前言

本书的由来

在2013年，我们的团队开始研究公有云技术，并主要为客户提供公有云和混合云的解决方案。那时，许多企业误认为公有云的安全性不如私有云，并且成本较高，因此他们通常只会选择将对外宣传的网站部署在公有云上。为了打破这种观念，我们选择从提供替代传统“二地三中心”方案的角度切入市场。我们建议保留生产中心和同城中心不变，而将远程灾难恢复中心迁移到公有云，这样可以大幅降低成本。

随着政府的推动和企业对云计算理解的深入，越来越多的企业开始尝试将核心业务迁移到公有云，使公有云得到了更广泛的应用。公有云市场已经进入成熟期，竞争格局逐渐明朗，市场份额集中度逐步提升。同时，公有云的应用价值也得到了大多数企业客户的认可和重视。

传统数据中心的安全系统建设是“重投入”型的项目，需要投入大量的资金用于防火墙、防DDoS、入侵检测、防注入、漏洞扫描、补丁管理、日志管理等，对于中小企业来讲，资金压力很大。公有云的按需使用和即时获取特性可以大大地降低成本。除了资金投入之外，公有云安全管理与私有云安全管理也存在很大的差异。

我们团队一直想总结并分享公有云安全实践的心得和经验，但市场上有多家公有云供应商，每家都有其独特的优势，由于篇幅所限，我们无法面面俱到，然而，我们决定撰写这本书的一个契机是希望帮助学校培养学生参加世界技能大赛和中华人民共和国职业技能大赛中的云计算赛项，这两个赛项都采用了AWS云，因此，我们撰写了这本涵盖AWS的40多种云服务的《公有云安全实践（AWS版·微课视频版）》。由于许多公有云厂商的技术原理相似，因此本书对公有云的安全管理也具有参考价值。

本书的内容

本书共9章，是一本全面的公有云计算安全实践指南，需要读者有一定的云计算的基础知识。

第1章云计算安全基础： 介绍信息安全的基础知识，主要的攻击类型，安全框架和风险管理，公有云的安全责任共担模型，以及公有云的安全考虑和最佳实践。

第2章身份和访问管理： 详细讲解AWS的身份和访问管理，包括根用户和用户凭证，多因素身份验证，联合身份验证，以及各种AWS服务，如SSO、Microsoft AD、Organizations等。

第3章计算安全管理： 深入探讨EC2实例的安全访问管理、密钥对管理、AMI管理，以及使用AWS Systems Manager和Amazon Inspector进行实例管理。

第4章网络安全管理： 详细介绍采用纵深防御策略进行网络安全管理，AWS VPC的基础知识，以及各种网络设备和服务，如互联网网关、NAT设备、网络访问控制列表、负载均衡器等。

第5章数据安全管理： 讲解如何保护Amazon S3、Amazon RDS、Amazon DynamoDB等数据存储服务，以及数据库的跨区域加密、EBS卷的保护、数据备份与恢复等。

第6章应用安全管理： 介绍应用开发与安全、AWS WAF服务、AWS Shield服务、DDoS缓解、无服务器与安全性，以及各种AWS服务，如Amazon Cognito、Amazon API Gateway、AWS Lambda函数等。

第7章密钥与证书管理： 详细讲解AWS KMS服务、AWS Secrets Manager服务、AWS证书服务，以及AWS CloudHSM服务。

第8章监控、日志收集和审计： 深入探讨Amazon CloudWatch服务、Amazon EventBridge服务、AWS CloudTrail服务、AWS Config服务，以及各种日志功能和服务。

第9章事件响应和恢复： 介绍事件响应成熟度模型，安全事件的响应流程，以及各种AWS服务，如AWS Trusted Advisor、AWS Security Hub、AWS GuardDuty、AWS Detective、AWS Incident Manager等。

资源下载提示

素材（教学课件、实验文件）等资源： 扫描目录上方的二维码下载。

视频等资源： 扫描封底的文泉云盘防盗码，再扫描书中相应章节的二维码，可以在线学习。

致谢

在本书的编写过程中，笔者参考了AWS官方的产品文档和AWS安全博客，在此向这些作者致敬。

感谢AWS的技术支持团队及教育培训团队的大力支持。

感谢清华大学出版社的工作人员为本书付出的辛勤劳动。

由于云计算技术的发展速度非常快，而笔者的能力有限，因此书中可能存在一些疏漏，诚挚地欢迎读者提出批评和建议，以帮助完善本书。

陈涛陈庭暄2024年1月