目录
第1章云计算安全基础1
1.1信息安全基础1
1.1.1云计算的优势和挑战1
1.1.2公有云的特点和服务模型2
1.1.3信息安全的基本概念3
1.2主要攻击类型4
1.2.1针对云环境的常见攻击类型4
1.2.2防止和应对攻击的策略和工具5
1.3安全框架和风险管理6
1.3.1AWS云采用框架6
1.3.2AWS架构完善的框架7
1.3.3NIST网络安全框架9
1.3.4风险评估与管理12
1.4责任共担模型13
1.5公有云的安全考虑与最佳实践14
1.6本章小结15
第2章身份和访问管理(77min)16
2.1身份和访问管理基础16
2.1.1与AWS交互访问的流程16
2.1.2通过签名保护API18
2.2AWS账户中的根用户和用户凭证18
2.2.1AWS账户根用户与IAM用户18
2.2.2保护AWS账户根用户19
2.2.3用户访问密钥19
2.2.4访问密钥的保护20
2.3AWS多因素身份验证21
2.3.1MFA基本工作原理21
2.3.2AWS支持的MFA设备22
2.3.3用于AWS CLI的MFA23
2.3.4用于AWS API的MFA24
2.4联合身份验证概述25
2.5AWS SSO服务26
2.6AWS Microsoft AD服务27
2.6.1AWS Microsoft AD服务的类型27
2.6.2AWS Microsoft AD服务的案例28
2.7AWS Organizations服务30
2.7.1单账户与多账户30
2.7.2AWS Organizations概述31
2.7.3AWS Organizations的安全优势31
2.7.4AWS Organizations的基本操作32
2.7.5AWS Organizations的架构32
2.7.6AWS Organizations的服务控制策略33
2.8策略与权限管理34
2.8.1术语与基本原理34
2.8.2策略的类型36
2.8.3JSON格式的策略38
2.8.4策略的评估流程42
2.8.5通过用户组简化权限管理49
2.8.6通过角色简化权限管理49
2.9IAM访问分析器56
2.10本章小结57
第3章计算安全管理(48min)58
3.1EC2实例安全访问管理58
3.1.1使用IAM控制访问权限58
3.1.2使用SSH和RDP连接到实例62
3.1.3使用安全组控制网络流量63
3.2密钥对管理65
3.2.1密钥对的基本使用66
3.2.2密钥对的保护和备份66
3.2.3轮换和重置密钥对67
3.3AMI管理68
3.3.1AMI的安全性与合规性 68
3.3.2构建自定义的AMI69
3.4使用AWS Systems Manager管理实例72
3.4.1AWS Systems Manager简介72
3.4.2执行常见的安全管理任务74
3.4.3收集和监控实例信息76
3.5使用Amazon Inspector管理实例77
3.5.1Amazon Inspector简介77
3.5.2Amazon Inspector技术概念 78
3.5.3Amazon Inspector使用案例 82
3.6EC2实例安全管理最佳实践85
3.6.1遵循最小权限原则85
3.6.2定期更新和轮换密钥对87
3.6.3定期更新并修复操作系统和应用程序漏洞88
3.6.4利用加密技术保护数据89
3.7容器安全90
3.7.1AWS容器服务简介90
3.7.2AWS容器映像安全92
3.7.3AWS容器和任务的安全93
3.8本章小结95
第4章网络安全管理(124min)96
4.1采用纵深防御策略进行网络安全管理96
4.2AWS VPC基础97
4.2.1VPC概述98
4.2.2VPC的安全性100
4.3互联网网关100
4.4NAT设备102
4.4.1公有连接类型的NAT网关103
4.4.2私有连接类型的NAT网关104
4.4.3NAT网关的安全性105
4.5网络访问控制列表105
4.5.1NACL概述105
4.5.2NACL排错案例107
4.6负载均衡器109
4.6.1负载均衡器概述110
4.6.2ELB的安全优势110
4.6.3ELB的应用场景111
4.6.4ELB的选型112
4.7VPC对等连接、终端节点和私有链接114
4.7.1VPC对等连接114
4.7.2VPC的网关终端节点115
4.7.3VPC的接口终端节点与私有链接122
4.7.4VPC的网关负载均衡器终端节点125
4.8VPC流量镜像127
4.8.1网络流量监控和分析概述127
4.8.2VPC流量镜像概述128
4.8.3VPC流量镜像的应用场景129
4.9AWS VPN服务130
4.9.1AWS站点到站点VPN130
4.9.2AWS客户端VPN131
4.10AWS Route 53服务132
