本書分為四個部分:第1章和第2章涵蓋云計算的背景和安全理念,引入可信云的概念。討論了啟用和實例化可信基礎設施的關鍵應用模型,這是可信云的基礎。此外,這些章節還討論了包括解決方案架構和組件說明的應用模型。第3~5章包括啟用可信基礎設施的用例,解決方案架構和技術組件,強調可信計算,證明的作用,證明方案,以及云中的地理圍欄和邊界控制。第6章和第7章提供了云中身份管理和控制,以及網絡安全相關的有趣觀點。第8章將可信的概念擴展到虛擬機和工作負載,包括建立在先前討論過的可信計算池基礎之上的參考架構和組件。第9章全面闡述了安全云爆發參考架構,并匯集了此前章節討論過的所有概念和方法的具體實現。
Contents?目 錄
序
推薦序
譯者序
作者簡介
審校者簡介
前言
致謝
第1章云計算基礎 1
1.1云的定義 2
1.1.1云的本質特征 2
1.1.2云計算服務模型 3
1.1.3云計算部署模型 4
1.1.4云計算價值定位 5
1.2歷史背景 6
1.2.1傳統的三層架構 7
1.2.2軟件的演進:從煙筒式應用到服務網絡 8
1.2.3云計算是IT新模式 10
1.3服務即安全 11
1.3.1新的企業安全邊界 12
1.3.2云安全路線圖 16
1.4總結 16
第2章可信云:安全與合規性表述 17
2.1云安全考慮 17
2.1.1云安全、信任和保障 19
2.1.2影響數據中心安全的發展趨勢 20
2.1.3安全性和合規性面臨的挑戰 22
2.1.4可信云 24
2.2可信計算基礎設施 24
2.3可信云應用模型 25
2.3.1啟動完整性應用模型 27
2.3.2可信虛擬機啟動應用模型 29
2.3.3數據保護應用模型 30
2.3.4運行態完整性和證明應用模型 30
2.4云租戶的可信云價值定位 31
2.5總結 32
第3章平臺啟動完整性:可信計算池的基礎 34
3.1可信云構件 34
3.2平臺啟動完整性 35
3.2.1英特爾TXT平臺的信任根——RTM、RTR和RTS 36
3.2.2被度量的啟動過程 36
3.2.3證明 39
3.3可信計算池 40
3.3.1TCP的操作原則 41
3.3.2池的創建 42
3.3.3工作負載配置 42
3.3.4工作負載遷移 43
3.3.5工作負載/云服務的合規性報告 43
3.4TCP解決方案參考架構 43
3.4.1硬件層 44
3.4.2操作系統/虛擬機監視器層 45
3.4.3虛擬化/云管理和驗證/證明層 46
3.4.4安全管理層 47
3.5參考實現:臺灣證券交易所案例 49
3.5.1TWSE的解決方案架構 50
3.5.2可信計算池用例的實例化 51
3.5.3HyTrust的遠程證明 52
3.5.4使用案例:創建可信計算池和工作負載遷移 54
3.5.5McAfee ePO的安全性和平臺可信性集成與擴展 54
3.6總結 58
第4章證明:可信性的驗證 59
4.1證明 59
4.1.1完整性度量架構 61
4.1.2基于簡化策略的完整性度量架構 61
4.1.3基于語義的遠程證明 62
4.2證明流程 62
4.2.1遠程證明協議 62
4.2.2完整性度量流程 64
4.3首個商業化證明實現:英特爾可信證明平臺 65
4.4Mt.Wilson平臺 67
4.4.1Mt.Wilson架構 68
4.4.2Mt.Wilson證明流程 70
4.5Mt.Wilson的安全性 73
4.6Mt. Wilson的可信、白名單和管理API 74
4.6.1Mt.Wilson API 75
4.6.2API請求規范 75
4.6.3API響應 77
4.6.4Mt. Wilson API的使用 78
4.6.5部署Mt. Wilson 78
4.6.6Mt.Wilson編程示例 79
4.7總結 82
第5章云的邊界控制:地理標記和資產標記 83
5.1地理定位 84
5.2地理圍欄 84
5.3資產標記 86
5.4使用地理標記的可信計算池 86
5.4.1階段一:平臺證明和安全虛擬機監視器啟動 88
5.4.2階段二:基于可信性的安全遷移 89
5.4.3階段三:基于可信性和地理定位信息的安全遷移 89
5.5將地理標記加入到可信計算池解決方案 90
5.5.1硬件層(服務器) 90
5.5.2虛擬機監視器和OS層 91
5.5.3虛擬化、云管理、驗證和證明層 91
5.5.4安全管理層 92
5.5.5地理標記的創建和生命周期管理 92
5.6地理標記的工作流程和生命周期 93
5.6.1創建標記 93
5.6.2發布標記白名單 94
5.6.3部署標記 94
5.6.4資產標記和地理標記的生效和失效 96
5.6.5地理標記證明 97
5.7地理標記部署架構 97
5.7.1標記部署服務 98
5.7.2標記部署代理 99
5.7.3標記管理服務和管理工具 99
5.7.4證明服務 100
5.8地理標記部署過程 102
5.8.1推模型 102
5.8.2拉模型 102
5.9參考實現 104
5.9.1步驟1 104
5.9.2步驟2 105
5.9.3步驟3 106
5.9.4步驟4 107
5.10總結 108
第6章云中的網絡安全 110
6.1云網絡 111
6.1.1網絡安全組件 111
6.1.2負載均衡 112
6.1.3入侵檢測設備 113
6.1.4應用交付控制器 113
6.2端到端的云安全 113
6.2.1網絡安全:端到端的安全——防火墻 114
6.2.2網絡安全:端到端的安全——VLAN 114
6.2.3網絡安全:端到端的安全——站點間VPN 115
6.2.4網絡安全:端到端的安全——虛擬機監視器和虛擬機 116
6.3云中的軟件定義安全 117
6.3.1OpenStack 120
6.3.2OpenStack網絡安全 121
6.3.3網絡安全功能和示例 123
6.4總結 125
第7章云的身份管理和控制 127
7.1身份挑戰 128
7.1.1身份使用 129
7.1.2身份修改 130
7.1.3身份撤銷 131
7.2身份管理系統需求 131
7.3身份管理解決方案的關鍵需求 132
7.3.1可問責 133
7.3.2通知 133
7.3.3匿名 133
7.3.4數據最小化 134
7.3.5安全性 134
7.3.6隱私性 134
7.4身份表示和案例研究 135
7.4.1PKI證書 135
7.4.2安全和隱私的探討 136
7.4.3身份聯合 137
7.4.4單點登錄 138
7.5英特爾身份技術 138
7.6總結 143
第8章可信虛擬機:云虛擬機的完整性保障 144
8.1可信虛擬機的需求 145
8.2虛擬機鏡像 147
8.3可信虛擬機概念架構 149
8.3.1Mystery Hill客戶端 150
8.3.2Mystery Hill密鑰管理和策略服務器 151
8.3.3Mystery Hill插件 151
8.3.4可信證明服務器
新書資訊