推荐语
云计算并非新生事物,经历十余年的发展,在理论、技术、产品和商业模式方面都日趋成熟。近年来,我国云计算市场保持着超过30%的年平均增长率,是全球增速最快的市场之一,其应用已经遍布政府、金融、制造、能源等领域,特别是在计算能力、安全技术、数据库、Serverless等领域已实现世界领先,有望成为支撑“新基建”、政府和企业数字化转型、智能升级、融合创新等服务的泛在基础设施。然而,安全始终是萦绕着云计算的重大威胁与挑战。调查表明,云计算各个层次的安全问题已成为影响全球企业、运营商、政府向云计算过渡的最大障碍,成千上万的国家政令、经济数据、商业秘密、用户隐私,甚至是国防信息都存储在“云端”,一旦云计算“停摆”就会带来无法估量的重大损失。
恰逢其时,欣闻王绍斌博士的新作《云计算安全实践——从入门到精通》即将出版。本书在密切关注和跟踪云计算及安全技术进展的同时,在专业领域也涉及广泛:介绍了 CSF,CAF,GDPR 等多个与云基础设施、云治理、云规划和云数据密切相关的安全框架;介绍了ATT&CK、零信任等前沿防护体系理念;在为读者提供顶层视角的同时,还从云安全的实操出发,从基础到提高,再到综合应用,精心设计了多个云安全技术实验,使理论与实践相互印证、切实“落地”;还从能力验证与评估的角度给企业提供了安全“上云”的行动指南,是一本不可多得的广度与深度兼具、理论与实践交相辉映的云安全领域新作。
卿昱
中国电子科技网络信息安全有限公司董事长、党委书记
中国电子科技集团公司第三十研究所所长、党委书记
云计算作为网络和信息技术领域的一种创新应用模式,已经改变了信息技术的商业模式。我国正处于发展数字经济、建设网络强国的战略时期,云计算在这个时期扮演着不可替代的重要角色。随着“互联网+”政务服务应用的不断深入,我国政府部门会有越来越多的信息系统“上云”,云计算安全将会受到前所未有的高度重视。
本书系统地介绍了云计算安全的基础知识和技术方法,以及云计算安全能力建设的实践经验,对“上云”行业的各个部门提高云计算安全能力具有重要的参考价值。本书深入浅出,不仅能使读者真正达到从入门到精通,而且也是云计算安全从业人员不可多得的实操参考书,特此推荐!
李新友
国家信息中心首席工程师
国家信息中心网络安全部副主任
《信息安全研究》主编
等级保护2.0提出了网络安全战略规划目标,定级对象从传统的信息系统扩展到网络基础设施、信息系统、大数据、云计算平台、工业控制系统、物联网系统、采用移动互联技术的信息系统等。网络安全综合防御体系包含安全技术体系、安全管理体系、风险管理体系、网络信任体系;覆盖全流程的机制能力措施包括组织管理、机制建设、安全规划、安全监测、通告预警、应急处置、态势感知、能力建设、技术检测、安全可控、队伍建设、教育培训、经费保障。
本书作者作为亚马逊云计算公司的安全从业人员,在总结云计算安全实践的基础上,将云计算安全能力建设由浅入深地进行了系统总结,这对云计算行业应用和产业发展,对国家推进安全等级保护制度,对提高各行各业的安全能力建设,都具有重要的参考价值,也是读者学习云安全能力建设实践的重要参考。
李超
公安部第一研究所研究员
云计算产业的发展已经进入第四代,作者作为亚马逊云安全的资深专家,编写的这本权威著作,以亚马逊云安全实践技术为主线,非常清晰地描述了云安全的概念、技术体系和实践方法,并通过基础篇、提高篇和综合篇,帮助读者由浅入深地进行云安全的最佳实践与动手实验。本书对于致力于网络空间安全专业学习和实践的本科生和研究生,以及致力于云安全综合能力建设的不同规模和不同行业的从业人员来说,都是一本极佳的实践性教材和实用指南。
沈晴霓
北京大学教授,博士生导师
我认识王绍斌博士好多年了,他一直深耕在安全计算领域,孜孜不倦。本书理论结合实践,可读性强,是他在云计算领域中不断耕耘的又一丰硕果实。
陈震
清华大学教授
云计算是一种通过网络统一组织和灵活调用各种 ICT(Information and Communications Technology)信息资源,实现大规模计算和存储的信息处理方式。在过去的十几年中,云计算已经从单纯技术上的概念过渡到影响整个ICT产业的业务模式。自2020年以来,全球云计算技术、产业、应用等多方面都呈现更加迅猛的发展趋势。
人们常把云计算服务比喻成自来水公司提供的供水服务。原来每个家庭和单位自己挖水井、修水塔,自己负责水的安全问题,如避免受到污染、防止别人偷水等。从这个比喻中,我们窥见到云计算及云安全的本质:云计算随时随地享受云中提供的服务,而不关心云的位置和实现途径,是一种到目前为止最高级的服务方式。与传统安全不同的是,随着服务方式的改变,云计算时代的安全设备和安全措施的部署位置不同,安全责任的主体也发生了变化。在自家掘井自己饮用的年代,水的安全性由自己负责,而在自来水时代,水的安全性由自来水公司做出承诺,客户只需要在使用水的过程中注意安全问题即可。
