云计算安全

本书主要面向研究生和科研人员，针对软件安全中缺陷与漏洞的检测与修复方向，主要有3个特点：
在传统云安全的基础上，结合云计算中与安全相关的最新研究成果，加强了读者对云计算中前沿的安全问题与相关防御技术的理解；
详细分析云计算在实践中存在的安全问题，深入浅出地介绍其原理与最新的解决思路，使读者能够结合实际对相关内容加以理解；
涵盖云计算安全的几个重要方面，对该领域新的研究和技术进展进行了介绍，并系统地介绍了虚拟机、容器与云网络等云计算基础技术中存在的安全问题和防御手段。

本书围绕云计算安全主题分8个部分（对应8章）进行了详细的讲解。云计算与安全基础部分介绍了云计算各方面的基础知识、安全挑战以及国内外的安全标准和安全体系；系统虚拟化安全部分讲解了虚拟化平台及其架构以及对应的安全威胁和防护方法；云数据安全部分详细讲解了云服务的数据安全问题及其防护措施；云原生安全部分介绍了云原生中传统和先进云原生服务技术的基础知识和发展演进，着重分析了架构演进中的安全问题并介绍了安全实践方案；云应用可信保护部分讲解了云平台可信构建、云应用可信隔离、可信虚拟机服务和云可信增强；云环境中软件定义网络安全部分介绍了云环境软件定义网络数据层、控制层和应用层的安全问题以及研究现状；云环境故障检测和修复部分介绍了云环境故障检测、诊断、容忍等安全知识；云平台运维管理安全部分从安全管理、漏洞扫描、日志管理、权限划分与访问控制4个维度详细讲解了云平台安全运维管理概念。
本书适用于计算机科学与技术、网络空间安全等相关专业的研究生，也可供网络技术或工程人员参考。

邹德清 华中科技大学教授、博士生导师，网络空间安全学院常务副院长，国家网络安全优秀教师，教育部新世纪优秀人才，教育部网络空间安全教育指导委员会委员（2018-2022）兼学校教学指导委员会委员，国家网络安全人才与创新基地办公室副主任（2018-），武汉市网络安全战略与发展研究院副院长，中国网络空间安全协会数据安全工作委员会副主任，中文信息学会大数据安全与隐私计算专委会副秘书长。长期在网络空间安全领域开展研究。

