云安全基礎(chǔ)設(shè)施構(gòu)建：從解決方案的視角看云安全

Contents?目　　錄
序
推薦序
譯者序
作者簡介
審校者簡介
前言
致謝
第1章云計(jì)算基礎(chǔ) 1
1.1云的定義 2
1.1.1云的本質(zhì)特征 2
1.1.2云計(jì)算服務(wù)模型 3
1.1.3云計(jì)算部署模型 4
1.1.4云計(jì)算價(jià)值定位 5
1.2歷史背景 6
1.2.1傳統(tǒng)的三層架構(gòu) 7
1.2.2軟件的演進(jìn)：從煙筒式應(yīng)用到服務(wù)網(wǎng)絡(luò) 8
1.2.3云計(jì)算是IT新模式 10
1.3服務(wù)即安全 11
1.3.1新的企業(yè)安全邊界 12
1.3.2云安全路線圖 16
1.4總結(jié) 16
第2章可信云：安全與合規(guī)性表述 17
2.1云安全考慮 17
2.1.1云安全、信任和保障 19
2.1.2影響數(shù)據(jù)中心安全的發(fā)展趨勢(shì) 20
2.1.3安全性和合規(guī)性面臨的挑戰(zhàn) 22
2.1.4可信云 24
2.2可信計(jì)算基礎(chǔ)設(shè)施 24
2.3可信云應(yīng)用模型 25
2.3.1啟動(dòng)完整性應(yīng)用模型 27
2.3.2可信虛擬機(jī)啟動(dòng)應(yīng)用模型 29
2.3.3數(shù)據(jù)保護(hù)應(yīng)用模型 30
2.3.4運(yùn)行態(tài)完整性和證明應(yīng)用模型 30
2.4云租戶的可信云價(jià)值定位 31
2.5總結(jié) 32
第3章平臺(tái)啟動(dòng)完整性：可信計(jì)算池的基礎(chǔ) 34
3.1可信云構(gòu)件 34
3.2平臺(tái)啟動(dòng)完整性 35
3.2.1英特爾TXT平臺(tái)的信任根——RTM、RTR和RTS 36
3.2.2被度量的啟動(dòng)過程 36
3.2.3證明 39
3.3可信計(jì)算池 40
3.3.1TCP的操作原則 41
3.3.2池的創(chuàng)建 42
3.3.3工作負(fù)載配置 42
3.3.4工作負(fù)載遷移 43
3.3.5工作負(fù)載/云服務(wù)的合規(guī)性報(bào)告 43
3.4TCP解決方案參考架構(gòu) 43
3.4.1硬件層 44
3.4.2操作系統(tǒng)/虛擬機(jī)監(jiān)視器層 45
3.4.3虛擬化/云管理和驗(yàn)證/證明層 46
3.4.4安全管理層 47
3.5參考實(shí)現(xiàn)：臺(tái)灣證券交易所案例 49
3.5.1TWSE的解決方案架構(gòu) 50
3.5.2可信計(jì)算池用例的實(shí)例化 51
3.5.3HyTrust的遠(yuǎn)程證明 52
3.5.4使用案例：創(chuàng)建可信計(jì)算池和工作負(fù)載遷移 54
3.5.5McAfee ePO的安全性和平臺(tái)可信性集成與擴(kuò)展 54
3.6總結(jié) 58
第4章證明：可信性的驗(yàn)證 59
4.1證明 59
4.1.1完整性度量架構(gòu) 61
4.1.2基于簡化策略的完整性度量架構(gòu) 61
4.1.3基于語義的遠(yuǎn)程證明 62
4.2證明流程 62
4.2.1遠(yuǎn)程證明協(xié)議 62
4.2.2完整性度量流程 64
4.3首個(gè)商業(yè)化證明實(shí)現(xiàn)：英特爾可信證明平臺(tái) 65
4.4Mt.Wilson平臺(tái) 67
4.4.1Mt.Wilson架構(gòu) 68
4.4.2Mt.Wilson證明流程 70
4.5Mt.Wilson的安全性 73
4.6Mt. Wilson的可信、白名單和管理API 74
4.6.1Mt.Wilson API 75
4.6.2API請(qǐng)求規(guī)范 75
4.6.3API響應(yīng) 77
4.6.4Mt. Wilson API的使用 78
4.6.5部署Mt. Wilson 78
4.6.6Mt.Wilson編程示例 79
