掃一掃
關(guān)注中圖網(wǎng)
官方微博
包郵 云原生安全:攻防與運(yùn)營實(shí)戰(zhàn)
開本:
16開
頁數(shù):
235
本類五星書更多>
-
>
全國計(jì)算機(jī)等級(jí)考試最新真考題庫模擬考場及詳解·二級(jí)MSOffice高級(jí)應(yīng)用
-
>
決戰(zhàn)行測5000題(言語理解與表達(dá))
-
>
軟件性能測試.分析與調(diào)優(yōu)實(shí)踐之路
-
>
第一行代碼Android
-
>
JAVA持續(xù)交付
-
>
EXCEL最強(qiáng)教科書(完全版)(全彩印刷)
-
>
深度學(xué)習(xí)
中圖價(jià):¥55.3
加入購物車
云原生安全:攻防與運(yùn)營實(shí)戰(zhàn) 版權(quán)信息
- ISBN:9787111755821
- 條形碼:9787111755821 ; 978-7-111-75582-1
- 裝幀:平裝-膠訂
- 冊(cè)數(shù):暫無
- 重量:暫無
- 所屬分類:>
云原生安全:攻防與運(yùn)營實(shí)戰(zhàn) 本書特色
(1)作者背景權(quán)威:本書由國內(nèi)安全領(lǐng)域的領(lǐng)軍企業(yè)奇安信官方出品,是奇安信網(wǎng)絡(luò)安全部、奇安信云與服務(wù)器安全BU、安易科技多年的云原生安全經(jīng)驗(yàn)總結(jié)(2)融合行業(yè)經(jīng)驗(yàn):本書不只是基于奇安信和安易科技的實(shí)踐經(jīng)驗(yàn),而且還融合了行業(yè)內(nèi)關(guān)于云原生安全的先進(jìn)理念和優(yōu)秀做法。(3)內(nèi)容系統(tǒng)全面:除云原生安全的基礎(chǔ)知識(shí)外,本書還從安全技術(shù)、安全工具、安全流程、攻擊手段、防御措施以及運(yùn)營體系建設(shè)6個(gè)維度對(duì)云原生安全做了全面的講解。(4)攻守雙方視角:基于ATT&CK框架詳細(xì)講解各個(gè)階段的攻擊手法及其對(duì)應(yīng)的防御措施,提供細(xì)致入微的云原生安全攻防教學(xué)。(5)重實(shí)踐、可上手、好落地:以實(shí)戰(zhàn)為導(dǎo)向,提供代碼級(jí)別的云原生安全防護(hù)案例,手把手指導(dǎo)具體操作,給出具體的可落地的方案。
云原生安全:攻防與運(yùn)營實(shí)戰(zhàn) 內(nèi)容簡介
內(nèi)容簡介 這是一本體系化的云原生安全攻擊、防御和運(yùn)營實(shí)戰(zhàn)指南,是奇安信和安易科技團(tuán)隊(duì)多年云原生安全的經(jīng)驗(yàn)總結(jié),同時(shí)融合了行業(yè)優(yōu)選的理念和實(shí)踐。 首先詳細(xì)介紹了云原生安全的核心概念、發(fā)展現(xiàn)狀和未來趨勢,以及云原生安全面臨的新風(fēng)險(xiǎn)和挑戰(zhàn);然后講解了云原生安全的技術(shù)、工具和流程等,包括主流的云原生安全框架、云基礎(chǔ)設(shè)施安全、制品安全、運(yùn)行時(shí)安全;接著根據(jù)ATT&CK的各個(gè)階段講解了針對(duì)云原生安全的攻擊手段及其防御方法;*后講解了如何構(gòu)建體系化的安全運(yùn)營方案,助力企業(yè)的云原生安全防護(hù)建設(shè)落地。 本書有如下特點(diǎn): ?1.云原生安全領(lǐng)域核心概念快速掃盲。 ?2.參考行業(yè)優(yōu)選經(jīng)驗(yàn),因地制宜的實(shí)踐指南。 ?3.ATT&CK框架下的細(xì)致入微的云原生安全攻防教學(xué)。 ?4.代碼級(jí)的云原生安全防護(hù)案例。
云原生安全:攻防與運(yùn)營實(shí)戰(zhàn) 目錄
Contents?目 錄
前 言
**部分 云原生安全概述
第1章 云原生及其安全發(fā)展現(xiàn)狀 3
1.1 云原生發(fā)展現(xiàn)狀 3
1.1.1 云原生概述 3
