书籍详情
云安全基础设施构建:从解决方案的视角看云安全
作者:(美)罗古胡·耶鲁瑞,恩里克·卡斯特罗-利昂
出版社:机械工业出版社
出版时间:2017-11-01
ISBN:9787111576969
定价:¥49.00
购买这本书可以去
内容简介
本书分为四个部分:第1章和第2章涵盖云计算的背景和安全理念,引入可信云的概念。讨论了启用和实例化可信基础设施的关键应用模型,这是可信云的基础。此外,这些章节还讨论了包括解决方案架构和组件说明的应用模型。第3~5章包括启用可信基础设施的用例,解决方案架构和技术组件,强调可信计算,证明的作用,证明方案,以及云中的地理围栏和边界控制。第6章和第7章提供了云中身份管理和控制,以及网络安全相关的有趣观点。第8章将可信的概念扩展到虚拟机和工作负载,包括建立在先前讨论过的可信计算池基础之上的参考架构和组件。第9章全面阐述了安全云爆发参考架构,并汇集了此前章节讨论过的所有概念和方法的具体实现。
作者简介
暂缺《云安全基础设施构建:从解决方案的视角看云安全》作者简介
目录
Contents?目 录
序
推荐序
译者序
作者简介
审校者简介
前言
致谢
第1章云计算基础 1
1.1云的定义 2
1.1.1云的本质特征 2
1.1.2云计算服务模型 3
1.1.3云计算部署模型 4
1.1.4云计算价值定位 5
1.2历史背景 6
1.2.1传统的三层架构 7
1.2.2软件的演进:从烟筒式应用到服务网络 8
1.2.3云计算是IT新模式 10
1.3服务即安全 11
1.3.1新的企业安全边界 12
1.3.2云安全路线图 16
1.4总结 16
第2章可信云:安全与合规性表述 17
2.1云安全考虑 17
2.1.1云安全、信任和保障 19
2.1.2影响数据中心安全的发展趋势 20
2.1.3安全性和合规性面临的挑战 22
2.1.4可信云 24
2.2可信计算基础设施 24
2.3可信云应用模型 25
2.3.1启动完整性应用模型 27
2.3.2可信虚拟机启动应用模型 29
2.3.3数据保护应用模型 30
2.3.4运行态完整性和证明应用模型 30
2.4云租户的可信云价值定位 31
2.5总结 32
第3章平台启动完整性:可信计算池的基础 34
3.1可信云构件 34
3.2平台启动完整性 35
3.2.1英特尔TXT平台的信任根——RTM、RTR和RTS 36
3.2.2被度量的启动过程 36
3.2.3证明 39
3.3可信计算池 40
3.3.1TCP的操作原则 41
3.3.2池的创建 42
3.3.3工作负载配置 42
3.3.4工作负载迁移 43
3.3.5工作负载/云服务的合规性报告 43
3.4TCP解决方案参考架构 43
3.4.1硬件层 44
3.4.2操作系统/虚拟机监视器层 45
3.4.3虚拟化/云管理和验证/证明层 46
3.4.4安全管理层 47
3.5参考实现:台湾证券交易所案例 49
3.5.1TWSE的解决方案架构 50
3.5.2可信计算池用例的实例化 51
3.5.3HyTrust的远程证明 52
3.5.4使用案例:创建可信计算池和工作负载迁移 54
3.5.5McAfee ePO的安全性和平台可信性集成与扩展 54
3.6总结 58
第4章证明:可信性的验证 59
4.1证明 59
4.1.1完整性度量架构 61
4.1.2基于简化策略的完整性度量架构 61
4.1.3基于语义的远程证明 62
4.2证明流程 62
4.2.1远程证明协议 62
4.2.2完整性度量流程 64
4.3首个商业化证明实现:英特尔可信证明平台 65
4.4Mt.Wilson平台 67
4.4.1Mt.Wilson架构 68
4.4.2Mt.Wilson证明流程 70
4.5Mt.Wilson的安全性 73
4.6Mt. Wilson的可信、白名单和管理API 74
4.6.1Mt.Wilson API 75
4.6.2API请求规范 75
4.6.3API响应 77
4.6.4Mt. Wilson API的使用 78
4.6.5部署Mt. Wilson 78
4.6.6Mt.Wilson编程示例 79
4.7总结 82
第5章云的边界控制:地理标记和资产标记 83
5.1地理定位 84
5.2地理围栏 84
5.3资产标记 86
5.4使用地理标记的可信计算池 86
5.4.1阶段一:平台证明和安全虚拟机监视器启动 88
5.4.2阶段二:基于可信性的安全迁移 89
5.4.3阶段三:基于可信性和地理定位信息的安全迁移 89
