本书围绕云时代安全面临的新形势、新问题、新挑战,全面阐述云安全建设的新思路、新技术、新方案,通过国内外先进的云安全技术研究,结合云计算应用的重点场景实践,从技术、方案、实践角度整体介绍云安全建设的方法路径。其中,围绕云安全重点技术场景,打造云安全技术能力框架,全面介绍组织的云安全技术建设路径。通过云安全评估,确保组织和云服务商将必要的安全控制集成到云环境中,验证云安全控制措施的有效性。在此基础上,随着组织从云计算到云原生应用的演进,推出先进云安全整体解决方案,并落地到5G和OT等典型应用场景中,重新审视5G和OT网络中新的防护对象、新的信任体系,全面展示先进云安全方案的安全防护实践效果。如今。进入云和数字化时代,组织业务呈现出开放互联、高效运转、结构复杂、快速变化等特点。云上威胁渗透速度更快、辐射范围更广、影响程度更深,面临"一点突破、全盘皆失”的严峻安全形势,云安全在整个安全体系中的基础性、战略性、全局性地位更加突出。本书对组织提升云安全能力水平,打造先进云安全防护体系,有着非常重要的借鉴意义。
青藤云安全青藤,让云更安全。公司成立于2014年,定位为“中国云安全整体解决方案领军者”。目前,公司形成了以北京总部为中心,以武汉光谷、北京亦庄两大研发中心为支撑,业务辐射全国34个省级行政区的发展格局。公司主要聚焦于关键信息基础设施领域的云安全建设,为客户提供先进、创新、有效的云安全产品和方案,覆盖云基础设施安全、云应用安全、云数据安全、云流量安全等众多领域。目前,公司已为100多个国家重大活动提供安保服务支撑,全部实现安全零事故。同时,公司持续为来自政府、金融、运营商、能源、电力、制造、互联网等行业的1000多个大型客户,800多万台核心服务器提供稳定、高效的安全防护。中国信息通信研究院云计算与大数据研究所中国信息通信研究院云计算与大数据研究所(简称“中国信通院云大所”)是中国信息通信研究院面向互联网新技术、新产业、新模式、新业态不断发展的势态,设置的核心业务单元。围绕云计算、大数据、数据中心、数字健康、金融科技、审计与治理、开源和软件安全、生物科技、政企数字化转型等领域开展技术、标准研究,构建相关技术的测试、试验和统计平台,承担相关服务和产品的测试评估工作,提供相关技术标准的咨询服务。2018年以来,在人工智能、云计算、大数据、区块链、数据中心、智慧健康、金融科技等领域牵头和参与工业和信息化部专项、国家重点研发计划项目、科技创新2030-重大项目、国家发展改革委项目、中国工程院项目、国防科技创新特区项目以及地方项目超过40项。
第1章 中国全面进入数字化时代 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1 数字经济顶层设计不断完善. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 数字化成为各行业发展的必然趋势. . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 云成为数字经济发展的核心基础设施. . . . . . . . . . . . . . . . . . . . . . . . . . 5
第2章 数字化时代云计算发展与安全投入 . . . . . . . . . . . . . . . . . . . . . . . 9
2.1 中国云计算市场发展情况. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.2 中国网络安全投入情况. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
第3章 云带来的安全新需求与新挑战 . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.1 云环境攻击面管理难. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2 云数据安全合规要求高. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.3 软件供应链威胁复杂多变. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.4 人为错误导致的安全隐患防不胜防. . . . . . . . . . . . . . . . . . . . . . . . . . . 22
第4章 云安全建设原则与基础要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.1 一把手责任制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2 云安全建设原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.3 云安全方案的基础要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
先进云安全研究与实践 XII
第5章 基于责任共担的云安全评估 . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.1 云服务商安全能力评估. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.1.1 国内外云服务商第三方安全评估 .......................38
5.1.2 云服务商安全评估的具体流程 .........................41
5.2 云服务客户安全能力评估. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.2.1 云安全评估的五大原则 ...............................44
5.2.2 云安全评估的四大类别 12 个检查项 ....................47
5.2.3 云安全评估的具体实践 ...............................56
第6章 典型的云安全场景解析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.1 云配置管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.1.1 常见的云配置错误情况 ...............................59
6.1.2 云配置管理的有效实践 ...............................62
6.2 身份和访问管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6.2.1 身份和访问管理流程 .................................63
6.2.2 身份和访问管理实践 .................................65
6.3 API 安全管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
6.3.1 API 安全管理策略 ...................................69
6.3.2 API 安全管理实践 ...................................70
6.4 云资产管理和保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
6.4.1 云资产管理和保护实践 ...............................75
6.4.2 云资产管理和保护工具 ...............................78
6.5 云数据管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
6.5.1 云数据管理关键能力 .................................80
6.5.2 云数据管理实践 .....................................81
6.6 云漏洞管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
6.6.1 云漏洞及责任主体 ...................................84
目录 XIII
6.6.2 云漏洞管理工具 .....................................87
6.7 云网络安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
6.8 云安全事件的检测和恢复. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
6.8.1 准备、检测与分析阶段 ...............................92
6.8.2 遏制和恢复、事后分析阶段 ...........................94
6.9 软件供应链管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
6.9.1 软件供应链安全策略 .................................95
6.9.2 软件供应链安全实践 .................................97
第7章 先进云安全解决方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
7.1 安全左移,保护开发安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
7.1.1 基础设施及源代码的安全 ............................103
7.1.2 制品部署及推送安全 ................................106
7.2 安全右移,保护应用程序及 API 的安全. . . . . . . . . . . . . . . . . . . . . . 111
7.2.1 云工作负载保护 .................................... 111
7.2.2 Web 应用程序和 API 的保护 ..........................114
7.2.3 微隔离 ............................................117
7.2.4 运行时应用程序自我保护 ............................120
7.3 安全下移,保护云基础设施安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
7.3.1 基础设施即代码的安全 ..............................125
7.3.2 云基础设施授权管理 ................................128
7.3.3 云安全配置管理 ....................................130
7.4 安全上移,实现智能化安全运营. . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
7.4.1 自动化是云安全运营的关键 ..........................137
7.4.2 基于图计算的智能化安全运营 ........................139
第8章 云安全重点场景实践 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
8.1 政务云安全实践. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
XIV 先进云安全研究与实践
8.1.1 政务云的发展趋势 ..................................143
8.1.2 政务云安全挑战 ....................................149
8.1.3 政务云的安全方案 ..................................152
8.2 金融云安全实践. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
8.2.1 金融行业云计算的发展及应用 ........................156
8.2.2 金融云安全挑战及政策要求 ..........................159
8.2.3 金融行业 CNAPP 整体方案 ...........................162
8.2.4 金融企业 CNAPP 实践 ...............................166
8.3 5G 云基础设施安全实践. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
8.3.1 5G 应用场景及安全挑战 .............................170
8.3.2 5G 云基础设施安全策略 .............................174
8.4 工业互联网云安全实践. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
8.4.1 工业互联网的发展及体系架构 ........................187
8.4.2 工业互联网平台安全威胁 ............................191
8.4.3 工业互联网平台安全体系 ............................195
8.4.4 工业互联网平台安全实践 ............................199
第9章 数字时代的云安全发展思路 . . . . . . . . . . . . . . . . . . . . . . . . . . 207
9.1 增加安全投入以匹配数字经济的发展. . . . . . . . . . . . . . . . . . . . . . . . 207
9.2 大力发展创新云安全技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
9.3 推动 AI 在安全领域的应用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
书单推荐