1.1.2 云原生關(guān)鍵技術(shù) 5
1.1.3 云原生市場發(fā)展趨勢 6
1.1.4 重點(diǎn)行業(yè)云原生應(yīng)用現(xiàn)狀 8
1.2 云原生安全發(fā)展現(xiàn)狀 10
1.2.1 新技術(shù)帶來新威脅 10
1.2.2 安全現(xiàn)狀與發(fā)展趨勢 10
第2章 云原生安全風(fēng)險(xiǎn) 13
2.1 云原生安全風(fēng)險(xiǎn)與挑戰(zhàn) 13
2.1.1 云基礎(chǔ)設(shè)施變革引入新的安全暴露面 14
2.1.2 業(yè)務(wù)開發(fā)模式改變帶來新的安全風(fēng)險(xiǎn) 14
2.1.3 傳統(tǒng)防護(hù)手段在云原生環(huán)境中失效 16
2.1.4 云原生應(yīng)用在各階段存在供應(yīng)鏈風(fēng)險(xiǎn) 16
2.1.5 云原生安全運(yùn)營面臨巨大挑戰(zhàn) 17
2.2 云原生安全風(fēng)險(xiǎn)案例 18
2.2.1 特斯拉:不安全的K8s配置 18
2.2.2 SolarWinds:供應(yīng)鏈安全風(fēng)險(xiǎn) 18
2.2.3 DoS攻擊:云原生基礎(chǔ)設(shè)施風(fēng)險(xiǎn) 19
2.2.4 大規(guī)模挖礦:不安全的容器 19
第二部分 云原生安全防護(hù)
第3章 主流云原生安全框架 23
3.1 參考安全框架 23
3.1.1 CNCF云原生安全框架 23
3.1.2 Gartner云原生安全框架 25
3.1.3 信通院云原生安全框架 28
3.2 奇安信對(duì)云原生安全的理解 30
3.2.1 設(shè)計(jì)原則 30
3.2.2 總體框架 31
第4章 云基礎(chǔ)設(shè)施安全 32
4.1 云基礎(chǔ)設(shè)施風(fēng)險(xiǎn) 32
4.2 云安全配置管理平臺(tái)簡介 33
4.3 云安全配置管理平臺(tái)的核心功能 34
4.3.1 資產(chǎn)清點(diǎn) 34
4.3.2 配置核查 35
4.3.3 流量采集 35
4.3.4 集群漏洞 36
4.4 云安全配置管理平臺(tái)的優(yōu)勢 36
4.4.1 統(tǒng)一管理 36
4.4.2 部署靈活 37
4.5 云安全配置管理平臺(tái)的應(yīng)用價(jià)值 37
第5章 制品安全 39
5.1 代碼安全 39
5.1.1 安全風(fēng)險(xiǎn) 39
5.1.2 API資產(chǎn)收集 40
5.1.3 IaC代碼安全 44
5.1.4 開源軟件代碼安全 46
5.1.5 代碼審查 54
5.2 鏡像安全 59
5.2.1 鏡像風(fēng)險(xiǎn) 59
5.2.2 鏡像分層 60
5.2.3 鏡像掃描 63
5.3 鏡像倉庫安全 66
5.3.1 Harbor簡介 67
5.3.2 Harbor鏡像掃描和運(yùn)營 68
第6章 運(yùn)行時(shí)安全 74
6.1 入侵檢測 74
6.1.1 基于規(guī)則的已知威脅發(fā)現(xiàn) 75
6.1.2 基于行為的未知威脅發(fā)現(xiàn) 83
6.2 準(zhǔn)入控制 90
6.2.1 準(zhǔn)入控制原理 90
6.2.2 策略引擎 92
6.2.3 椒圖容器安全實(shí)踐 96
6.3 API安全防護(hù) 99
6.3.1 API安全的挑戰(zhàn) 100
6.3.2 API框架標(biāo)準(zhǔn) 105
6.4 網(wǎng)絡(luò)微隔離 107
6.4.1 來自網(wǎng)絡(luò)的安全威脅 107
6.4.2 Sidecar代理模式下的流量管控 108
6.4.3 eBPF模式下的網(wǎng)絡(luò)控制 109
6.4.4 網(wǎng)絡(luò)流量的可視化和監(jiān)控 111
6.4.5 三、四層網(wǎng)絡(luò)訪問控制 116
6.4.6 七層容器WAF 120
第三部分 云原生安全攻防
第7章 云原生環(huán)境下常見的攻防矩陣 127