第 1章 云计算与安全基础 001
1.1 云计算安全概述 001
1.1.1 云计算概述 001
1.1.2 云系统安全 006
1.1.3 云数据安全 006
1.1.4 云应用安全 011
1.1.5 软件定义网络（SDN）安全 012
1.1.6 云安全管理与运维 014
1.2 云计算及安全标准 015
1.2.1 ISO/IEC JTC1/SC27云计算标准 015
1.2.2 CSA安全标准 016
1.2.3 NIST安全标准 017
1.2.4 我国云计算安全标准 018
1.2.5 等保2.0云安全标准 018
1.3 云计算安全体系 019
1.3.1 国外云计算安全体系 020
1.3.2 国内云计算安全体系 025
参考文献 025
第 2章 系统虚拟化安全 027
2.1 系统虚拟化安全概述 029
2.1.1 典型虚拟化平台 029
2.1.2 虚拟化平台架构 031
2.2 虚拟机管理安全 034
2.2.1 虚拟机管理器 035
2.2.2 虚拟机管理器安全分析 036
2.2.3 虚拟机管理安全方案 040
2.3 虚拟机安全 044
2.3.1 虚拟机安全分析 044
2.3.2 虚拟机安全回滚 046
2.3.3 虚拟机安全迁移 051
2.3.4 虚拟机安全监控 054
参考文献 062
第3章 云数据安全 067
3.1 云数据安全概述 067
3.1.1 云数据核心安全需求 067
3.1.2 云数据安全技术框架 070
3.2 云数据安全存储 072
3.2.1 云数据加密存储 072
3.2.2 云数据安全修改 076
3.2.3 云数据安全去重 078
3.3 云数据安全搜索 081
3.3.1 云数据安全搜索概述 081
3.3.2 公钥体制/对称体制下的可搜索云数据加密 083
3.3.3 密态云数据库核心技术 086
3.4 云数据安全计算 090
3.4.1 云数据安全计算概述 090
3.4.2 基于函数加密的云数据安全计算 093
3.4.3 基于同态加密的云数据安全计算 095
参考文献 099
第4章 云原生安全 105
4.1 容器概述 105
4.1.1 容器技术概述 105
4.1.2 容器技术安全现状 107
4.2 容器镜像安全 108
4.2.1 容器镜像概述 108
4.2.2 容器镜像安全分析 111
4.2.3 容器镜像安全检测 113
4.3 容器运行时安全 116
4.3.1 容器隔离安全分析 116
4.3.2 容器隔离安全增强 121
4.3.3 安全容器与可信容器 123
4.3.4 容器安全迁移 126
4.4 微服务与Serverless安全 127
4.4.1 微服务架构 127
4.4.2 微服务安全 129
4.4.3 Serverless架构 133
4.4.4 Serverless安全 136
4.5 DevOps安全 138
4.5.1 DevOps架构 138
4.5.2 DevOps安全分析 143
4.5.3 DevSecOps安全实践 145
参考文献 150
第5章 云应用可信保护 153
5.1 可信云环境概述 153
5.1.1 可信计算环境构建模型 154
5.1.2 可信硬件 155
5.1.3 传统架构下的可信计算环境 156
5.1.4 云架构下的可信执行环境 157
5.2 云平台可信构建 158
5.2.1 云平台信任链模型 159
5.2.2 云平台动态可信度量 161
5.2.3 云服务可信构建 165
5.3 云应用可信隔离 169
5.3.1 可信云应用内存隔离 169
5.3.2 可信云应用安全交互 174
5.3.3 可信云应用内存防护 177
5.4 可信虚拟机服务 179
5.4.1 可信虚拟机服务概述 179
5.4.2 可信虚拟机服务架构 180
5.4.3 可信虚拟机内存保护机制 183
5.5 云可信增强 185
5.5.1 可信云侧信道防御 185
5.5.2 可信云侧信道漏洞检测 188
5.5.3 可信云侧信道漏洞修补 192
参考文献 195
第6章 云环境中的软件定义网络安全 199
6.1 软件定义网络概述 199
6.1.1 SDN/NFV 199
6.1.2 新兴SDN实现的进展 202
6.1.3 传统厂商的SDN进展 203
6.2 软件定义网络数据层安全 204
6.2.1 软件定义网络数据层 204
6.2.2 软件定义网络数据层安全分析 205
6.2.3 软件定义网络数据层安全防护 208
6.3 软件定义网络控制层安全 214
6.3.1 软件定义网络控制层 214
6.3.2 软件定义网络控制层安全分析 215
6.3.3 软件定义网络控制层安全防护 219
6.4 软件定义网络应用层安全 224
6.4.1 软件定义网络应用层 224
6.4.2 软件定义网络应用层安全分析 225
6.4.3 软件定义网络应用层安全应用 232
6.5 软件定义网络的网络安全实践 237
6.5.1 Mininet网络实验平台 237
6.5.2 BGP路径挟持攻击 238
6.5.3 ARP攻击和防御 240
参考文献 241
第7章 云环境故障检测和修复 246
7.1 故障检测和修复概述 246
7.1.1 云环境故障检测技术 247
7.1.2 云环境故障诊断技术 248
7.1.3 云环境故障容忍技术 248
7.2 云环境故障检测 251
7.2.1 云环境故障检测系统概述 251
7.2.2 云环境故障检测系统体系 253
7.2.3 云环境故障检测系统技术 255
7.3 云环境故障诊断 259
7.3.1 云环境故障诊断系统概述 260
7.3.2 云环境故障诊断系统体系 261
7.3.3 云环境故障诊断系统技术 262
7.4 云环境故障容忍 266
7.4.1 云环境故障容忍架构 266
7.4.2 基于故障营救点的故障快速修复 268
参考文献 271
第8章 云平台运维管理安全 273
8.1 云平台安全运维管理概述 273
8.1.1 运维管理标准 275
8.1.2 运维管理体系 279
8.2 云平台安全管理 280
8.2.1 资产安全管理 280
8.2.2 变更安全管理 283
8.2.3 信息安全管理 287
8.3 云平台漏洞扫描 291
8.3.1 云平台漏洞分析 291
8.3.2 云平台漏洞检测技术 292
8.4 云平台日志管理 298
8.4.1 云平台日志分类 298
8.4.2 日志审计系统 301
8.5 云平台权限划分与访问控制 304
8.5.1 云平台权限划分 304
8.5.2 云平台访问控制技术 305
参考文献 308
名词索引 309