4.7總結(jié) 82
第5章云的邊界控制：地理標(biāo)記和資產(chǎn)標(biāo)記 83
5.1地理定位 84
5.2地理圍欄 84
5.3資產(chǎn)標(biāo)記 86
5.4使用地理標(biāo)記的可信計(jì)算池 86
5.4.1階段一：平臺(tái)證明和安全虛擬機(jī)監(jiān)視器啟動(dòng) 88
5.4.2階段二：基于可信性的安全遷移 89
5.4.3階段三：基于可信性和地理定位信息的安全遷移 89
5.5將地理標(biāo)記加入到可信計(jì)算池解決方案 90
5.5.1硬件層（服務(wù)器） 90
5.5.2虛擬機(jī)監(jiān)視器和OS層 91
5.5.3虛擬化、云管理、驗(yàn)證和證明層 91
5.5.4安全管理層 92
5.5.5地理標(biāo)記的創(chuàng)建和生命周期管理 92
5.6地理標(biāo)記的工作流程和生命周期 93
5.6.1創(chuàng)建標(biāo)記 93
5.6.2發(fā)布標(biāo)記白名單 94
5.6.3部署標(biāo)記 94
5.6.4資產(chǎn)標(biāo)記和地理標(biāo)記的生效和失效 96
5.6.5地理標(biāo)記證明 97
5.7地理標(biāo)記部署架構(gòu) 97
5.7.1標(biāo)記部署服務(wù) 98
5.7.2標(biāo)記部署代理 99
5.7.3標(biāo)記管理服務(wù)和管理工具 99
5.7.4證明服務(wù) 100
5.8地理標(biāo)記部署過程 102
5.8.1推模型 102
5.8.2拉模型 102
5.9參考實(shí)現(xiàn) 104
5.9.1步驟1 104
5.9.2步驟2 105
5.9.3步驟3 106
5.9.4步驟4 107
5.10總結(jié) 108
第6章云中的網(wǎng)絡(luò)安全 110
6.1云網(wǎng)絡(luò) 111
6.1.1網(wǎng)絡(luò)安全組件 111
6.1.2負(fù)載均衡 112
6.1.3入侵檢測(cè)設(shè)備 113
6.1.4應(yīng)用交付控制器 113
6.2端到端的云安全 113
6.2.1網(wǎng)絡(luò)安全：端到端的安全——防火墻 114
6.2.2網(wǎng)絡(luò)安全：端到端的安全——VLAN 114
6.2.3網(wǎng)絡(luò)安全：端到端的安全——站點(diǎn)間VPN 115
6.2.4網(wǎng)絡(luò)安全：端到端的安全——虛擬機(jī)監(jiān)視器和虛擬機(jī) 116
6.3云中的軟件定義安全 117
6.3.1OpenStack 120
6.3.2OpenStack網(wǎng)絡(luò)安全 121
6.3.3網(wǎng)絡(luò)安全功能和示例 123
6.4總結(jié) 125
第7章云的身份管理和控制 127
7.1身份挑戰(zhàn) 128
7.1.1身份使用 129
7.1.2身份修改 130
7.1.3身份撤銷 131
7.2身份管理系統(tǒng)需求 131
7.3身份管理解決方案的關(guān)鍵需求 132
7.3.1可問責(zé) 133
7.3.2通知 133
7.3.3匿名 133
7.3.4數(shù)據(jù)最小化 134
7.3.5安全性 134
7.3.6隱私性 134
7.4身份表示和案例研究 135
7.4.1PKI證書 135
7.4.2安全和隱私的探討 136
7.4.3身份聯(lián)合 137
7.4.4單點(diǎn)登錄 138
7.5英特爾身份技術(shù) 138
7.6總結(jié) 143
第8章可信虛擬機(jī)：云虛擬機(jī)的完整性保障 144
8.1可信虛擬機(jī)的需求 145
8.2虛擬機(jī)鏡像 147
8.3可信虛擬機(jī)概念架構(gòu) 149
8.3.1Mystery Hill客戶端 150
8.3.2Mystery Hill密鑰管理和策略服務(wù)器 151
8.3.3Mystery Hill插件 151
8.3.4可信證明服務(wù)器