7.1 CNCF K8s攻防矩陣 127
7.2 MITRE ATT&CK容器安全攻防矩陣 131
7.3 Microsoft K8s攻防矩陣 131
7.4 奇安信云原生安全攻防矩陣 133
7.5 攻防矩陣的戰(zhàn)術(shù)點(diǎn) 133
第8章 云原生環(huán)境下的攻擊手法 137
8.1 云原生場景下的ATT&CK框架 137
8.2 初始訪問 139
8.2.1 kube-apiserver未授權(quán) 139
8.2.2 kubelet未授權(quán) 144
8.2.3 etcd未授權(quán) 147
8.2.4 kubeconfig文件泄露 149
8.2.5 K8s Dashboard未授權(quán) 151
8.2.6 kubectl proxy暴露 153
8.2.7 Docker Daemon未授權(quán) 154
8.3 執(zhí)行 155
8.3.1 通過kubectl exec進(jìn)入容器 155
8.3.2 創(chuàng)建后門Pod 156
8.3.3 利用服務(wù)賬號(hào)連接API Server執(zhí)行指令 158
8.3.4 未開啟RBAC策略 159
8.3.5 不安全的容器鏡像 161
8.4 持久化 161
8.4.1 部署后門容器 161
8.4.2 在容器或鏡像內(nèi)植入后門 163
8.4.3 修改核心組件的訪問權(quán)限 164
8.4.4 偽裝系統(tǒng)Pod 164
8.4.5 部署靜態(tài)Pod 164
8.4.6 創(chuàng)建Shadow API Server 166
8.4.7 K8s集群內(nèi)的Rootkit 168
8.5 權(quán)限提升 169
8.5.1 K8s RBAC權(quán)限濫用 170
8.5.2 利用特權(quán)容器逃逸 173
8.5.3 利用容器的不安全配置提權(quán) 174
8.5.4 容器基礎(chǔ)應(yīng)用或容器編排平臺(tái)的軟件漏洞 188
8.5.5 利用Linux內(nèi)核漏洞逃逸 190
8.6 防御繞過 191
8.7 憑證竊取 192
8.7.1 kubeconfig憑證或集群Secret泄露 192
8.7.2 利用K8s準(zhǔn)入控制器竊取信息 192
8.8 發(fā)現(xiàn)探測 193
8.8.1 探測集群中常用的服務(wù)組件 193
8.8.2 通過NodePort訪問Service 194
8.8.3 訪問私有鏡像庫 194
8.9 橫向移動(dòng) 195
第9章 云原生環(huán)境下的攻擊檢測與防御 197
9.1 初始訪問的檢測與防御 197
9.1.1 未授權(quán)的接口或暴露的敏感接口 197
9.1.2 kubeconfig文件泄露 199
9.1.3 不安全的容器鏡像 199
9.2 執(zhí)行的檢測與防御 199
9.2.1 通過kubectl進(jìn)入容器 199
9.2.2 通過SSH服務(wù)進(jìn)入容器 200
9.2.3 部署后門容器 201
9.2.4 通過服務(wù)賬號(hào)連接API Server執(zhí)行指令 201
9.3 持久化的檢測與防御 202
9.3.1 部署后門容器 202
9.3.2 掛載目錄向宿主機(jī)寫入文件 202
9.3.3 創(chuàng)建Shadow API Server 202
9.3.4 K8s CronJob持久化 203
9.3.5 K8s集群Rootkit利用 203
9.3.6 靜態(tài)Pod 204
9.4 權(quán)限提升的檢測與防御 205
9.4.1 RBAC權(quán)限濫用 205
9.4.2 特權(quán)容器逃逸 206
9.4.3 利用容器不安全的掛載和權(quán)限逃逸 206
9.4.4 容器或容器編排工具存在漏洞 206
9.5 防御繞過的檢測與防御 207
9.5.1 清除容器日志 207
9.5.2 刪除K8s事件 207
9.5.3 使用代理或匿名訪問K8s API Server 207
