云计算安全实践——从入门到精通

本书密切关注和跟踪云计算及安全技术进展，在介绍基本原理的基础上，以云计算应用安全能力建设为主，重点介绍在云安全能力建设中的典型案例与实验。本书广度和深度兼具、理论与实践交相辉映，是你学习云安全能力建设实践的重要参考。

本书将云计算安全能力建设对应到NIST CSF中，从云计算安全能力建设的角度由浅入深地总结云计算安全产业实践的基本常识、云安全能力构建的基础实验与云计算产业安全综合实践。在简单介绍基本原理的基础上，以云计算应用安全能力建设为主，重点介绍在云安全能力建设中的典型案例与实验。其中实验部分又分为基础篇、提高篇和综合篇，通过动手实验可以让你快速学习基本的安全策略、安全功能、安全服务及实践，深度体验云上安全能力的建设设计与实现，终完成自定义安全集成和综合安全架构的设计与实现。

王绍斌  亚马逊云计算Lambda产品线首席安全官。曾兼职美国信息产业机构USITO安全组联合主席（2011-2020年），国际可信计算组织TCG大中华区主席（2011-2015年），上海数据治理与安全产业发展专业委员会专家(2019-2021年) 。具有26年的安全技术研究经历，主要研究领域包括云计算安全、网络安全、应用密码学、网络攻击与防御、电子商务安全。申请专利16项，发表学术论文16篇，出版著作3部。

卢朝阳   亚马逊Amazon Web Service云安全专业架构师，从事金融和互联网信息安全工作17年，为全球100多个客户提供专业定制云安全架构，曾历任安全渗透专家、安全咨询顾问、安全风险管理专家、安全负责人等，致力于多云上DevSecOps与云安全自动化和智能化的建设和优化。

余波  亚马逊Amazon Web Service安全市场与产品专家，硕士毕业于北京大学光华管理学院。有多年欧洲和东南亚的海外经历，历任奇安信集团国际部负责人、网宿科技香港网盾公司负责人、绿盟科技欧洲及中东分公司总经理、华为东南亚某系统部门负责人等。

朱志强  亚马逊Amazon Web Service安全市场与产品专家，负责云安全方案的拓展工作，曾在华为、绿盟等多家知名网络安全公司任职，拥有十多年网络安全行业架构和咨询经验。