5.5将地理标记加入到可信计算池解决方案 90
5.5.1硬件层(服务器) 90
5.5.2虚拟机监视器和OS层 91
5.5.3虚拟化、云管理、验证和证明层 91
5.5.4安全管理层 92
5.5.5地理标记的创建和生命周期管理 92
5.6地理标记的工作流程和生命周期 93
5.6.1创建标记 93
5.6.2发布标记白名单 94
5.6.3部署标记 94
5.6.4资产标记和地理标记的生效和失效 96
5.6.5地理标记证明 97
5.7地理标记部署架构 97
5.7.1标记部署服务 98
5.7.2标记部署代理 99
5.7.3标记管理服务和管理工具 99
5.7.4证明服务 100
5.8地理标记部署过程 102
5.8.1推模型 102
5.8.2拉模型 102
5.9参考实现 104
5.9.1步骤1 104
5.9.2步骤2 105
5.9.3步骤3 106
5.9.4步骤4 107
5.10总结 108
第6章云中的网络安全 110
6.1云网络 111
6.1.1网络安全组件 111
6.1.2负载均衡 112
6.1.3入侵检测设备 113
6.1.4应用交付控制器 113
6.2端到端的云安全 113
6.2.1网络安全:端到端的安全——防火墙 114
6.2.2网络安全:端到端的安全——VLAN 114
6.2.3网络安全:端到端的安全——站点间VPN 115
6.2.4网络安全:端到端的安全——虚拟机监视器和虚拟机 116
6.3云中的软件定义安全 117
6.3.1OpenStack 120
6.3.2OpenStack网络安全 121
6.3.3网络安全功能和示例 123
6.4总结 125
第7章云的身份管理和控制 127
7.1身份挑战 128
7.1.1身份使用 129
7.1.2身份修改 130
7.1.3身份撤销 131
7.2身份管理系统需求 131
7.3身份管理解决方案的关键需求 132
7.3.1可问责 133
7.3.2通知 133
7.3.3匿名 133
7.3.4数据最小化 134
7.3.5安全性 134
7.3.6隐私性 134
7.4身份表示和案例研究 135
7.4.1PKI证书 135
7.4.2安全和隐私的探讨 136
7.4.3身份联合 137
7.4.4单点登录 138
7.5英特尔身份技术 138
7.6总结 143
第8章可信虚拟机:云虚拟机的完整性保障 144
8.1可信虚拟机的需求 145
8.2虚拟机镜像 147
8.3可信虚拟机概念架构 149
8.3.1Mystery Hill客户端 150
8.3.2Mystery Hill密钥管理和策略服务器 151
8.3.3Mystery Hill插件 151
8.3.4可信证明服务器
序
推荐序
译者序
作者简介
审校者简介
前言
致谢
第1章云计算基础 1
1.1云的定义 2
1.1.1云的本质特征 2
1.1.2云计算服务模型 3
1.1.3云计算部署模型 4
1.1.4云计算价值定位 5
1.2历史背景 6
1.2.1传统的三层架构 7
1.2.2软件的演进:从烟筒式应用到服务网络 8
1.2.3云计算是IT新模式 10
1.3服务即安全 11
1.3.1新的企业安全边界 12
1.3.2云安全路线图 16
1.4总结 16
第2章可信云:安全与合规性表述 17
2.1云安全考虑 17
2.1.1云安全、信任和保障 19
2.1.2影响数据中心安全的发展趋势 20
2.1.3安全性和合规性面临的挑战 22
2.1.4可信云 24
2.2可信计算基础设施 24
2.3可信云应用模型 25
2.3.1启动完整性应用模型 27
2.3.2可信虚拟机启动应用模型 29
2.3.3数据保护应用模型 30
2.3.4运行态完整性和证明应用模型 30
2.4云租户的可信云价值定位 31
2.5总结 32
第3章平台启动完整性:可信计算池的基础 34
3.1可信云构件 34
3.2平台启动完整性 35
3.2.1英特尔TXT平台的信任根——RTM、RTR和RTS 36
3.2.2被度量的启动过程 36
3.2.3证明 39
3.3可信计算池 40
3.3.1TCP的操作原则 41
3.3.2池的创建 42
3.3.3工作负载配置 42
3.3.4工作负载迁移 43
3.3.5工作负载/云服务的合规性报告 43
3.4TCP解决方案参考架构 43
3.4.1硬件层 44
3.4.2操作系统/虚拟机监视器层 45