9.6 憑證竊取的檢測與防御 208
9.6.1 K8s Secret泄露 208
9.6.2 服務(wù)賬號(hào)憑證泄露 208
9.6.3 配置文件中的應(yīng)用程序憑證 209
9.6.4 惡意準(zhǔn)入控制器竊取信息 209
9.7 發(fā)現(xiàn)探測的檢測與防御 209
9.7.1 訪問 K8s API Server 209
9.7.2 訪問 kubelet API 210
9.7.3 網(wǎng)絡(luò)映射 210
9.7.4 暴露的敏感接口 211
9.8 橫向移動(dòng)的檢測與防御 212
第四部分 云原生安全運(yùn)營
第10章 云原生安全運(yùn)營管理 217
10.1 云原生安全運(yùn)營建設(shè)的必要性 217
10.2 云原生安全運(yùn)營的重要性 218
10.3 云原生安全運(yùn)營建設(shè)過程 220
10.3.1 云原生安全運(yùn)營平臺(tái) 221
10.3.2 云原生安全運(yùn)營人員 231
10.3.3 云原生安全運(yùn)營流程 232
10.4 云原生安全體系的主要應(yīng)用場景 234
10.4.1 云原生應(yīng)用全生命周期安全風(fēng)險(xiǎn)管控 234
10.4.2 云原生應(yīng)用供應(yīng)鏈全流程安全 234
10.4.3 云原生安全事件應(yīng)急處置 235
前 言
**部分 云原生安全概述
第1章 云原生及其安全發(fā)展現(xiàn)狀 3
1.1 云原生發(fā)展現(xiàn)狀 3
1.1.1 云原生概述 3
1.1.2 云原生關(guān)鍵技術(shù) 5
1.1.3 云原生市場發(fā)展趨勢 6
1.1.4 重點(diǎn)行業(yè)云原生應(yīng)用現(xiàn)狀 8
1.2 云原生安全發(fā)展現(xiàn)狀 10
1.2.1 新技術(shù)帶來新威脅 10
1.2.2 安全現(xiàn)狀與發(fā)展趨勢 10
第2章 云原生安全風(fēng)險(xiǎn) 13
2.1 云原生安全風(fēng)險(xiǎn)與挑戰(zhàn) 13
2.1.1 云基礎(chǔ)設(shè)施變革引入新的安全暴露面 14
2.1.2 業(yè)務(wù)開發(fā)模式改變帶來新的安全風(fēng)險(xiǎn) 14
2.1.3 傳統(tǒng)防護(hù)手段在云原生環(huán)境中失效 16
2.1.4 云原生應(yīng)用在各階段存在供應(yīng)鏈風(fēng)險(xiǎn) 16
2.1.5 云原生安全運(yùn)營面臨巨大挑戰(zhàn) 17
2.2 云原生安全風(fēng)險(xiǎn)案例 18
2.2.1 特斯拉:不安全的K8s配置 18
2.2.2 SolarWinds:供應(yīng)鏈安全風(fēng)險(xiǎn) 18
2.2.3 DoS攻擊:云原生基礎(chǔ)設(shè)施風(fēng)險(xiǎn) 19
2.2.4 大規(guī)模挖礦:不安全的容器 19
第二部分 云原生安全防護(hù)
第3章 主流云原生安全框架 23
3.1 參考安全框架 23
3.1.1 CNCF云原生安全框架 23
3.1.2 Gartner云原生安全框架 25
3.1.3 信通院云原生安全框架 28
3.2 奇安信對(duì)云原生安全的理解 30
3.2.1 設(shè)計(jì)原則 30
3.2.2 總體框架 31
第4章 云基礎(chǔ)設(shè)施安全 32
4.1 云基礎(chǔ)設(shè)施風(fēng)險(xiǎn) 32
4.2 云安全配置管理平臺(tái)簡介 33
4.3 云安全配置管理平臺(tái)的核心功能 34
4.3.1 資產(chǎn)清點(diǎn) 34
4.3.2 配置核查 35
4.3.3 流量采集 35
4.3.4 集群漏洞 36
4.4 云安全配置管理平臺(tái)的優(yōu)勢 36
4.4.1 統(tǒng)一管理 36
4.4.2 部署靈活 37
4.5 云安全配置管理平臺(tái)的應(yīng)用價(jià)值 37
第5章 制品安全 39