目　　录

第1章 云安全基础 1
1.1 云安全定义 4
1.2 云安全理念与责任共担模型 7
1.3 云安全产业与产品 10
1.3.1 云原生安全产品 11
1.3.2 第三方云安全产品 17
1.4 云安全优势 21
第2章 云安全体系 22
2.1 NIST CSF 22
2.1.1 什么是NIST CSF框架 22
2.1.2 CSF的作用 23
2.1.3 CSF的核心 25
2.1.4 CSF在云治理中的作用 29
2.2 CAF 30
2.2.1 什么是CAF 30
2.2.2 CAF的维度 30
2.2.3 CAF的能力要求 31
2.2.4 CAF的核心内容 31
2.2.5 CAF在云转型中的作用 32
2.3 GDPR 33
2.3.1 什么是GDPR 33
2.3.2 GDPR的重要意义 34
2.3.3 云中进行GDPR合规的注意事项 34
2.3.4 GDPR的责任分担 35
2.3.5 云服务商的GDPR传导路径 36
2.3.6 云用户的GDPR挑战与影响 38
2.4 ATT＆CK云安全攻防模型 39
2.4.1 ATT＆CK定义 39
2.4.2 ATT＆CK使用场景 39
2.4.3 AWS ATT＆CK云模型 41
2.5 零信任网络 46
2.5.1 为什么提出零信任 46
2.5.2 零信任的理念 46
2.5.3 零信任的价值体现 47
2.5.4 零信任的安全体系 48
2.5.5 零信任的核心内容 49
2.5.6 零信任在云平台上的应用 50
2.6 等级保护 51
2.6.1 什么是等级保护 51
2.6.2 等级保护的重要意义 52
2.6.3 等级保护的标准体系 53
2.6.4 云环境下的等级保护 58
2.7 ISO 27000系列安全标准 59
2.7.1 ISO 27000系列 59
2.7.2 ISO 27001体系框架 60
2.7.3 ISO 27001对云安全的作用 61
2.7.4 企业如何在上云中合理使用标准 62
2.7.5 云服务商如何合规 63
2.7.6 ISO 27000的安全隐私保护 63
2.8 SOC 64
2.8.1 什么是SOC 64
2.8.2 SOC 2的重要意义 65
2.8.3 SOC 2的核心内容 65
2.8.4 SOC 2对云服务商的要求 67
2.9 中国云计算服务安全标准 68
2.9.1 标准的背景 68
2.9.2 标准的概述 68
2.9.3 标准对云服务商的能力要求 69
2.9.4 标准的意义 70
2.10 美国的FedRAMP 70
2.10.1 FedRAMP 70
2.10.2 FedRAMP的基本要求与类型 71
2.10.3 FedRAMP的评估与授权机制 71
2.10.4 FedRAMP的意义与价值 72
第3章 云安全治理模型 73
3.1 如何选择云安全治理模型 73
3.1.1 云安全治理在数字化转型中的作用 73
3.1.2 云安全治理模型的适用性说明 74
3.1.3 云安全治理模型的三种不同场景 74
3.1.4 云安全责任共担模型 75
3.1.5 云平台责任共担模型分类 76
3.2 如何构建云安全治理模型 81
3.2.1 云安全治理模型设计的七个原则 81
3.2.2 基于隐私的云安全治理模型 82
第4章 云安全规划设计 83
4.1 云安全规划方法 83
4.1.1 SbD的设计方法 84
4.1.2 SbD的目标 84
4.1.3 SbD的过程 84
4.2 云资产的定义和分类 87
4.2.1 云中资产的定义与分类 87
4.2.2 云中数据的定义与分类 87
4.2.3 AWS三层数据分类法 91
4.3 云安全建设路径 91
4.3.1 起步阶段的云安全建设路径 92
4.3.2 升级阶段的云安全建设路径 94
4.3.3 发展阶段的云安全建设路径 97
4.3.4 整合阶段的云安全建设路径 100
4.3.5 成熟阶段的云安全建设路径 102
第5章 NIST CSF云安全建设实践 105
5.1 云安全识别能力建设 106
5.1.1 云安全识别能力概述 107
5.1.2 云安全识别能力构成 107
5.1.3 云安全识别能力建设实践 110
5.2 云安全保护能力建设 115
5.2.1 云安全保护能力概述 115
5.2.2 云安全保护能力构成 116
5.2.3 云安全保护能力建设实践 120
5.3 云安全检测能力建设 140
5.3.1 云安全检测能力概述 141
5.3.2 云安全检测能力构成 142
5.3.3 云安全检测能力建设实践 145
5.4 云安全响应能力建设 147
5.4.1 云安全响应能力概述 148
5.4.2 云安全响应能力构成 150
5.4.3 云安全响应能力建设实践 151
5.5 云安全恢复能力建设 154
5.5.1 云安全恢复能力概述 155
5.5.2 云安全恢复能力构成 155
5.5.3 云计算恢复能力建设实践 156
第6章 云安全动手实验——基础篇 158
6.1 Lab1：手工创建个根用户账户 162
6.1.1 实验概述 162
6.1.2 实验步骤 162
6.1.3 实验总结 165
6.1.4 策略示例 166
6.1.5 实践 168
6.2 Lab2：手工配置个IAM用户和角色 169
6.2.1 实验概述 169
6.2.2 实验架构 169
6.2.3 实验步骤 169
6.2.4 实验总结 177
6.2.5 策略逻辑 177
6.2.6 策略示例 180
6.3 Lab3：手工创建个安全数据仓库账户 182
6.3.1 实验概述 182
6.3.2 实验架构 182
