目錄
前言 .1
第1 章 現(xiàn)代化企業(yè)的云安全 7
1.1 安全的重要性 7
1.2 云原生安全 9
1.3 安全在現(xiàn)代企業(yè)中的應用 11
1.4 現(xiàn)代安全的目的 12
1.5 DevSecOps 13
1.6 衡量安全的影響 18
1.7 安全原則 20
第2 章 設置賬戶與用戶 24
2.1 GCP 上可擴展的項目結構 24
2.2 AWS 上可擴展的賬戶結構 . 31
2.3 Azure 上可擴展的訂閱結構 39
2.4 GCP 的區(qū)域鎖定 45
2.5 AWS 的地區(qū)鎖定 . 48
2.6 Azure 的地區(qū)鎖定 53
2.7 GCP 上的用戶集中 . 55
2.8 AWS 上的用戶集中 61
2.9 Azure 上的用戶集中 . 65
第3 章 獲得可擴展的安全可見性 70
3.1 構建基于GCP 的云原生安全運營中心 71
3.2 在AWS 上構建云原生安全運營中心 79
3.3 在Azure 上構建云原生安全運營中心 83
3.4 在GCP 上匯集日志 87
3.5 在AWS 上匯集日志 91
3.6 在Azure 上匯集日志 . 98
3.7 GCP 上的日志異常警報 105
3.8 AWS 上的日志異常警報 110
3.9 Azure 上的日志異常警報 114
3.10 在GCP 上構建基礎設施注冊表 . 118
3.11 在AWS 上構建基礎設施注冊表 . 123
3.12 在Azure 上構建基礎設施注冊表 132
第4 章 數(shù)據(jù)保護 137
4.1 在GCP 上對靜態(tài)數(shù)據(jù)進行加密 138
4.2 在AWS 上對靜態(tài)數(shù)據(jù)進行加密 144
4.3 在Azure 上對靜態(tài)數(shù)據(jù)進行加密 . 153
4.4 使用個人密鑰在GCP 上對數(shù)據(jù)進行加密 160
4.5 使用個人密鑰在AWS 上對數(shù)據(jù)進行加密 165
4.6 使用個人密鑰在Azure 上對數(shù)據(jù)進行加密 169
4.7 在GCP 上強制執(zhí)行傳輸中數(shù)據(jù)加密 174
4.8 在AWS 上強制執(zhí)行傳輸中數(shù)據(jù)加密 . 179
4.9 在Azure 上強制執(zhí)行傳輸中數(shù)據(jù)加密 181
4.10 在GCP 上防止數(shù)據(jù)丟失 . 184
4.11 在AWS 上防止數(shù)據(jù)丟失 190
4.12 在Azure 上防止數(shù)據(jù)丟失 194
第5 章 網絡安全 201
5.1 GCP 的網絡基礎 202
5.2 AWS 上的網絡基礎 . 208
5.3 Azure 上的網絡基礎 216
5.4 在GCP 上啟用外部訪問 225
5.5 在AWS 上啟用外部訪問 231
5.6 在Azure 上啟用外部訪問 . 238
5.7 通過GCP 允許訪問內部資源 . 243
5.8 允許訪問AWS 上的內部資源 250
5.9 允許訪問Azure 上的內部資源 257
5.10 控制GCP 上的外部網絡連接 263
5.11 在AWS 上控制外部網絡連接 271
5.12 控制Azure 上的外部網絡連接 280
5.13 GCP 上的私人應用程序訪問 286
5.14 AWS 私有應用訪問 295
5.15 Azure 上的私有應用程序訪問 . 303
第 6 章 基礎設施即代碼 . 308
6.1 在GCP 上構建安全基礎設施默認值 309
6.2 在AWS 上構建安全基礎設施默認值 . 314
6.3 在Azure 上構建安全基礎設施默認值 320
6.4 GCP 上的功能即服務 . 328
6.5 AWS 上的功能即服務 . 333
6.6 Azure 上的功能即服務 338
6.7 在GCP 上的穩(wěn)健部署 344
6.8 在AWS 上的穩(wěn)健部署 350
6.9 在Azure 上的穩(wěn)健部署 . 359
6.10 GCP 上可擴展的部署 366
6.11 AWS 上可擴展的部署 369
6.12 在Azure 上可擴展的部署 375
第 7 章 合規(guī)即代碼 380
7.1 GCP 上的資源標記 381
7.2 在AWS 上標記資源 387
7.3 在Azure 上標記資源 392
7.4 檢測GCP 上不合規(guī)的基礎設施 398
7.5 檢測 AWS 上不合規(guī)的基礎設施 406
7.6 檢測Azure 上不合規(guī)的基礎設施 . 412
7.7 防止GCP 上的基礎設施不合規(guī) 419
7.8 防止AWS 上的不合規(guī)基礎設施 423
7.9 防止Azure 上不合規(guī)的基礎設施 . 427
7.10 修復GCP 上不合規(guī)的基礎設施 . 433
7.11 修復AWS 上不合規(guī)的基礎設施 . 442
7.12 修復Azure 上不合規(guī)的基礎設施 446
第8 章 提供內部安全服務 . 454
8.1 在GCP 上保護安全資產和控制 455
8.2 在AWS 上保護安全資產和控制 460
8.3 在Azure 上保護安全資產和控制 . 466
8.4 在Azure 上全面了解機器狀態(tài) 471
8.5 在AWS 上全面了解機器狀態(tài) 476
8.6 在Azure 上全面了解機器狀態(tài) 480
8.7 在 GCP 上可擴展的打補丁 486
8.8 在AWS 上可擴展的打補丁 . 490
8.9 在Azure 上可擴展的打補丁 494
8.10 在GCP 上進行數(shù)據(jù)備份 . 499
8.11 在AWS 上進行數(shù)據(jù)備份 504
8.12 在Azure 上進行數(shù)據(jù)備份 510
第 9 章 使用團隊 515
9.1 在GCP 上使用項目共享 516
9.2 在AWS 上使用項目共享 519
9.3 在Azure 上使用項目共享 . 523
9.4 GCP 上的應用程序安全掃描 527
9.5 AWS 上的應用程序安全掃描 531
9.6 Azure 上的應用程序安全掃描 536
第10 章 未來的安全 540
10.1 無限游戲 . 541
10.2 能力建設 . 542
10.3 建立態(tài)勢感知 543
10.4 結論 545
第 11 章 Terraform 入門 . 546
11.1 使用GCP 進行身份驗證 . 547
11.2 使用AWS 進行身份驗證 547
11.3 使用Azure 進行身份驗證 547