May 2025
Intermediate to advanced
230 pages
2h 21m
Chinese
Content preview from 《实用云安全》,第二版
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
序言
本作品已使用人工智能进行翻译。欢迎您提供反馈和意见:translation-feedback@oreilly.com
正如书名所言,本书是一本保护云环境安全的实用指南。在几乎所有的组织中,安全都需要争夺时间和资金,而在实施功能和特性时,安全往往处于次要地位。关注 "性价比最高 "的安全性非常重要。
本书旨在帮助您快速、正确地为最重要的资产实施最重要的安全控制,无论您是刚接触云的安全专业人员,还是负有安全责任的架构师或开发人员。在这个坚实的基础上,您可以继续建立和完善您的控制措施。
虽然云环境和内部部署环境中的许多安全控制和原则相似,但也存在一些重要的实际差异。因此,对于具有内部部署安全背景的人来说,实用云安全的一些建议可能会让他们感到惊讶。尽管在几乎任何信息安全领域,安全专业人士之间肯定会存在合理的意见分歧,但本书中的建议源自多年来保护云环境安全的经验,并参考了云计算产品的一些最新发展。
这主要是一本关于安全性而非合规性的书。 尽管如此,如果您需要满足特定的合规性要求,如 PCI DSS、HIPAA 或 FedRAMP,您会发现一些关于设计安全控制的有限指导,以便您能够做到这一点。
谁应该阅读这本书
本书设计为中级资料,主要面向两类从业人员:
-
在保护企业内部环境方面有一定经验,但在云环境方面经验很少或没有经验的人
-
那些拥有构建云环境的经验,但在确保这些云环境安全方面经验很少或没有经验的人
本书的目标是提供对云安全 "可能的艺术 "的概念性理解。 出于以下几个原因,您不会找到一本烹饪手册式的指南,来介绍如何在特定云环境中实施各种控制。 一个原因是,这类指南往往很快就会过时,因为云提供商会不断改进其实施方法。 另一个原因是,云提供商在提供明确的实施指南方面通常比我做得更好,因为实施是针对他们设计服务的方式的。 一个云提供商提供的详细操作指南要比试图涵盖多个云提供商的通用操作指南更有用。
我试图提供的是一种理解,让你知道什么时候需要找到这样的指南并加以使用。
第二版的新内容
新版根据第一版发布后几年来云计算和安全行业的发展进行了更新。 其中包括
-
有关适用于保护云环境的零信任原则的更多信息
-
加密技术的进步,例如抗量子加密算法
-
认证技术的进步,如无密码技术和密码匙
-
使用权限访问管理工具保护云环境
-
除验证人的身份外,还验证工作量的身份
-
通过软件物料清单 (SBOM) 实现透明度,保护软件供应链(包括云中的构建和部署环境)的重要性
-
根据自上次发布以来主要云提供商产品的变化进行更新
-
当今不同类型防御工具和技术的最新实例
此外,您现在还可以在阅读过程中检查自己对云安全概念的新理解。我在每章末尾都添加了一些问题和练习,答案在附录中。
本书使用的约定
本书使用以下排版规则:
- 斜体
-
表示新术语、URL、电子邮件地址、文件名和文件扩展名。
Constant width-
用于程序列表以及段落中的程序元素,如变量或函数名、数据库、数据类型、环境变量、语句和关键字。
Constant width bold-
显示应由用户按字面意思键入的命令或其他文本。 ...