6.3.3 实验步骤 183
6.3.4 实验总结 187
6.4 Lab4：手工配置个安全静态网站 187
6.4.1 实验概述 187
6.4.2 实验架构 187
6.4.3 实验步骤 187
6.4.4 实验总结 194
6.5 Lab5：手工创建个安全运维堡垒机 194
6.5.1 实验概述 194
6.5.2 实验场景 194
6.5.3 实验架构 195
6.5.4 实验步骤 196
6.5.5 实验总结 203
6.6 Lab6：手工配置个安全开发环境 203
6.6.1 实验概述 203
6.6.2 实验场景 204
6.6.3 实验架构 204
6.6.4 实验步骤 204
6.6.5 实验总结 208
6.7 Lab7：自动部署IAM组、策略和角色 209
6.7.1 实验概述 209
6.7.2 实验架构 209
6.7.3 实验步骤 209
6.7.4 实验总结 219
6.8 Lab8：自动部署VPC安全网络架构 219
6.8.1 实验概述 219
6.8.2 实验架构 220
6.8.3 实验步骤 220
6.8.4 实验总结 224
6.9 Lab9：自动部署Web安全防护架构 224
6.9.1 实验概述 224
6.9.2 实验架构 224
6.9.3 实验步骤 225
6.9.4 实验总结 229
6.10 Lab10：自动部署云WAF防御架构 229
6.10.1 实验概述 229
6.10.2 实验目标 229
6.10.3 实验步骤 230
6.10.4 实验总结 234
第7章 云安全动手实验——提高篇 235
7.1 Lab1：设计IAM高级权限和精细策略 235
7.1.1 实验概述 235
7.1.2 实验场景 235
7.1.3 实验步骤 236
7.1.4 实验总结 248
7.2 Lab2：集成IAM标签细粒度访问控制 249
7.2.1 实验概述 249
7.2.2 实验条件 249
7.2.3 实验步骤 249
7.2.4 实验总结 266
7.3 Lab3：设计Web应用的Cognito身份验证 266
7.3.1 实验概述 266
7.3.2 实验场景 267
7.3.3 实验架构 267
7.3.4 实验步骤 269
7.3.5 实验总结 287
7.4 Lab4：设计VPC EndPoint安全访问策略 287
7.4.1 实验概述 287
7.4.2 实验架构 288
7.4.3 实验步骤 289
7.4.4 实验总结 318
7.5 Lab5：设计WAF高级Web防护策略 318
7.5.1 实验概述 318
7.5.2 实验工具 319
7.5.3 部署架构 319
7.5.4 实验步骤 320
7.5.5 实验总结 328
7.6 Lab6：设计SSM和Inspector漏洞扫描与加固 329
7.6.1 实验概述 329
7.6.2 实验步骤 329
7.7 Lab7：自动部署云上威胁智能检测 338
7.7.1 实验概述 338
7.7.2 实验条件 338
7.7.3 实验步骤 338
7.7.4 实践总结 342
7.8 Lab8：自动部署Config监控并修复S3合规性 343
7.8.1 实验概述 343
7.8.2 实验架构 343
7.8.3 实验步骤 344
7.8.4 实验总结 360
7.9 Lab9：自动部署云上漏洞修复与合规管理 360
7.9.1 实验模块1：使用Ansible与Systems Manager的合规性管理 360
7.9.2 实验模块2：监控与修复Windows的RDP漏洞 373
7.9.3 实验模块3：使用AWS Systems Manager和Config管理合规性 382
第8章 云安全动手实验——综合篇 390
8.1 Lab1：集成云上ACM私有CA数字证书体系 390
8.1.1 实验概述 390
8.1.2 实验架构 391
8.1.3 实验步骤 391
8.1.4 实验总结 430
8.2 Lab2：集成云上的安全事件监控和应急响应 431
8.2.1 实验概述 431
8.2.2 用户场景 431
8.2.3 部署架构 431
8.2.4 实验步骤 432
8.2.5 实验总结 456
8.3 Lab3：集成AWS的PCI-DSS安全合规性架构 457
8.3.1 实验概述 457
8.3.2 部署模板 458
8.3.3 实验架构 462
8.3.4 实验步骤 465
8.3.5 实验总结 475
8.4 Lab4：集成DevSecOps安全敏捷开发平台 475
8.4.1 实验概述 475
8.4.2 实验条件 476
8.4.3 实验步骤 476
8.4.4 实验总结 494
8.5 Lab5：集成AWS云上综合安全管理中心 494
8.5.1 实验概述 494
8.5.2 实验场景 494
8.5.3 实验条件 494
8.5.4 实验模块1：环境构建 495
8.5.5 实验模块2：安全中心视图 496
8.5.6 实验模块3：安全中心自定义 503
8.5.7 实验模块4：自定义处置与响应 512
8.5.8 实验模块5：自动化补救与响应 519
8.6 Lab6：AWS WA Labs动手实验 525
8.6.1 AWS WA Tool概念 525
8.6.2 AWS WA Tool作用 526
8.6.3 AWS WA Labs实验 527
8.6.4 AWS WA Tool使用 536
8.6.5 AWS WA Tool安全实践 536
第9章 云安全能力评估 543
9.1 云安全能力评估的原则 543
9.1.1 云安全能力的评估维度 543
9.1.2 安全能力等级要求 545

