公有雲安全實踐(AWS版‧微課視頻版)（簡體書）

陳濤，資深計算機專家，三十多年IT從業經驗，曾主持過多項虛擬化、云計算、容災及信息安全等大型項目的建設，在多行業擁有豐富的經驗並得到客戶認可。1997年開始講授Microsoft、Linux、Oracle等1T認證課程，課程內容豐富充實，案例典型、貼近工作，深入淺出、感染力強的授課風格備受學員好評。長期分享技術微課，其中“笨辦法學Linux”“AWS云計算實戰”等系列影響較大，有九十多萬人參加學習。清華大學出版社《虛擬化KVM極速入門》《虛擬化KVM進階實踐》《虛擬化與容器技術》等書籍作者。
陳庭暄，人工智能專家，德國慕尼黑工業大學數據工程與分析專業碩士，基於純文本訓練的外科手術動作解釋項目的負責人，其主導研發的基於公共云分區隔離技術的學習實驗平臺，在中國高校計算機挑戰賽決賽中獲得“創新創意”和“創業價值”兩個賽道的二等獎，該項目也被評選為河南省大學生創新重點項目。

涵蓋AWS的40多種云服務，深入講解公有云安全的基礎知識，並結合AWS的實際操作，每個章節都提供了詳細的實例演示和操作步驟，配合圖文並茂的實踐內容，讓讀者深入了解AWS公共云的安全防範措施和應對策略。

本書的由來
在2013年，我們的團隊開始研究公有云技術，並主要為客戶提供公有云和混合云的解決方案。那時，許多企業誤認為公有云的安全性不如私有云，並且成本較高，因此他們通常只會選擇將對外宣傳的網站部署在公有云上。為了打破這種觀念，我們選擇從提供替代傳統“二地三中心”方案的角度切入市場。我們建議保留生產中心和同城中心不變，而將遠程災難恢復中心遷移到公有云，這樣可以大幅降低成本。
隨著政府的推動和企業對云計算理解的深入，越來越多的企業開始嘗試將核心業務遷移到公有云，使公有云得到了更廣泛的應用。公有云市場已經進入成熟期，競爭格局逐漸明朗，市場份額集中度逐步提升。同時，公有云的應用價值也得到了大多數企業客戶的認可和重視。
傳統數據中心的安全系統建設是“重投入”型的項目，需要投入大量的資金用於防火墻、防DDoS、入侵檢測、防注入、漏洞掃描、補丁管理、日志管理等，對於中小企業來講，資金壓力很大。公有云的按需使用和實時獲取特性可以大大地降低成本。除了資金投入之外，公有云安全管理與私有云安全管理也存在很大的差異。
我們團隊一直想總結並分享公有云安全實踐的心得和經驗，但市場上有多家公有云供應商，每家都有其獨特的優勢，由於篇幅所限，我們無法面面俱到，然而，我們決定撰寫這本書的一個契機是希望幫助學校培養學生參加世界技能大賽和中華人民共和國職業技能大賽中的云計算賽項，這兩個賽項都採用了AWS云，因此，我們撰寫了這本涵蓋AWS的40多種云服務的《公有云安全實踐（AWS版·微課視頻版）》。由於許多公有云廠商的技術原理相似，因此本書對公有云的安全管理也具有參考價值。
本書的內容
本書共9章，是一本全面的公有云計算安全實踐指南，需要讀者有一定的云計算的基礎知識。
第1章云計算安全基礎： 介紹信息安全的基礎知識，主要的攻擊類型，安全框架和風險管理，公有云的安全責任共擔模型，以及公有云的安全考慮和最佳實踐。
第2章身份和訪問管理： 詳細講解AWS的身份和訪問管理，包括根用戶和用戶憑證，多因素身份驗證，聯合身份驗證，以及各種AWS服務，如SSO、Microsoft AD、Organizations等。
第3章計算安全管理： 深入探討EC2實例的安全訪問管理、密鑰對管理、AMI管理，以及使用AWS Systems Manager和Amazon Inspector進行實例管理。
第4章網絡安全管理： 詳細介紹採用縱深防御策略進行網絡安全管理，AWS VPC的基礎知識，以及各種網絡設備和服務，如互聯網網關、NAT設備、網絡訪問控制列表、負載均衡器等。
第5章數據安全管理： 講解如何保護Amazon S3、Amazon RDS、Amazon DynamoDB等數據存儲服務，以及數據庫的跨區域加密、EBS卷的保護、數據備份與恢復等。
第6章應用安全管理： 介紹應用開發與安全、AWS WAF服務、AWS Shield服務、DDoS緩解、無服務器與安全性，以及各種AWS服務，如Amazon Cognito、Amazon API Gateway、AWS Lambda函數等。
第7章密鑰與證書管理： 詳細講解AWS KMS服務、AWS Secrets Manager服務、AWS證書服務，以及AWS CloudHSM服務。
第8章監控、日志收集和審計： 深入探討Amazon CloudWatch服務、Amazon EventBridge服務、AWS CloudTrail服務、AWS Config服務，以及各種日志功能和服務。
第9章事件響應和恢復： 介紹事件響應成熟度模型，安全事件的響應流程，以及各種AWS服務，如AWS Trusted Advisor、AWS Security Hub、AWS GuardDuty、AWS Detective、AWS Incident Manager等。
資源下載提示
素材（教學課件、實驗文件）等資源： 掃描目錄上方的二維碼下載。
