《云原生安全与DevOps保障》内容简介

本书主要介绍了DevOps实践中最容易被忽视的一环——安全，并且对云原生服务的安全保障也做了全面的阐述。书中详细介绍了Web攻击防范、权限验证、日志监控、入侵检测、网络安全协议等老生常谈的话题在云原生基础设施上的变化。书中还提出了适应DevOps文化的持续安全、测试驱动安全、基础设施与流水线保证、轻量风险评估等颇具新意的观点和实践。本书通过一个Web应用示例展示了ZAP、pineapple、Hindsight、GRR、MIG、osquery和Suricata等工具的使用方法。本书最后总结了一份实施持续安全的三年路线图，指导组织全面提升安全实践和安全意识。本书适合DevOps实践者阅读，包括参与其中的安全工程师、软件开发人员、基础设施运维人员及项目管理人员等。
Julien Vehent在Mozilla.负责Firefox的安全运营团队，掌管着每日与几千万Firefox用户打交道的Web服务的实现和运维。自从2007年取得信息安全大学学位之后，作者在开发、运维和互联网服务安全保障领域已累积15年以上经验。
覃宇，ThoughtWorks高级咨询师，10余年移动应用开发经验，Android技术专家；译有《Kotlin实战》《Severless:无服务架构与AWS Lambda》《领域驱动设计精粹》等书。

作品目录

译者序
前言
致谢
关于本书
关于作者
关于封面
1、DevOps保障
1.1、DevOps方法
1.2、DevOps中的安全
1.3、持续安全
1.4、本章小结
第1部分
案例研究：在简易的DevOps流水线上应用多层安全性
2、建立简易的DevOps流水线
2.1、实现线路图
2.2、代码仓库：GitHub
2.3、CI平台：CircleCI
2.4、容器镜像库：Docker
Hub
2.5、生产环境基础设施：Amazon
Web
Services
2.6、快速安全审计
2.7、本章小结
3、第一层安全性：保护Web应用
3.1、保护并测试Web应用
3.2、网站攻击和内容安全
3.3、用户身份验证的方法
3.4、依赖管理
3.5、本章小结
4、第二层安全性：保护云基础设施
4.1、保护并测试云基础设施：部署器
4.2、限制网络访问
4.3、搭建安全入口
4.4、控制对数据库的访问
4.5、本章小结
5、第三层安全性：保护通信
5.1、安全通信意味着什么
5.2、理解SSL/TLS
5.3、让应用使用HTTPS
5.4、现代化HTTPS
5.5、本章小结
6、第四层安全性：保护交付流水线
6.1、代码管理基础设施的访问控制
6.2、容器存储的访问控制
6.3、基础设施管理的访问控制
6.4、本章小结
第2部分
监控异常，保护服务免受攻击
7、收集并保存日志
7.1、从系统和应用中收集日志
7.2、通过消息代理串流日志事件
7.3、在日志消费者中处理事件
7.4、保存并归档日志
7.5、访问日志
7.6、本章小结
8、分析日志找到欺诈和攻击
8.1、日志分析层的架构
8.2、使用字符串特征检测攻击
8.3、欺诈检测的统计模型
8.4、利用地理信息数据来发现滥用
8.5、检测已知模式的异常
8.6、向运维人员和最终用户发出告警
8.7、本章小结
9、入侵检测
9.1、入侵七部曲：杀伤链
9.2、什么是攻击指示符
9.3、扫描终端节点寻找IOC
9.4、使用Suricata检查网络流量
9.5、在系统调用审计日志中寻找入侵
9.6、信任人们发现异常的能力
9.7、本章小结
10、安全事件响应案例分析：加勒比海“瘫”
10.1、加勒比海“瘫”
10.2、识别
10.3、隔离
10.4、杀灭
10.5、恢复
10.6、总结经验和充分准备的优势
10.7、本章小结
第3部分
DevOps安全性走向成熟
11、风险评估
11.1、风险管理是什么
11.2、CIA三要素
11.3、确定组织面临的最大威胁
11.4、量化风险产生的影响
11.5、识别威胁并度量其脆弱度
11.6、快速风险评估
11.7、记录并跟踪风险
11.8、本章小结
12、测试安全性
12.1、维护安全可见性
12.2、审计内部应用和服务
12.3、红军和外部渗透测试
12.4、Bug赏金计划
12.5、本章小结
13、持续安全
13.1、实践并反复练习：10000小时安全性
13.2、第一年：将安全整合到DevOps中
13.3、第二年：居安思危
13.4、第三年：推动变革