前    言

云计算产业的发展已经进入第二个十年，云计算作为一种基础设施已经开始大规模支持各行各业的发展。本书在参考软件工程的思想和NIST CSF（National Institute of Standards and Technology Cybersecurity Framework，美国国家标准与技术研究院网络安全框架）的基础上，将云计算安全能力建设对应到NIST CSF中，从云计算安全能力建设的角度由浅入深地总结云计算安全产业实践的基本常识、云安全能力构建的基础实验与云计算产业安全的综合实践。我们希望本书能够对云计算相关产业的安全能力建设起到参考作用。

本书编写原则：①少而精。只介绍与云安全相关的成熟的知识、技术、方法与实践。②自成逻辑。每个章节既可以自成体系，又可以作为本书的一部分来构成整体知识体系。③由浅入深，从入门到精通。在介绍基本原理的基础上，以云计算应用安全能力建设为主，重点介绍在云安全能力建设中的典型案例与实验。

本书共分为11章。

第1章介绍云安全的基础知识，包括云计算的基本定义、云计算的发展阶段、云安全的定义、云安全的理念与责任共担模型、云安全产业的发展，以及基于云计算的安全产品。

第2章介绍云安全相关的几种框架和体系，重点介绍NIST CSF和云采用框架（Cloud Adoption Framework，CAF），其他的安全体系作为补充简要介绍。

第3章介绍云安全治理模型，主要从战略的视角介绍如何选择云安全治理模型、如何构建云安全治理模型和如何实践云安全治理模型。其目的是为不同规模的用户提供自上而下的参考模型，为不同安全要求的用户提供可参考的云安全规划设计架构。

第4章介绍云安全的需求、规划、建设和实施路径。不同行业、不同规模的公司对云安全起点的要求是不一样的。为了更好地帮助用户选择适合自己的安全建设目标和路径，我们基于Security by Design (SbD)方法将用户的实际情况和发展方式进行了梳理，从而为用户提供可参考的、持续的云安全规划和建设路径。

第5章将云计算安全建设实践对应到NIST CSF框架中，以Amazon Web Services（本书中简称为AWS）云原生安全产品和服务为例，介绍在云计算安全建设实践中与NIST CSF对应的云安全识别能力、云安全保护能力、云安全检测能力、云安全响应能力和云安全恢复能力。

第6?8章为基础篇、提高篇和综合篇，分别介绍云安全综合能力建设的实践与实验。

第6章基础篇是云上基础安全实验，适合云安全初学者，主要目的是帮助初学者动手操作，快速学习云上基本的安全策略、安全功能和安全服务，并帮助读者学习配置自动部署云安全实验场景和安全实践。其包括10个基础实验：手工创建个根用户账户；手工配置个IAM用户和角色；手工创建个安全数据仓库账户；手工配置个安全静态网站；手工创建个安全运维堡垒机；手工配置个安全开发环境；自动部署IAM组、策略和角色；自动部署VPC安全网络架构；自动部署Web安全防护架构；自动部署云WAF防御架构。