3.4.3虚拟化/云管理和验证/证明层 46
3.4.4安全管理层 47
3.5参考实现:台湾证券交易所案例 49
3.5.1TWSE的解决方案架构 50
3.5.2可信计算池用例的实例化 51
3.5.3HyTrust的远程证明 52
3.5.4使用案例:创建可信计算池和工作负载迁移 54
3.5.5McAfee ePO的安全性和平台可信性集成与扩展 54
3.6总结 58
第4章证明:可信性的验证 59
4.1证明 59
4.1.1完整性度量架构 61
4.1.2基于简化策略的完整性度量架构 61
4.1.3基于语义的远程证明 62
4.2证明流程 62
4.2.1远程证明协议 62
4.2.2完整性度量流程 64
4.3首个商业化证明实现:英特尔可信证明平台 65
4.4Mt.Wilson平台 67
4.4.1Mt.Wilson架构 68
4.4.2Mt.Wilson证明流程 70
4.5Mt.Wilson的安全性 73
4.6Mt. Wilson的可信、白名单和管理API 74
4.6.1Mt.Wilson API 75
4.6.2API请求规范 75
4.6.3API响应 77
4.6.4Mt. Wilson API的使用 78
4.6.5部署Mt. Wilson 78
4.6.6Mt.Wilson编程示例 79
4.7总结 82
第5章云的边界控制:地理标记和资产标记 83
5.1地理定位 84
5.2地理围栏 84
5.3资产标记 86
5.4使用地理标记的可信计算池 86
5.4.1阶段一:平台证明和安全虚拟机监视器启动 88
5.4.2阶段二:基于可信性的安全迁移 89
5.4.3阶段三:基于可信性和地理定位信息的安全迁移 89
5.5将地理标记加入到可信计算池解决方案 90
5.5.1硬件层(服务器) 90
5.5.2虚拟机监视器和OS层 91
5.5.3虚拟化、云管理、验证和证明层 91
5.5.4安全管理层 92
5.5.5地理标记的创建和生命周期管理 92
5.6地理标记的工作流程和生命周期 93
5.6.1创建标记 93
5.6.2发布标记白名单 94
5.6.3部署标记 94
5.6.4资产标记和地理标记的生效和失效 96
5.6.5地理标记证明 97
5.7地理标记部署架构 97
5.7.1标记部署服务 98
5.7.2标记部署代理 99
5.7.3标记管理服务和管理工具 99
5.7.4证明服务 100
5.8地理标记部署过程 102
5.8.1推模型 102
5.8.2拉模型 102
5.9参考实现 104
5.9.1步骤1 104
5.9.2步骤2 105
5.9.3步骤3 106
5.9.4步骤4 107
5.10总结 108
第6章云中的网络安全 110
6.1云网络 111
6.1.1网络安全组件 111
6.1.2负载均衡 112
6.1.3入侵检测设备 113
6.1.4应用交付控制器 113
6.2端到端的云安全 113
6.2.1网络安全:端到端的安全——防火墙 114
6.2.2网络安全:端到端的安全——VLAN 114
6.2.3网络安全:端到端的安全——站点间VPN 115
6.2.4网络安全:端到端的安全——虚拟机监视器和虚拟机 116
6.3云中的软件定义安全 117
6.3.1OpenStack 120
6.3.2OpenStack网络安全 121
6.3.3网络安全功能和示例 123
6.4总结 125
第7章云的身份管理和控制 127
7.1身份挑战 128
7.1.1身份使用 129
7.1.2身份修改 130
7.1.3身份撤销 131
7.2身份管理系统需求 131
7.3身份管理解决方案的关键需求 132
7.3.1可问责 133
7.3.2通知 133
7.3.3匿名 133
7.3.4数据最小化 134
7.3.5安全性 134
7.3.6隐私性 134
7.4身份表示和案例研究 135
7.4.1PKI证书 135
7.4.2安全和隐私的探讨 136
7.4.3身份联合 137
7.4.4单点登录 138
7.5英特尔身份技术 138
7.6总结 143
第8章可信虚拟机:云虚拟机的完整性保障 144
8.1可信虚拟机的需求 145
8.2虚拟机镜像 147
8.3可信虚拟机概念架构 149
8.3.1Mystery Hill客户端 150
8.3.2Mystery Hill密钥管理和策略服务器 151
8.3.3Mystery Hill插件 151
8.3.4可信证明服务器
猜您喜欢