視頻等資源： 掃描封底的文泉云盤防盜碼，再掃描書中相應章節的二維碼，可以在線學習。
致謝
在本書的編寫過程中，筆者參考了AWS官方的產品文檔和AWS安全博客，在此向這些作者致敬。
感謝AWS的技術支持團隊及教育培訓團隊的大力支持。
感謝清華大學出版社的工作人員為本書付出的辛勤勞動。
由於云計算技術的發展速度非常快，而筆者的能力有限，因此書中可能存在一些疏漏，誠摯地歡迎讀者提出批評和建議，以幫助完善本書。

陳濤陳庭暄2024年1月

第1章云計算安全基礎1
1.1信息安全基礎1
1.1.1云計算的優勢和挑戰1
1.1.2公有云的特點和服務模型2
1.1.3信息安全的基本概念3
1.2主要攻擊類型4
1.2.1針對云環境的常見攻擊類型4
1.2.2防止和應對攻擊的策略和工具5
1.3安全框架和風險管理6
1.3.1AWS云採用框架6
1.3.2AWS架構完善的框架7
1.3.3NIST網絡安全框架9
1.3.4風險評估與管理12
1.4責任共擔模型13
1.5公有云的安全考慮與最佳實踐14
1.6本章小結15
第2章身份和訪問管理（77min）16
2.1身份和訪問管理基礎16
2.1.1與AWS交互訪問的流程16
2.1.2通過簽名保護API18
2.2AWS帳戶中的根用戶和用戶憑證18
2.2.1AWS帳戶根用戶與IAM用戶18
2.2.2保護AWS帳戶根用戶19
2.2.3用戶訪問密鑰19
2.2.4訪問密鑰的保護20
2.3AWS多因素身份驗證21
2.3.1MFA基本工作原理21
2.3.2AWS支持的MFA設備22
2.3.3用於AWS CLI的MFA23
2.3.4用於AWS API的MFA24
2.4聯合身份驗證概述25
2.5AWS SSO服務26
2.6AWS Microsoft AD服務27
2.6.1AWS Microsoft AD服務的類型27
2.6.2AWS Microsoft AD服務的案例28
2.7AWS Organizations服務30
2.7.1單帳戶與多帳戶30
2.7.2AWS Organizations概述31
2.7.3AWS Organizations的安全優勢31
2.7.4AWS Organizations的基本操作32
2.7.5AWS Organizations的架構32
2.7.6AWS Organizations的服務控制策略33
2.8策略與權限管理34
2.8.1術語與基本原理34
2.8.2策略的類型36
2.8.3JSON格式的策略38
2.8.4策略的評估流程42
2.8.5通過用戶組簡化權限管理49
2.8.6通過角色簡化權限管理49
2.9IAM訪問分析器56
2.10本章小結57
第3章計算安全管理（48min）58
3.1EC2實例安全訪問管理58
3.1.1使用IAM控制訪問權限58
3.1.2使用SSH和RDP連接到實例62
3.1.3使用安全組控制網絡流量63
3.2密鑰對管理65
3.2.1密鑰對的基本使用66
3.2.2密鑰對的保護和備份66
3.2.3輪換和重置密鑰對67
3.3AMI管理68
3.3.1AMI的安全性與合規性 68
3.3.2構建自定義的AMI69
3.4使用AWS Systems Manager管理實例72
3.4.1AWS Systems Manager簡介72
3.4.2執行常見的安全管理任務74
3.4.3收集和監控實例信息76
3.5使用Amazon Inspector管理實例77
3.5.1Amazon Inspector簡介77
3.5.2Amazon Inspector技術概念 78
3.5.3Amazon Inspector使用案例 82
3.6EC2實例安全管理最佳實踐85
3.6.1遵循最小權限原則85
3.6.2定期更新和輪換密鑰對87
3.6.3定期更新並修復操作系統和應用程序漏洞88
3.6.4利用加密技術保護數據89
3.7容器安全90
3.7.1AWS容器服務簡介90
3.7.2AWS容器映像安全92
3.7.3AWS容器和任務的安全93
3.8本章小結95
第4章網絡安全管理（124min）96
4.1採用縱深防御策略進行網絡安全管理96
4.2AWS VPC基礎97
4.2.1VPC概述98
4.2.2VPC的安全性100
4.3互聯網網關100
4.4NAT設備102
4.4.1公有連接類型的NAT網關103
4.4.2私有連接類型的NAT網關104
4.4.3NAT網關的安全性105
4.5網絡訪問控制列表105
4.5.1NACL概述105
4.5.2NACL排錯案例107
4.6負載均衡器109
4.6.1負載均衡器概述110
4.6.2ELB的安全優勢110
4.6.3ELB的應用場景111
4.6.4ELB的選型112
4.7VPC對等連接、終端節點和私有鏈接114
4.7.1VPC對等連接114
4.7.2VPC的網關終端節點115
4.7.3VPC的接口終端節點與私有鏈接122
4.7.4VPC的網關負載均衡器終端節點125