第7章提高篇是云上安全进阶实验组，主要目的是帮助读者深入学习云上的安全服务和技术，深度体验云上安全能力的设计与实现。其包括9个提高实验：设计IAM高级权限和精细策略；集成IAM标签细粒度访问控制；设计Web应用的Cognito身份验证；设计VPC EndPoint安全访问策略；设计WAF高级Web防护策略；设计SSM和Inspector漏洞扫描与加固；自动部署云上威胁智能检测；自动部署Config监控并修复S3合规性；自动部署云上漏洞修复与合规管理。

第8章综合篇是云上安全综合实验组，主要目的是帮助读者全面进行自定义安全集成和综合复杂安全架构的设计与实现。其包括6个综合实验：集成云上ACM私有CA数字证书体系；集成云上的安全事件监控和应急响应；集成AWS的PCI-DSS安全合规性架构；集成DevSecOps安全敏捷开发平台；集成AWS云上综合安全管理中心； AWS Well-Architected Labs动手实验。

第9章介绍云安全能力评估。本章基于CAF和CSF模型，聚焦于指导企业评估采用云服务时应具备的安全能力，以及如何保证云上安全建设与主流云厂商的实践保持一致。本章从评估原则、范围、方法等角度出发，指导企业从实际出发评估云上安全能力，从实际出发制定自己的建设计划。

第10章以AWS的认证体系和竞训平台为例，帮助企业了解不同知识储备的员工可以通过哪些课程、认证和训练平台来培养、改进和提升云计算及云安全的技能。

第11章介绍云安全的发展趋势与云安全面临的挑战。

本书可以作为云计算相关行业从业者和具备基本计算机知识的学生，从入门到精通学习云安全实践的技术参考书。

云计算技术和安全技术发展得很快，本书的内容可能存在遗漏甚至错误的地方，恳请读者不吝批评指正。

本书得到了亚马逊AWS大中华区产品部总经理顾凡先生，亚马逊AWS大中华区市场部总经理邱胜先生，亚马逊AWS大中华区公共关系部门总监钟敏先生的大力支持。本书得到了电子工业出版社的大力支持，电子工业出版社编辑李淑丽女士为本书的出版做了大量的工作。

本书还得到了业界专家学者的评审和推荐，还有一些专家学者和朋友评阅了本书的初稿，在此一并致以诚挚的谢意。没有你们的支持就不可能有本书的顺利出版，谢谢你们！

后要感谢我的儿子。在家写稿的过程中，他常常站在我的身旁看我写作，并询问一些有关亚马逊在中国发展情况的问题，他也热切地期盼着本书的出版，他的关注给了我完成本书的动力。

王绍斌

2021年5月22日

本书在密切关注和跟踪云计算及安全技术进展的同时，在专业领域也涉及广泛：介绍了CSF，CAF，GDPR等多个与云基础设施、云治理、云规划和云数据密切相关的安全框架；介绍了ATT&CK、零信任等前沿防护体系理念；在为读者提供顶层视角的同时，还从云安全的实操出发，从基础到提高，再到综合应用，精心设计了多个云安全技术实验，使理论与实践相互印证、切实“落地”；还从能力验证与评估的角度给企业提供了安全“上云”的行动指南，是一本不可多得的广度与深度兼具、理论与实践交相辉映的云安全领域新作。

卿昱 中国电子科技网络信息安全有限公司董事长、党委书记  中国电子科技集团公司第三十研究所所长、党委书记

本书系统地介绍了云计算安全的基础知识和技术方法，以及云计算安全能力建设的实践经验，对“上云”行业的各个部门提高云计算安全能力具有重要的参考价值。本书深入浅出，不仅能使读者真正达到从入门到精通，而且也是云计算安全从业人员不可多得的实操参考书，特此推荐！

李新友   国家信息中心首席工程师   国家信息中心网络安全部副主任  《信息安全研究》主编

等级保护2.0提出了网络安全战略规划目标，定级对象从传统的信息系统扩展到网络基础设施、信息系统、大数据、云计算平台、工业控制系统、物联网系统、采用移动互联技术的信息系统等。网络安全综合防御体系包含安全技术体系、安全管理体系、风险管理体系、网络信任体系；覆盖全流程的机制能力措施包括组织管理、机制建设、安全规划、安全监测、通告预警、应急处置、态势感知、能力建设、技术检测、安全可控、队伍建设、教育培训、经费保障。

