云原生安全與DevOps保障

1 DevOps 保障 1
1．1 DevOps 方法 2
1．1．1 持續(xù)集成 3
1．1．2 持續(xù)交付 4
1．1．3 基礎(chǔ)設(shè)施即服務(wù) 5
1．1．4 文化和信任 6
1．2 DevOps 中的安全 7
1．3 持續(xù)安全 8
1．3．1 測(cè)試驅(qū)動(dòng)安全 10
1．3．2 攻擊監(jiān)控與應(yīng)對(duì) 12
1．3．3 評(píng)估風(fēng)險(xiǎn)并完善安全性 16
1．4 本章小結(jié) 17
第1 部分 案例研究：在簡(jiǎn)易的 DevOps 流水線上應(yīng)用多層安全性
2 建立簡(jiǎn)易的 DevOps 流水線 21
2．1 實(shí)現(xiàn)線路圖 22
2．2 代碼倉(cāng)庫(kù) ：GitHub 24
2．3 CI 平臺(tái) ：CircleCI 24
2．4 容器鏡像庫(kù) ：Docker Hub 28
2．5 生產(chǎn)環(huán)境基礎(chǔ)設(shè)施 ：Amazon Web Services 30
2．5．1 三層架構(gòu) 31
2．5．2 配置訪問(wèn) AWS 32
2．5．3 虛擬私有云 34
2．5．4 創(chuàng)建數(shù)據(jù)庫(kù)層 35
2．5．5 EB 創(chuàng)建前兩層 37
2．5．6 將容器部署到系統(tǒng)中 41
2．6 快速安全審計(jì) 44
2．7 本章小結(jié) 45
3 第一層安全性 ：保護(hù) Web 應(yīng)用 47
3．1 保護(hù)并測(cè)試 Web 應(yīng)用 48
3．2 網(wǎng)站攻擊和內(nèi)容安全 52
3．2．1 跨站腳本攻擊和內(nèi)容安全策略 52
3．2．2 跨站請(qǐng)求偽造 59
3．2．3 點(diǎn)擊劫持和 IFrame 保護(hù) 64
3．3 用戶身份驗(yàn)證的方法 65
3．3．1 HTTP 基本身份驗(yàn)證 66
3．3．2 密碼管理 68
3．3．3 身份提供商 69
3．3．4 會(huì)話和 Cookie 的安全性 75
3．3．5 測(cè)試身份驗(yàn)證 75
3．4 依賴管理 76
3．4．1 Golang vendoring 76
3．4．2 Node．js 的包管理 78
3．4．3 Python requirements 79
3．5 本章小結(jié) 80
4 第二層安全性 ：保護(hù)云基礎(chǔ)設(shè)施 81
4．1 保護(hù)并測(cè)試云基礎(chǔ)設(shè)施 ：部署器 82
4．1．1 設(shè)置部署器 83
4．1．2 配置 Docker Hub 和部署器之間的通知 84
4．1．3 對(duì)基礎(chǔ)設(shè)施執(zhí)行測(cè)試 85
4．1．4 更新發(fā)票應(yīng)用的環(huán)境 85
4．2 限制網(wǎng)絡(luò)訪問(wèn) 86
4．2．1 測(cè)試安全組 87
4．2．2 開放安全組之間的訪問(wèn)權(quán)限 90
4．3 搭建安全入口 91
4．3．1 生成 SSH 密鑰 93
4．3．2 在 EC2 中創(chuàng)建堡壘機(jī) 94
4．3．3 啟用 SSH 雙因子驗(yàn)證 96
4．3．4 被訪問(wèn)時(shí)發(fā)送通知 101
4．3．5 一般安全注意事項(xiàng) 103
4．3．6 開放安全組之間的訪問(wèn)權(quán)限 109
4．4 控制對(duì)數(shù)據(jù)庫(kù)的訪問(wèn) 111
4．4．1 分析數(shù)據(jù)庫(kù)結(jié)構(gòu) 112
4．4．2 PostgreSQL 的角色和權(quán)限 114
4．4．3 為發(fā)票應(yīng)用定義細(xì)粒度的權(quán)限 115