4.8VPC流量鏡像127
4.8.1網絡流量監控和分析概述127
4.8.2VPC流量鏡像概述128
4.8.3VPC流量鏡像的應用場景129
4.9AWS VPN服務130
4.9.1AWS站點到站點VPN130
4.9.2AWS客戶端VPN131
4.10AWS Route 53服務132
4.10.1AWS域名解析概述132
4.10.2AWS Route 53的托管區域134
4.10.3AWS Route 53的安全134
4.11AWS CloudFront服務136
4.11.1AWS CloudFront服務概述136
4.11.2限制AWS CloudFront源服務器與邊緣站點的訪問138
4.11.3AWS CloudFront 訪問日志139
4.11.4AWS CloudFront安全解決方案140
4.12AWS Network Firewall服務143
4.12.1AWS Network Firewall的工作原理143
4.12.2AWS Network Firewall架構145
4.12.3AWS Network Firewall應用案例147
4.13AWS Firewall Manager服務150
4.14本章小結150
第5章數據安全管理（96min）151
5.1Amazon S3的保護151
5.1.1加密過程概述151
5.1.2Amazon S3服務器端加密153
5.1.3Amazon S3資源保護156
5.1.4Amazon S3訪問分析器159
5.1.5Amazon S3訪問點160
5.1.6Amazon S3跨源資源共享161
5.1.7Amazon S3 Glacier167
5.1.8文件庫鎖定168
5.2Amazon RDS的保護169
5.2.1網絡隔離169
5.2.2訪問控制選項169
5.2.3數據保護170
5.3Amazon DynamoDB的保護171
5.3.1Amazon DynamoDB簡介171
5.3.2訪問權限控制171
5.3.3數據保護概述172
5.4數據庫的跨區域加密174
5.5EBS卷的保護175
5.5.1EBS卷訪問控制175
5.5.2EBS卷加密176
5.5.3EBS卷數據刪除179
5.6數據備份與恢復179
5.6.1數據備份與恢復概述180
5.6.2AWS數據保護產品概述181
5.6.3AWS Backup支持的服務182
5.6.4AWS Backup使用概述185
5.6.5AWS Backup與勒索軟件攻擊緩解187
5.7Amazon Macie服務187
5.7.1Amazon Macie服務概述188
5.7.2Amazon Macie服務的案例190
5.8本章小結192
第6章應用安全管理（90min）193
6.1應用開發與安全概述193
6.1.1設計階段194
6.1.2編碼階段194
6.1.3測試階段195
6.1.4發布階段195
6.1.5運行階段195
6.1.6維護階段195
6.1.7廢棄階段196
6.2AWS WAF服務196
6.2.1AWS WAF的基本概念和功能196
6.2.2AWS WAF的管理與配置197
6.2.3AWS WAF的案例199
6.3AWS Shield服務200
6.3.1AWS Shield的基本概念和版本200
6.3.2實時指標和報告202
6.4DDoS緩解203
6.4.1拒絕服務威脅203
6.4.2DDoS緩解方法205
6.4.3DDoS攻擊緩解的案例206
6.5無服務器與安全性209
6.6Amazon Cognito服務210
6.6.1Amazon Cognito概述210
6.6.2Amazon Cognito用戶池211
6.6.3Amazon Cognito身份池214
6.6.4Amazon Cognito案例216
6.7Amazon API Gateway服務217
6.7.1Amazon API Gateway概述217
6.7.2Amazon API Gateway的訪問控制218
6.7.3Amazon API Gateway的安全性220
6.8AWS Lambda 函數220
6.8.1AWS Lambda函數概述221
6.8.2AWS Lambda函數的權限222
6.8.3AWS Lambda函數的角色223
6.8.4AWS Lambda函數的監控225
6.9本章小結225
第7章密鑰與證書管理（45min）226
7.1AWS KMS服務226
7.1.1AWS KMS概述226
7.1.2AWS KMS的工作原理227
7.1.3AWS KMS密鑰管理228
7.1.4AWS KMS的案例233
7.2AWS Secrets Manager服務234
7.2.1密鑰管理的挑戰234
7.2.2AWS Secrets Manager概述235
7.2.3AWS Secrets Manager的案例236
7.2.4密鑰的輪換237