5.1 代碼安全 39
5.1.1 安全風(fēng)險(xiǎn) 39
5.1.2 API資產(chǎn)收集 40
5.1.3 IaC代碼安全 44
5.1.4 開源軟件代碼安全 46
5.1.5 代碼審查 54
5.2 鏡像安全 59
5.2.1 鏡像風(fēng)險(xiǎn) 59
5.2.2 鏡像分層 60
5.2.3 鏡像掃描 63
5.3 鏡像倉庫安全 66
5.3.1 Harbor簡介 67
5.3.2 Harbor鏡像掃描和運(yùn)營 68
第6章 運(yùn)行時(shí)安全 74
6.1 入侵檢測 74
6.1.1 基于規(guī)則的已知威脅發(fā)現(xiàn) 75
6.1.2 基于行為的未知威脅發(fā)現(xiàn) 83
6.2 準(zhǔn)入控制 90
6.2.1 準(zhǔn)入控制原理 90
6.2.2 策略引擎 92
6.2.3 椒圖容器安全實(shí)踐 96
6.3 API安全防護(hù) 99
6.3.1 API安全的挑戰(zhàn) 100
6.3.2 API框架標(biāo)準(zhǔn) 105
6.4 網(wǎng)絡(luò)微隔離 107
6.4.1 來自網(wǎng)絡(luò)的安全威脅 107
6.4.2 Sidecar代理模式下的流量管控 108
6.4.3 eBPF模式下的網(wǎng)絡(luò)控制 109
6.4.4 網(wǎng)絡(luò)流量的可視化和監(jiān)控 111
6.4.5 三、四層網(wǎng)絡(luò)訪問控制 116
6.4.6 七層容器WAF 120
第三部分 云原生安全攻防
第7章 云原生環(huán)境下常見的攻防矩陣 127
7.1 CNCF K8s攻防矩陣 127
7.2 MITRE ATT&CK容器安全攻防矩陣 131
7.3 Microsoft K8s攻防矩陣 131
7.4 奇安信云原生安全攻防矩陣 133
7.5 攻防矩陣的戰(zhàn)術(shù)點(diǎn) 133
第8章 云原生環(huán)境下的攻擊手法 137
8.1 云原生場景下的ATT&CK框架 137
8.2 初始訪問 139
8.2.1 kube-apiserver未授權(quán) 139
8.2.2 kubelet未授權(quán) 144
8.2.3 etcd未授權(quán) 147
8.2.4 kubeconfig文件泄露 149
8.2.5 K8s Dashboard未授權(quán) 151
8.2.6 kubectl proxy暴露 153
8.2.7 Docker Daemon未授權(quán) 154
8.3 執(zhí)行 155
8.3.1 通過kubectl exec進(jìn)入容器 155
8.3.2 創(chuàng)建后門Pod 156
8.3.3 利用服務(wù)賬號(hào)連接API Server執(zhí)行指令 158
8.3.4 未開啟RBAC策略 159
8.3.5 不安全的容器鏡像 161
8.4 持久化 161
8.4.1 部署后門容器 161
8.4.2 在容器或鏡像內(nèi)植入后門 163
8.4.3 修改核心組件的訪問權(quán)限 164
8.4.4 偽裝系統(tǒng)Pod 164
8.4.5 部署靜態(tài)Pod 164
8.4.6 創(chuàng)建Shadow API Server 166
8.4.7 K8s集群內(nèi)的Rootkit 168
8.5 權(quán)限提升 169
8.5.1 K8s RBAC權(quán)限濫用 170
8.5.2 利用特權(quán)容器逃逸 173
8.5.3 利用容器的不安全配置提權(quán) 174
8.5.4 容器基礎(chǔ)應(yīng)用或容器編排平臺(tái)的軟件漏洞 188
8.5.5 利用Linux內(nèi)核漏洞逃逸 190
8.6 防御繞過 191
8.7 憑證竊取 192
8.7.1 kubeconfig憑證或集群Secret泄露 192
8.7.2 利用K8s準(zhǔn)入控制器竊取信息 192
8.8 發(fā)現(xiàn)探測 193
8.8.1 探測集群中常用的服務(wù)組件 193
