前言
随着信息化建设的推进,IT资源成为企事业单位的重要基础设施,而云计算作为一种能够满足计算资源按需分配、快速部署需求的全新计算模式悄然出现并迅猛发展。近年来,全球云计算市场规模呈现稳步上升趋势,国际上,包括亚马逊、微软、Salesforce、谷歌、甲骨文、Linode等公司纷纷布局云计算市场,而国内的阿里、腾讯、华为、百度等大型互联网公司也推出了各自的公有云、私有云产品及服务,各类企事业单位也逐渐接受了系统上云的思想,投入云计算的怀抱。
企业将业务系统迁移至云计算环境的过程中面临着诸多严峻挑战,传统的安全风险在云环境下仍然存在,同时又涌现出一系列云环境下的新安全问题。另外,云计算环境下的资源按需分配、弹性扩容、资源集中化等新型技术形态也给云安全技术带来挑战和技术革新,因此云计算的安全性也成了众多云计算供应商和企业IT管理人员关注的重点。本书从云计算基础入手,全面地介绍了云计算安全面临的安全风险、隐患和脆弱性,云计算安全的合规性要求,云安全相关的主要技术,使读者能够对云计算安全有系统的了解和认识。
本书共8章,从云计算基础到云计算安全技术和治理,层层展开。第1章介绍云计算基础知识,阐述云计算技术相关的概念、服务模型、部署模式和商业发展现状等;第2章介绍云安全模型与风险分析,分析了云安全的基本目标、指导方针,云安全面临的主要风险、威胁和隐患等;第3章介绍云平台和基础设施安全,首先对云基础设施与虚拟化相关的安全技术进行了讲解,然后重点介绍了一些主要的云安全防护技术;第4章介绍云数据安全,讲解了数据治理框架、数据安全治理框架与实施,以及云数据存储、云数据安全保护技术等相关知识;第5章介绍云应用安全,阐述了软件安全开发、云应用开发流程、云应用安全在全生命周期内的实现等内容;第6章介绍云安全运维,讲解了安全运维的基本概念、云安全运维的主要活动和相关知识要点;第7章介绍云安全服务,讲解了云线上/线下服务的常见形式、SECaaS的相关概念和主要内容、云安全服务的主要活动和相关知识要点;第8章介绍云安全治理,介绍了安全治理对组织的重要性、云计算相关的法规标准和合规要求,以及云服务安全认证等相关知识。
本书编者长期从事信息安全的教学与研究工作,对云计算安全产品开发与安全运维有深入的理解和认识。本书主要由苗春雨、杜廷龙、孙伟峰、郭婷婷和陈美璇编写,另外,邓吉、吴鸣旦、黄施君、王伦、王卫东和叶雷鹏也参与了本书的部分编写和审稿校对工作。同时,本书参考了《注册信息安全专业人员培训教材》、云安全联盟(CSA)成果《云计算关键领域安全指南V4.0》等相关资料,得到了云安全联盟的大力支持,还参考了国内外同行的大量其他资料或观点,在此一并表示衷心感谢。由于编者水平有限,尽管进行了多次研讨和修订,书中仍难免存在疏漏之处,恳请广大读者批评指正。
编者