出版说明
推荐序
前 言
第 1章 什么是云原生
1.1 云原生平台、架构及开发流程
1.1.1 云原生之统一基础平台
1.1.2 云原生之统一软件架构
1.1.3 云原生之统一开发流程
1.2 云原生与混合云
1.2.1 混合云的概念
1.2.2 混合云应用架构设计
1.2.3 云原生与混合云的关系
1.3 CNCF与云原生平台
1.3.1 CNCF社区
1.3.2 云服务商与云原生
1.3.3 利用开源技术搭建云原生平台
第2章 云原生安全演进
2.1 传统安全解决方案
2.1.1 以网络边界设备为核心的安全控制
2.1.2 云安全服务
2.1.3 终端安全
2.2 云原生时代的安全变化趋势
2.3 云原生安全的整体建设思路
2.3.1 围绕应用的云原生转型建设
2.3.2 以加快业务进化速度为首要目标
2.3.3 以应用为中心的云原生安全
2.4 云原生安全技术发展趋势展望
第3章 应用平台安全
3.1 私有云原生平台架构
3.1.1 私有云原生平台的技术标准
3.1.2 平台架构
3.2 公有云原生平台架构
3.3 容器层安全
3.3.1 容器镜像安全
3.3.2 容器运行态安全
3.3.3 安全容器Kata
3.4 Kubernetes安全
3.4.1 Kubernetes中的关键组件
3.4.2 Kubernetes的威胁来源和攻击模型
3.4.3 Kubernetes组件安全加固
3.4.4 Pod安全
3.4.5 认证和鉴权
3.5 基础Linux安全
3.5.1 账户安全加固
3.5.2 文件权限加固
3.5.3 强制访问控制
3.5.4 iptables与Linux防火墙
3.6 创建安全的云原生应用运行环境
3.6.1 创建应用运行集群并对系统进行加固
3.6.2 Kubernetes关键组件安全加固
3.6.3 配置容器集群安全认证
第4章 应用架构安全
4.1 云原生典型应用架构
4.2 应用使用的云服务组件
4.3 微服务与Web层架构安全
4.3.1 防护跨站脚本攻击
4.3.2 跨站请求伪造防护
4.3.3 防范XML外部实体攻击
4.3.4 SQL注入攻击防护
4.4 应用中间件安全
4.4.1 Redis缓存安全
4.4.2 消息中间件安全
4.5 微服务与应用通信
4.5.1 TLS与HTTPS通信加密
4.5.2 微服务限流与应用防攻击
4.5.3 微服务间的访问控制
4.6 Service Mesh与应用服务安全
4.6.1 云原生服务网络技术实现框架对比
4.6.2 Istio服务网络技术架构
4.6.3 使用Istio的内置安全认证能力
4.6.4 使用Istio的流量安全管理功能
4.6.5 利用Istio的鉴权和监测功能
4.7 在云环境中构建安全的应用框架
4.7.1 创建一个简单的云原生应用
4.7.2 为服务间通信配置访问控制
4.7.3 利用Service Mesh框架进行精细流量管控及监测
4.7.4 为应用配置认证和加密
第5章 云原生应用安全管理
5.1 应用安全审计
5.1.1 业务操作日志记录
5.1.2 从系统及应用中收集日志
5.1.3 日志存档
5.1.4 日志分析及入侵检测
5.2 应用配置和密钥安全
5.2.1 应用配置中心安全防护
5.2.2 应用密钥安全
5.3 数据安全
5.3.1 数据安全的三个要素
5.3.2 云生态中数据安全的整体架构
5.3.3 应用数据加密技术
5.3.4 数据脱敏技术
5.4 在管理层面加固应用的安全
5.4.1 配置应用运行日志存档
5.4.2 扩充日志动态分析
5.4.3 操作日志记录、归档和访问控制
第6章 应用流程安全
6.1 DevOps流程
6.2 DevSecOps:开发、安全、运维一体化
6.2.1 从DevOps到DevSecOps
6.2.2 云原生自动化流水线的使用
6.2.3 自动化的安全流程
6.2.4 测试驱动安全
6.3 基于GitLab搭建一个自己的DevSecOps流水线
6.3.1 搭建GitLab并为工程创建流水线
6.3.2 GitLab与应用安全测试工具集成
6.3.3 GitLab与代码扫描工具集成
第7章 应用集成和生态安全
7.1 利用云服务网关进行应用集成
7.1.1 基于云服务网关进行接口发布和订阅
7.1.2 利用云服务网关实现接口格式转换
7.2 接口授权和认证
7.2.1 ID和密钥管理
7.2.2 开放认证
7.3 接口访问安全策略和调用监测
7.3.1 访问策略
7.3.2 流控策略
7.3.3 应用访问监控及日志分析
7.4 服务能力对外开放
7.4.1 使用云服务总线进行服务发布
7.4.2 App授权
第8章 云原生开源安全工具和方案
8.1 应用平台层的开源安全工具
8.1.1 Kubernetes安全监测工具kube-bench
8.1.2 Kubernetes安全策略配置工具kube-psp-advisor
8.1.3 Kubernetes渗透测试工具kube-hunter
8.1.4 系统平台信息扫描和检索工具Osquery
8.2 应用架构层的安全工具
8.2.1 静态应用程序安全测试工
展开