关于本书

本书是为Sam写的，她是一个虚构出来的人物，她从一开始就从事IT工作，在过去的几年时间里，她一直在做运维工作，同时也承担一些开发工作。Sam最近在Flycare找到了一份DevOps工程师的工作。Flycare正在构建一个管理医疗发票和账单的Web和移动平台。这是一家小型创业公司：两名运维人员加五名全职开发人员，还有几名业务人员。麻雀虽小，但数据健康的风险却不小，他们希望Sam能够搭建一个安全的平台来运行Web服务。

这也是Sam求之不得的挑战，但是对于开发人员喜欢一天三次将GitHub的代码部署到Docker容器中的一家创业公司来说，保护这样一个高风险的平台将会非常困难。她需要一些帮助，于是我写了这本书来帮助Sam。

本书是如何组织的

《云原生安全与DevOps保障》的结构就像一份教程，从基本的运维理念开始，确保读者先掌握最基本的DevOps技术，再逐步深入更复杂的主题。我们将在第1部分深入研究一个示例环境的安全性，在第2部分识别和对抗攻击，在第3部分完善组织的安全策略。这些章节的顺序也反映出一个还没有建立安全策略或者刚刚采用DevOps的组织实现安全策略的方式。这是一本包含了大量概念而且实践性很强的手册，你一定有机会将理论应用到实践之中。

路线图

第1章将阐述DevOps的概念，以及安全性和开发、运维实践紧密结合的必要性。你将了解我们用整本书来实现的持续安全方法。

第1部分从第2章开始，到第6章结束，将带领读者了解如何保障一条完整DevOps流水线的安全。

•第2章将介绍构建在AWS上的DevOps流水线。你将搭建一条流水线去自动化地部署一个示例应用。一开始它并不安全，我们将指出需要改进的地方，并在接下来的章节里逐一解决。

•第3章将阐述Web应用的安全性。我们将讨论如何测试网站，如何防止常见攻击，如何管理用户身份验证，以及如何使代码保持最新。

•第4章将着重介绍如何加固AWS基础设施。你将了解到如何将安全测试作为自动化部署的一部分来执行，如何限制网络访问，如何保护对基础设施的访问，以及如何保护数据库。

•第5章将深入讨论通信安全，讨论HTTPS下的加密协议TLS，以及如何正确地实现TLS以达到保护网站的目的。

•第6章将论述交付流水线的安全性。我们将讨论如何管理GitHub、Docker Hub和AWS中的访问控制。你还将了解到如何保护源代码和容器的完整性，以及如何向应用分发凭证。

第2部分从第7章开始，到第10章结束，重点关注如何监控基础设施中的异常，以及如何保护服务免受攻击。

•第7章将阐述日志流水线的结构。你将看到收集、串流、分析、存储和访问这五层如何协作以便能有效地对日志进行处理。

•第8章将着重介绍日志流水线中的分析层。你将运用各种技术来处理日志，并检测异常和欺诈活动。

•第9章将探讨入侵检测。我们将讨论在网络、系统和人员这三个层次中用于检测欺诈活动的工具和技术。

•第10章将给出一个发生在虚构组织中的安全事件案例研究。你将了解如何应对和响应安全事件，以及如何从安全事件中恢复。

第3部分从第11章开始，到第13章结束，将教你完善DevOps组织安全策略的技术。

•第11章将介绍风险评估。你将了解CIA三要素（保密性、完整性和可用性），以及STRIDE和DREAD两种威胁建模框架。你还将了解如何在组织中实施轻量的风险评估框架。

•第12章将探讨Web应用、源代码和基础设施三个层级的安全测试。我们将讨论各种可以用来查找组织中安全问题的工具和技术。

•第13章将介绍一个在组织中实现持续安全的三年模型，并分享一些能增加成功机会的技巧。

关于代码

本书包含许多短小的命令和示例，还有一些完整的应用代码。书中的源代码采用fixed-width font like this这样的等宽字体，与正文加以区分。有时代码也会使用粗体，强调在前面步骤中发生变化的代码，例如在原有代码行中添加的新特性。书中的全部代码示例都可以从电子工业出版社博文视点官网（www.broadview.com.cn）上下载。

读者服务

•获取博文视点学院20元付费内容抵扣券

•获取本书配套代码、外链列表

•获取更多技术专家分享的视频与学习资源

•加入读者交流群，与更多读者互动