自動部署VPC 安全網路架構；自動部署Web 安全防護架構；自動部署雲端WAF 防禦架構。第7 章提高篇是雲端上安全進階實驗組，主要目的是幫助讀者深入學習雲端上的安全服務和技術，深度體驗雲端上安全能力的設計與實現。其包括9 個提高實驗：設計IAM 進階許可權和精細策略；整合IAM 標籤細粒度存取控制；設計Web 應用的Cognito 身份驗證；設計VPC EndPoint 安全存取策略；設計WAF 進階Web 防護策略；設計SSM 和Inspector 漏洞掃描與加固；自動部署雲端上威脅智慧檢測；自動部署Config 監控並修復S3 符合規範性；自動部署雲端上漏洞修復與符合規範管理。第8 章綜合篇是雲端上安全綜合實驗組，主要目的是幫助讀者全面進行自訂安全整合和綜合複雜安全架構的設計與實現。其包括6 個綜合實驗：整合雲端上ACM 私有CA 數位憑證系統；整合雲端上的安全事件監控和應急回應；整合AWS 的PCI-DSS 安全符合規範性架構；整合DevSecOps 安全敏捷開發平台；整合AWS 雲端上綜合安全管理中心； AWS Well-Architected Labs 動手實驗。第9 章介紹雲端安全能力評估。本章基於CAF 和CSF 模型，聚焦於指導企業評估採用雲端服務時應具備的安全能力，以及如何保證雲端上安全建設與主流雲端廠商的最佳實踐保持一致。本章從評估原則、範圍、方法等角度出發，指導企業從實際出發評估雲端上安全能力，從實際出發制定自己的建設計畫。第10 章以AWS 的認證系統和競訓平台為例，幫助企業了解不同知識儲備的員工可以透過哪些課程、認證和訓練平台來培養、改進和提升雲端運算及雲端安全的技能。第11 章介紹雲端安全的發展趨勢與雲端安全面臨的挑戰。本書可以作為雲端運算相關產業從業者和具備基本電腦知識的學生，從入門到精通學習雲端安全實踐的技術參考書。雲端運算技術和安全技術發展得很快，本書的內容可能存在遺漏甚至錯誤的地方，懇請讀者不吝批評指正。本書獲得了亞馬遜AWS 大中華區產品部總經理顧凡先生，亞馬遜AWS 大中華區市場部總經理邱勝先生，亞馬遜AWS 大中華區公共關係部門總監鐘敏先生的大力支持。本書獲得了電子工業出版社的大力支持，電子工業出版社編輯李淑麗女士為本書的出版做了大量的工作。本書還獲得了業界專家學者的評審和推薦，還有一些專家學者和朋友評閱了本書的初稿，在此一併致以誠摯的謝意。沒有你們的支持就不可能有本書的順利出版，謝謝你們！最後要感謝我的兒子。在家寫稿的過程中，他常常站在我的身旁看我寫作，也熱切地期盼著本書的出版，他的關注給了我完成本書的動力。

王紹斌