云安全主要关心三个问题:第一,云计算服务商提供服务的安全性,如用户的账号安全、数据的存储安全等。第二,当用户使用云计算服务时,也需要在安全性和性能上做平衡,云中存储的数据需要按照敏感程度来采用明文或者密文的存储方式,获得更加主动的安全性。第三,防止他人盗用账号中的资源。
未来的时代将是云的时代,而云安全是云计算走入千家万户的前提。本书作者在全球领先的云计算公司工作多年,将云安全的基础理论结合最佳实践娓娓道来、深入浅出,相信能够帮助读者快速进入云安全领域,并加深对云安全相关知识的理解。除了基础理论,本书还设计了大量的综合性实验,以实践验证理论,既可以作为教材,也可以作为云安全的技术参考书。
陈晶
武汉大学教授,博导生导师
2021年5月23日于武汉市珞珈山
这本书实践性很强,而且覆盖了云计算安全的方方面面。以AWS为主,兼顾其他主要云服务环境,涵盖了美国、欧洲和中国等主要相关标准和治理体系,值得专业人士和入门人员一读。
赵粮
绿盟科技海外业务COO
本书作者在云安全方面有丰富的经验,本书内容注重理论和实践结合,既包括云安全相关的体系和模型,也包括动手实验,同时还介绍了国内外,如NIST有关安全合规方面的要求,非常全面和实用。
薛锋
微步在线创始人,CEO
绍斌兄联系我给他的这本新书写推荐,一开始我完全是一头雾水。虽然最近几年在甲方做一些安全相关的工作,但是自己没法和专职的安全从业人员相比,我怎么有资格给一本权威的安全图书来写推荐呢?读完书稿,我才觉得这本书对于和我一样的甲方技术人员来说,在怎样保障云上系统安全方面,真是一场“及时雨”。
对于各个企业来说,是否“上云”已经不是一个需要讨论的话题了。各种纯公有云和混合云的方案层出不穷。前几年,有人认为云不如自己的机房安全,也有人认为云厂商已经帮我们设计好了。而AWS的安全责任共担模式对如何在云上考虑安全责任的边界进行了清晰的阐述,但是具体该怎么实施呢?
甲方负责安全的人都有这种感觉,概念听了不少,工具买了一堆,但是当被领导问系统是否安全时,心里还是没底。这是因为安全问题遵循短板理论,即便实施了再多的安全措施,但只要有一个遗漏,也会满盘皆输。说到底,还是缺乏系统安全性。大家在传统机房或者私有云安全方面工作多年,也积累了一些经验,但是在涉及公有云的安全时还是无从下手。NIST的CSF安全框架是安全领域的权威指导,虽然后来NIST也发布了一个云计算的参考架构,但是其偏理论,不易作为实际操作的指南。
本书充满了作者对云安全问题的精彩见解,不仅全面覆盖了与公有云安全相关的基础理论,而且提供了大量的实验来指导读者构建安全能力。本书不仅把NIST的CSF对应到不同云计算安全组件,同时提供怎样使用这些组件进行动手实验,既解决了为什么这么做的问题,也解决了怎么做的问题。
在拜读本书的时候,美国最大成品油管道因为遭遇勒索软件而被迫关闭,影响了美国东海岸近一半的燃油供应。2021年2月美国佛罗里达州一家水处理工厂被黑客攻入,差点对供水系统投毒。由此来看,计算机安全威胁已经从线上到了线下,从数据安全扩散到了人身安全。每家企业的技术人员都值得花时间好好阅读本书,以便系统性地提升构建云安全的能力。
张明
Two Sigma(腾胜投资)前架构副总裁
我们已经迈入了云计算时代,如果你想找一本云计算安全方面的图书,我非常推荐本书。
本书作者在云计算安全领域深耕多年,有非常丰富的经验,其带领AWS中国安全团队很多年,对于企业如何安全“上云”,有着很高的造诣及丰富的实战经验。这本书由作者多年的经验沉淀所成,其中的构思、覆盖范围、文笔及具体案例,让我这个工作多年的安全老兵也赞叹不已。
如书名所言,本书偏重实践,也就是干货,通过动手实验的方式,让你从容处理从基础到提高,再到综合应用的不同安全场景。同时,本书也从更高维度来阐述云安全,如和不同安全体系的结合(NIST,CAF、GDPR、零信任、ISO 27000等),以及云安全的推荐建设路径。本书理论结合实践,非常值得一看。
欧建军
百济神州首席信息安全官
沃尔沃汽车亚太区前首席信息安全官
云计算技术经过十多年的发展,已经成为各行各业数字化建设中必不可少的一部分。无论是使用公有云,还是构建私有云和混合云,云计算安全体系的建设都至关重要。绍斌师兄长期工作在云安全的一线,其新作《云计算安全实践——从入门到精通》,既有丰富的安全理论知识,又有基于实战总结出来的最佳实践与动手实验。对于想深入了解和实践云计算安全体系建设的人员具有非常大的参考价值。
李华
北京海云捷迅科技有限公司联合创始人,董事长