4.10.1AWS域名解析概述132
4.10.2AWS Route 53的托管区域134
4.10.3AWS Route 53的安全134
4.11AWS CloudFront服务136
4.11.1AWS CloudFront服务概述136
4.11.2限制AWS CloudFront源服务器与边缘站点的访问138
4.11.3AWS CloudFront 访问日志139
4.11.4AWS CloudFront安全解决方案140
4.12AWS Network Firewall服务143
4.12.1AWS Network Firewall的工作原理143
4.12.2AWS Network Firewall架构145
4.12.3AWS Network Firewall应用案例147
4.13AWS Firewall Manager服务150
4.14本章小结150
第5章数据安全管理(96min)151
5.1Amazon S3的保护151
5.1.1加密过程概述151
5.1.2Amazon S3服务器端加密153
5.1.3Amazon S3资源保护156
5.1.4Amazon S3访问分析器159
5.1.5Amazon S3访问点160
5.1.6Amazon S3跨源资源共享161
5.1.7Amazon S3 Glacier167
5.1.8文件库锁定168
5.2Amazon RDS的保护169
5.2.1网络隔离169
5.2.2访问控制选项169
5.2.3数据保护170
5.3Amazon DynamoDB的保护171
5.3.1Amazon DynamoDB简介171
5.3.2访问权限控制171
5.3.3数据保护概述172
5.4数据库的跨区域加密174
5.5EBS卷的保护175
5.5.1EBS卷访问控制175
5.5.2EBS卷加密176
5.5.3EBS卷数据删除179
5.6数据备份与恢复179
5.6.1数据备份与恢复概述180
5.6.2AWS数据保护产品概述181
5.6.3AWS Backup支持的服务182
5.6.4AWS Backup使用概述185
5.6.5AWS Backup与勒索软件攻击缓解187
5.7Amazon Macie服务187
5.7.1Amazon Macie服务概述188
5.7.2Amazon Macie服务的案例190
5.8本章小结192
第6章应用安全管理(90min)193
6.1应用开发与安全概述193
6.1.1设计阶段194
6.1.2编码阶段194
6.1.3测试阶段195
6.1.4发布阶段195
6.1.5运行阶段195
6.1.6维护阶段195
6.1.7废弃阶段196
6.2AWS WAF服务196
6.2.1AWS WAF的基本概念和功能196
6.2.2AWS WAF的管理与配置197
6.2.3AWS WAF的案例199
6.3AWS Shield服务200
6.3.1AWS Shield的基本概念和版本200
6.3.2实时指标和报告202
6.4DDoS缓解203
6.4.1拒绝服务威胁203
6.4.2DDoS缓解方法205
6.4.3DDoS攻击缓解的案例206
6.5无服务器与安全性209
6.6Amazon Cognito服务210
6.6.1Amazon Cognito概述210
6.6.2Amazon Cognito用户池211
6.6.3Amazon Cognito身份池214
6.6.4Amazon Cognito案例216
6.7Amazon API Gateway服务217
6.7.1Amazon API Gateway概述217
6.7.2Amazon API Gateway的访问控制218
6.7.3Amazon API Gateway的安全性220
6.8AWS Lambda 函数220
6.8.1AWS Lambda函数概述221
6.8.2AWS Lambda函数的权限222
6.8.3AWS Lambda函数的角色223
6.8.4AWS Lambda函数的监控225
6.9本章小结225
第7章密钥与证书管理(45min)226
7.1AWS KMS服务226
7.1.1AWS KMS概述226
7.1.2AWS KMS的工作原理227
7.1.3AWS KMS密钥管理228
7.1.4AWS KMS的案例233
7.2AWS Secrets Manager服务234
7.2.1密钥管理的挑战234
7.2.2AWS Secrets Manager概述235
7.2.3AWS Secrets Manager的案例236
7.2.4密钥的轮换237
7.2.5密钥安全管理237
7.2.6AWS Secrets Manager与SSM ParameterStore239
7.3AWS证书服务240