7.2.5密鑰安全管理237
7.2.6AWS Secrets Manager與SSM ParameterStore239
7.3AWS證書服務240
7.3.1公鑰基礎設施概述240
7.3.2AWS Certificate Manager服務243
7.3.3AWS Private CA服務245
7.4AWS CloudHSM服務246
7.4.1HSM簡介246
7.4.2AWS CloudHSM概述247
7.4.3AWS CloudHSM的架構248
7.4.4AWS CloudHSM與AWS KMS的結合使用249
7.5本章小結250
第8章監控、日志收集和審計（50min）251
8.1Amazon CloudWatch服務概述251
8.2Amazon CloudWatch服務的警報功能252
8.2.1CloudWatch警告功能概述252
8.2.2CloudWatch警告功能的案例256
8.3Amazon CloudWatch日志功能256
8.3.1CloudWatch日志功能概述257
8.3.2CloudWatch日志功能的配置259
8.3.3CloudWatch日志功能的案例261
8.4Amazon EventBridge服務262
8.4.1Amazon EventBridge服務概述262
8.4.2Amazon EventBridge服務的組件263
8.4.3Amazon EventBridge服務的案例264
8.5AWS CloudTrail服務267
8.5.1AWS CloudTrail服務概述268
8.5.2AWS CloudTrail服務的基本概念269
8.5.3AWS CloudTrail服務的事件歷史記錄功能270
8.5.4AWS CloudTrail Trails功能簡介274
8.5.5AWS CloudTrail Trails功能的基本概念275
8.5.6AWS CloudTrail Trails功能的應用場景277
8.5.7AWS CloudTrail Lake功能簡介278
8.5.8AWS CloudTrail Lake功能的基本概念280
8.5.9AWS CloudTrail Lake功能的應用場景281
8.6AWS Config服務282
8.6.1AWS Config服務概述282
8.6.2AWS Config服務的組件284
8.6.3AWS Config服務的案例286
8.7AWS Systems Manager服務287
8.8VPC流日志287
8.8.1VPC流日志概述287
8.8.2VPC流日志的配置288
8.8.3VPC流日志的格式289
8.8.4VPC流日志的應用場景290
8.9負載均衡器訪問日志291
8.9.1負載均衡器訪問日志概述291
8.9.2負載均衡器訪問日志的配置與應用292
8.9.3負載均衡器訪問日志的應用場景293
8.10S3訪問日志293
8.10.1S3日志記錄簡介293
8.10.2服務器訪問日志記錄使用295
8.10.3AWS CloudTrail日志記錄使用296
8.10.4服務器訪問日志與CloudTrail日志的比較297
8.11Amazon Macie服務298
8.11.1Amazon Macie服務概述298
8.11.2Amazon Macie服務的組件300
8.11.3Amazon Macie服務的案例302
8.12其他高級服務302
8.13本章小結303
第9章事件響應和恢復（24min）304
9.1事件響應成熟度模型304
9.2安全事件的響應流程305
9.3AWS Trusted Advisor服務306
9.3.1AWS Trusted Advisor服務概述306
9.3.2AWS Trusted Advisor在安全方面的應用307
9.3.3AWS Trusted Advisor服務的案例308
9.4AWS Security Hub服務309
9.4.1AWS Security Hub服務概述309
9.4.2AWS Security Hub服務的使用310
9.4.3AWS Security Hub服務的案例311
9.5AWS GuardDuty服務313
9.5.1AWS GuardDuty服務概述313
9.5.2AWS GuardDuty服務的檢測結果314
9.5.3AWS GuardDuty服務案例315
9.6AWS Detective服務317
9.6.1AWS Detective服務概述317
9.6.2AWS Detective服務的檢測結果319
9.6.3AWS Detective服務的案例319
9.7AWS Incident Manager服務320
9.8安全管理自動化321
9.8.1安全管理自動化的概念和意義321
9.8.2安全管理自動化的主要內容322
9.8.3AWS的安全管理自動化的服務和工具323
9.9AWS事件響應最佳實踐324
9.10本章小結325