本书作者作为亚马逊云计算公司的安全从业人员，在总结云计算安全实践的基础上，将云计算安全能力建设由浅入深地进行了系统总结，这对云计算行业应用和产业发展，对进安全等级保护制度，对提高各行各业的安全能力建设，都具有重要的参考价值，也是读者学习云安全能力建设实践的重要参考。

李超  公安部研究所研究员

云计算产业的发展已经进入第四代，作者作为亚马逊云安全的资深专家，编写的这本权威著作，以亚马逊云安全实践技术为主线，非常清晰地描述了云安全的概念、技术体系和实践方法，并通过基础篇、提高篇和综合篇，帮助读者由浅入深地进行云安全的实践与动手实验。本书对于致力于网络空间安全专业学习和实践的本科生和研究生，以及致力于云安全综合能力建设的不同规模和不同行业的从业人员来说，都是一本极佳的实践性教材和实用指南。

沈晴霓  北京大学教授，博士生导师

我认识王绍斌博士好多年了，他一直深耕在安全计算领域，孜孜不倦。本书理论结合实践，可读性强，是他在云计算领域中不断耕耘的又一丰硕果实。

陈震  清华大学教授

未来的时代将是云的时代，而云安全是云计算走入千家万户的前提。本书作者在全球领先的云计算公司工作多年，将云安全的基础理论结合实践娓娓道来、深入浅出，相信能够帮助读者快速进入云安全领域，并加深对云安全相关知识的理解。除了基础理论，本书还设计了大量的综合性实验，以实践验证理论，既可以作为教材，也可以作为云安全的技术参考书。

陈晶  武汉大学教授，博导生导师

这本书实践性很强，而且覆盖了云计算安全的方方面面。以AWS为主，兼顾其他主要云服务环境，涵盖了美国、欧洲和中国等主要相关标准和治理体系，值得专业人士和入门人员一读。

赵粮  绿盟科技海外业务COO

本书作者在云安全方面有丰富的经验，本书内容注重理论和实践结合，既包括云安全相关的体系和模型，也包括动手实验，同时还介绍了国内外，如NIST有关安全合规方面的要求，非常全面和实用。

薛锋  微步在线创始人，CEO

本书充满了作者对云安全问题的精彩见解，不仅全面覆盖了与公有云安全相关的基础理论，而且提供了大量的实验来指导读者构建安全能力。本书不仅把NIST的CSF对应到不同云计算安全组件，同时提供怎样使用这些组件进行动手实验，既解决了为什么这么做的问题，也解决了怎么做的问题。

张明  Two Sigma（腾胜投资）前架构副总裁

本书作者在云计算安全领域深耕多年，有非常丰富的经验，其带领AWS中国安全团队很多年，对于企业如何安全“上云”，有着很高的造诣及丰富的实战经验。这本书由作者多年的经验沉淀所成，其中的构思、覆盖范围、文笔及具体案例，让我这个工作多年的安全老兵也赞叹不已。

如书名所言，本书偏重实践，也就是干货，通过动手实验的方式，让你从容处理从基础到提高，再到综合应用的不同安全场景。同时，本书也从更高维度来阐述云安全，如和不同安全体系的结合（NIST，CAF、GDPR、零信任、ISO 27000等），以及云安全的推荐建设路径。 本书理论结合实践，非常值得一看。

欧建军  百济神州首席信息安全官  沃尔沃汽车亚太区前首席信息安全官

云计算技术经过十多年的发展，已经成为各行各业数字化建设中必不可少的一部分。无论是使用公有云，还是构建私有云和混合云，云计算安全体系的建设都至关重要。绍斌师兄长期工作在云安全的一线，其新作《云计算安全实践——从入门到精通》，既有丰富的安全理论知识，又有基于实战总结出来的实践与动手实验。对于想深入了解和实践云计算安全体系建设的人员具有非常大的参考价值。

李华  北京海云捷迅科技有限公司联合创始人，董事长