7.3.1公钥基础设施概述240
7.3.2AWS Certificate Manager服务243
7.3.3AWS Private CA服务245
7.4AWS CloudHSM服务246
7.4.1HSM简介246
7.4.2AWS CloudHSM概述247
7.4.3AWS CloudHSM的架构248
7.4.4AWS CloudHSM与AWS KMS的结合使用249
7.5本章小结250
第8章监控、日志收集和审计(50min)251
8.1Amazon CloudWatch服务概述251
8.2Amazon CloudWatch服务的警报功能252
8.2.1CloudWatch警告功能概述252
8.2.2CloudWatch警告功能的案例256
8.3Amazon CloudWatch日志功能256
8.3.1CloudWatch日志功能概述257
8.3.2CloudWatch日志功能的配置259
8.3.3CloudWatch日志功能的案例261
8.4Amazon EventBridge服务262
8.4.1Amazon EventBridge服务概述262
8.4.2Amazon EventBridge服务的组件263
8.4.3Amazon EventBridge服务的案例264
8.5AWS CloudTrail服务267
8.5.1AWS CloudTrail服务概述268
8.5.2AWS CloudTrail服务的基本概念269
8.5.3AWS CloudTrail服务的事件历史记录功能270
8.5.4AWS CloudTrail Trails功能简介274
8.5.5AWS CloudTrail Trails功能的基本概念275
8.5.6AWS CloudTrail Trails功能的应用场景277
8.5.7AWS CloudTrail Lake功能简介278
8.5.8AWS CloudTrail Lake功能的基本概念280
8.5.9AWS CloudTrail Lake功能的应用场景281
8.6AWS Config服务282
8.6.1AWS Config服务概述282
8.6.2AWS Config服务的组件284
8.6.3AWS Config服务的案例286
8.7AWS Systems Manager服务287
8.8VPC流日志287
8.8.1VPC流日志概述287
8.8.2VPC流日志的配置288
8.8.3VPC流日志的格式289
8.8.4VPC流日志的应用场景290
8.9负载均衡器访问日志291
8.9.1负载均衡器访问日志概述291
8.9.2负载均衡器访问日志的配置与应用292
8.9.3负载均衡器访问日志的应用场景293
8.10S3访问日志293
8.10.1S3日志记录简介293
8.10.2服务器访问日志记录使用295
8.10.3AWS CloudTrail日志记录使用296
8.10.4服务器访问日志与CloudTrail日志的比较297
8.11Amazon Macie服务298
8.11.1Amazon Macie服务概述298
8.11.2Amazon Macie服务的组件300
8.11.3Amazon Macie服务的案例302
8.12其他高级服务302
8.13本章小结303
第9章事件响应和恢复(24min)304
9.1事件响应成熟度模型304
9.2安全事件的响应流程305
9.3AWS Trusted Advisor服务306
9.3.1AWS Trusted Advisor服务概述306
9.3.2AWS Trusted Advisor在安全方面的应用307
9.3.3AWS Trusted Advisor服务的案例308
9.4AWS Security Hub服务309
9.4.1AWS Security Hub服务概述309
9.4.2AWS Security Hub服务的使用310
9.4.3AWS Security Hub服务的案例311
9.5AWS GuardDuty服务313
9.5.1AWS GuardDuty服务概述313
9.5.2AWS GuardDuty服务的检测结果314
9.5.3AWS GuardDuty服务案例315
9.6AWS Detective服务317
9.6.1AWS Detective服务概述317
9.6.2AWS Detective服务的检测结果319
9.6.3AWS Detective服务的案例319
9.7AWS Incident Manager服务320
9.8安全管理自动化321
9.8.1安全管理自动化的概念和意义321
9.8.2安全管理自动化的主要内容322
9.8.3AWS的安全管理自动化的服务和工具323
9.9AWS事件响应最佳实践324
9.10本章小结325