4．4．4 在部署器中斷言權(quán)限 120
4．5 本章小結(jié) 122
5 第三層安全性 ：保護(hù)通信 123
5．1 安全通信意味著什么 124
5．1．1 早期的對(duì)稱加密 125
5．1．2 Di?e-Hellman 與 RSA 126
5．1．3 公鑰基礎(chǔ)設(shè)施 129
5．1．4 SSL 和 TLS 130
5．2 理解 SSL/TLS 131
5．2．1 證書鏈 132
5．2．2 TLS 握手 132
5．2．3 完美前向保密 135
5．3 讓應(yīng)用使用 HTTPS 136
5．3．1 從 AWS 獲取證書 136
5．3．2 從 Let’s Encrypt 獲取證書 137
5．3．3 在 AWS ELB 上啟用 HTTPS 139
5．4 現(xiàn)代化 HTTPS 142
5．4．1 測(cè)試 TLS 143
5．4．2 實(shí)施 Mozilla 現(xiàn)代指南 146
5．4．3 HSTS ：嚴(yán)格傳輸安全 147
5．4．4 HPKP ：公鑰固定 149
5．5 本章小結(jié) 152
6 第四層安全性 ：保護(hù)交付流水線 153
6．1 代碼管理基礎(chǔ)設(shè)施的訪問(wèn)控制 155
6．1．1 管理 GitHub 組織中的權(quán)限 156
6．1．2 管理 GitHub 和 CircleCI 之間的權(quán)限 158
6．1．3 用 Git 對(duì)提交和 tag 簽名 161
6．2 容器存儲(chǔ)的訪問(wèn)控制 165
6．2．1 管理 Docker Hub 與 CircleCI 之間的權(quán)限 165
6．2．2 用 Docker 內(nèi)容信任機(jī)制對(duì)容器簽名 168
6．3 基礎(chǔ)設(shè)施管理的訪問(wèn)控制 169
6．3．1 使用 AWS 角色和策略管理權(quán)限 169
6．3．2 將密碼分發(fā)到生產(chǎn)環(huán)境系統(tǒng)中 173
6．4 本章小結(jié) 179
第 2 部分 監(jiān)控異常，保護(hù)服務(wù)免受攻擊
７ 收集并保存日志 183
7．1 從系統(tǒng)和應(yīng)用中收集日志 185
7．1．1 從系統(tǒng)中收集日志 187
7．1．2 收集應(yīng)用日志 191
7．1．3 基礎(chǔ)設(shè)施日志 194
7．1．4 收集 GitHub 日志 197
7．2 通過(guò)消息代理串流日志事件 199
7．3 在日志消費(fèi)者中處理事件 201
7．4 保存并歸檔日志 204
7．5 訪問(wèn)日志 206
7．6 本章小結(jié) 209
8 分析日志找到欺詐和攻擊 211
8．1 日志分析層的架構(gòu) 212
8．2 使用字符串特征檢測(cè)攻擊 219
8．3 欺詐檢測(cè)的統(tǒng)計(jì)模型 223
8．3．1 滑動(dòng)窗口與循環(huán)緩沖 223
8．3．2 移動(dòng)平均值 226
8．4 利用地理信息數(shù)據(jù)來(lái)發(fā)現(xiàn)濫用 229
8．4．1 記錄用戶的地理信息 230
8．4．2 計(jì)算距離 231
8．4．3 找到用戶的正常連接區(qū)域 232
8．5 檢測(cè)已知模式的異常 234
8．5．1 user-agent 特征 234
8．5．2 異常的瀏覽器 234
8．5．3 交互模式 234
8．6 向運(yùn)維人員和最終用戶發(fā)出告警 235
8．6．1 向運(yùn)維人員升級(jí)安全事件 236
8．6．2 何時(shí)以何種方式通知最終用戶 239
8．7 本章小結(jié) 240
9 入侵檢測(cè) 243
9．1 入侵七部曲 ：殺傷鏈 244
9．2 什么是攻擊指示符 246
9．3 掃描終端節(jié)點(diǎn)尋找 IOC 254