8.8.2 通過NodePort訪問Service 194
8.8.3 訪問私有鏡像庫 194
8.9 橫向移動(dòng) 195
第9章 云原生環(huán)境下的攻擊檢測與防御 197
9.1 初始訪問的檢測與防御 197
9.1.1 未授權(quán)的接口或暴露的敏感接口 197
9.1.2 kubeconfig文件泄露 199
9.1.3 不安全的容器鏡像 199
9.2 執(zhí)行的檢測與防御 199
9.2.1 通過kubectl進(jìn)入容器 199
9.2.2 通過SSH服務(wù)進(jìn)入容器 200
9.2.3 部署后門容器 201
9.2.4 通過服務(wù)賬號(hào)連接API Server執(zhí)行指令 201
9.3 持久化的檢測與防御 202
9.3.1 部署后門容器 202
9.3.2 掛載目錄向宿主機(jī)寫入文件 202
9.3.3 創(chuàng)建Shadow API Server 202
9.3.4 K8s CronJob持久化 203
9.3.5 K8s集群Rootkit利用 203
9.3.6 靜態(tài)Pod 204
9.4 權(quán)限提升的檢測與防御 205
9.4.1 RBAC權(quán)限濫用 205
9.4.2 特權(quán)容器逃逸 206
9.4.3 利用容器不安全的掛載和權(quán)限逃逸 206
9.4.4 容器或容器編排工具存在漏洞 206
9.5 防御繞過的檢測與防御 207
9.5.1 清除容器日志 207
9.5.2 刪除K8s事件 207
9.5.3 使用代理或匿名訪問K8s API Server 207
9.6 憑證竊取的檢測與防御 208
9.6.1 K8s Secret泄露 208
9.6.2 服務(wù)賬號(hào)憑證泄露 208
9.6.3 配置文件中的應(yīng)用程序憑證 209
9.6.4 惡意準(zhǔn)入控制器竊取信息 209
9.7 發(fā)現(xiàn)探測的檢測與防御 209
9.7.1 訪問 K8s API Server 209
9.7.2 訪問 kubelet API 210
9.7.3 網(wǎng)絡(luò)映射 210
9.7.4 暴露的敏感接口 211
9.8 橫向移動(dòng)的檢測與防御 212
第四部分 云原生安全運(yùn)營
第10章 云原生安全運(yùn)營管理 217
10.1 云原生安全運(yùn)營建設(shè)的必要性 217
10.2 云原生安全運(yùn)營的重要性 218
10.3 云原生安全運(yùn)營建設(shè)過程 220
10.3.1 云原生安全運(yùn)營平臺(tái) 221
10.3.2 云原生安全運(yùn)營人員 231
10.3.3 云原生安全運(yùn)營流程 232
10.4 云原生安全體系的主要應(yīng)用場景 234
10.4.1 云原生應(yīng)用全生命周期安全風(fēng)險(xiǎn)管控 234
10.4.2 云原生應(yīng)用供應(yīng)鏈全流程安全 234
10.4.3 云原生安全事件應(yīng)急處置 235
展開全部
云原生安全:攻防與運(yùn)營實(shí)戰(zhàn) 作者簡介
薛慶偉,資深網(wǎng)絡(luò)安全專家,畢業(yè)于西安郵電大學(xué)信息安全專業(yè),現(xiàn)就職于奇安信。曾就職于京東信息安全部,參與公司JSRC漏洞審核和應(yīng)急響應(yīng)工作。2022年9月加入奇安信,在網(wǎng)絡(luò)安全部擔(dān)任網(wǎng)絡(luò)安全工程師,主要負(fù)責(zé)公司內(nèi)部云原生安全建設(shè)和漏洞管理等工作,熱衷于云原生、安全技術(shù)和企業(yè)安全建設(shè)的研究。具有CISP-PTE認(rèn)證資質(zhì)。
書友推薦
- >
回憶愛瑪儂
- >
苦雨齋序跋文-周作人自編集
- >
我與地壇
- >
上帝之肋:男人的真實(shí)旅程
- >
月亮與六便士
- >
羅庸西南聯(lián)大授課錄
- >
經(jīng)典常談
- >
山海經(jīng)
本類暢銷