9．4 使用 Suricata 檢查網(wǎng)絡(luò)流量 265
9．4．1 設(shè)置 Suricata 267
9．4．2 監(jiān)控網(wǎng)絡(luò) 268
9．4．3 編寫規(guī)則 269
9．4．4 使用預(yù)定義規(guī)則集 270
9．5 在系統(tǒng)調(diào)用審計(jì)日志中尋找入侵 271
9．5．1 執(zhí)行的漏洞 272
9．5．2 捕捉欺詐命令的執(zhí)行 273
9．5．3 監(jiān)控文件系統(tǒng) 275
9．5．4 監(jiān)控不可能發(fā)生的事情 276
9．6 信任人們發(fā)現(xiàn)異常的能力 277
9．7 本章小結(jié) 278
10 安全事件響應(yīng)案例分析 ：加勒比?！鞍c” 279
10．1 加勒比海“癱” 281
10．2 識(shí)別 281
10．3 隔離 285
10．4 殺滅 287
10．4．1在 AWS 中捕獲數(shù)字取證制品 289
10．4．2出站 IDS 過(guò)濾 290
10．4．3使用 MIG 追蹤 IOC 295
10．5 恢復(fù) 298
10．6 總結(jié)經(jīng)驗(yàn)和充分準(zhǔn)備的優(yōu)勢(shì) 300
10．7 本章小結(jié) 303
第 3 部分 DevOps 安全性走向成熟
11 風(fēng)險(xiǎn)評(píng)估 307
11．4 風(fēng)險(xiǎn)管理是什么 308
11．5 CIA 三要素 310
11．2．1 機(jī)密性 311
11．2．2 完整性 312
11．2．3 可用性 313
11．6 確定組織面臨的最大威脅 314
11．7 量化風(fēng)險(xiǎn)產(chǎn)生的影響 316
11．4．1 財(cái)務(wù) 317
11．4．2 聲譽(yù) 317
11．4．3 生產(chǎn)力 318
11．8 識(shí)別威脅并度量脆弱程度 318
11．8．1 STRIDE 威脅建?？蚣?319
11．8．2 DREAD 威脅建模框架 320
11．9 快速風(fēng)險(xiǎn)評(píng)估 322
11．9．1 收集信息 323
11．9．2 建立數(shù)據(jù)字典 325
11．9．3 識(shí)別并度量風(fēng)險(xiǎn) 326
11．9．4 給出建議 328
11．10 記錄并跟蹤風(fēng)險(xiǎn) 329
11．10．1 承擔(dān)、拒絕或轉(zhuǎn)移風(fēng)險(xiǎn) 331
11．10．2 定期回顧風(fēng)險(xiǎn) 331
11．11 本章小結(jié) 332
12 測(cè)試安全性 333
12．4 維護(hù)安全可見(jiàn)性 334
12．5 審計(jì)內(nèi)部應(yīng)用和服務(wù) 335
12．5．1 Web 應(yīng)用掃描器 336
12．5．2 模糊測(cè)試 339
12．5．3 靜態(tài)代碼掃描 342
12．5．4 審計(jì)云基礎(chǔ)設(shè)施 345
12．6 紅軍和外部滲透測(cè)試 349
12．7 Bug 賞金計(jì)劃 353
12．8 本章小結(jié) 356
13 持續(xù)安全 357
13．4 實(shí)踐并反復(fù)練習(xí) ：10000 小時(shí)安全性 358
13．5 第一年 ：將安全整合到 DevOps 中 359
13．5．1 不要過(guò)早下結(jié)論 360
13．5．2 全面測(cè)試并建立儀表盤 360
13．6 第二年 ：居安思危 362
13．6．1 避免重復(fù)的基礎(chǔ)設(shè)施建設(shè) 362
13．6．2 自建或采購(gòu) 363
13．6．3 承受攻擊 364
13．7 第三年 ：推動(dòng)變革 364
13．7．1 重新審視安全優(yōu)先級(jí) 365
13．7．2 迭代前進(jìn) 365