在“新型基础设施建设”中,云计算既是基础资源,也是支撑工具,为人工智能、大数据、5G等新兴技术提供系统支撑。随着“新型基础设施建设”的推进,云计算在各个行业发展迅速、部署广泛。然而,在实际的应用中,云计算的安全问题越来越不可忽视,引起学术界和产业界的广泛关注,急需具有相关知识和技能的专业人才。
云计算安全涉及的内容非常广泛,包括数据安全、平台安全、网络安全、应用安全等许多方面,每个方面又包含了非常丰富的内容,云计算安全又是一门迅速发展的新兴技术,新的技术方法和工具不断出现。因此,一本书不可能包含云计算安全的全部内容。本书是云计算安全的入门介绍图书,着重阐述云计算的基本概念和基本原理、云计算安全的关键技术与核心技术,同时也注重知识的全面性、系统性和前沿性。
本书内容共11章,其中标有☆的章节是一些具有前沿性和研究性的知识,可以作为研究生的教学内容或本科生的扩展阅读。
第1章(由孙磊、胡翠云编写)云计算基础。本章详细描述了云计算的起源、云计算的定义、云计算的特点、云计算的部署模式、云计算的服务模型、云计算的总体架构,并介绍了开源的云操作系统OpenStack。
第2章(由孙磊、胡翠云编写)云计算安全概述。本章全面分析了云计算的安全需求、云计算面临的安全威胁及造成这些安全威胁的缘由,并介绍了云计算的安全体系。
第3章(由胡翠云、郭松辉、郭松编写)主机虚拟化安全。本章介绍了虚拟化技术的基本概念和架构,以及CPU、内存、I/O虚拟化技术,全面分析了虚拟化平台的安全威胁和安全攻击,阐述了虚拟化平台的安全机制。
第4章(由胡翠云、郭松辉编写)容器安全。本章介绍了容器技术的基本概念和隔离机制,分析了容器面临的安全威胁,从软件和硬件两个方面阐述了容器的安全机制。
第5章(由胡翠云、郭松辉、郭松编写)网络虚拟化安全。本章详细分析了传统网络技术在云计算环境中的不足,介绍了云计算环境下的Overlay技术、软件定义网络、网络功能虚拟化等网络虚拟化技术,并对其安全问题和安全技术进行分析和介绍;此外,从实用的角度介绍了虚拟私有云和软件定义安全及其在云数据中心的安全方案。
第6章(由孙磊、胡翠云编写)云数据安全。本章分析了云数据面临的安全威胁,介绍了云数据安全技术体系,详细阐述了云数据的加密存储机制,最后介绍了云密文数据的安全搜索和云密文数据的安全共享等前沿技术。
第7章(由胡翠云、孙磊编写)云计算安全认证。本章介绍了云计算环境中的认证需求、主要安全认证技术和主要安全认证协议,并以OpenStack的身份认证系统为例介绍了云计算安全认证系统的实现。
第8章(由胡翠云、孙磊编写)云计算访问控制。本章详细阐述了云租户内部、云代理者和不可信第三方应用的临时授权三种场景中的访问控制机制,介绍了基于任务的访问控制、基于属性的访问控制、基于UCON模型的访问控制和基于属性加密的访问控制等4种云访问控制模型。
第9章(由胡翠云、孙磊编写)云数据安全审计技术。本章介绍了云数据安全审计框架的整体结构,描述了数据持有性证明和数据可恢复性证明的核心机制。
第10章(由孙磊、胡翠云、赵锟编写)密码服务云。本章介绍了主流的云密码服务,让读者对现有的密码服务有一个整体的认识,阐述了密码服务云的总体架构、系统和工作原理。
第11章(胡翠云、孙磊、毛秀青编写)零信任模型。本章分析了零信任产生的背景和发展历程,阐述了零信任体系,包括零信任访问模型、原则、核心技术和体系组成,介绍了零信任的典型安全应用。
本书注重理论联系实际,内容丰富多彩且图文并茂,不仅介绍云计算安全技术是什么,还从技术提出的背景出发,介绍相关云计算安全技术的提出意义。为满足零基础读者的需要,本书内容深入浅出,用通俗易懂的语言详细介绍云计算的相关理论及技术。此外,本书还注重知识与技术的系统性,以便读者在全面了解云计算安全体系的同时,掌握云计算安全关键技术,了解当前最新的云计算安全前沿技术。
本书可作为高等院校信息安全、计算机等相关专业的课程教材,也可作为广大云计算运维人员、云计算安全开发人员及对云计算安全感兴趣的读者的参考用书。
在本书的编写过程中,特别感谢丁志毅、钱大赞、杨宇、宋云帆、郝前防、王淼、张帅、杨有欢、汪小芹、韩松莘、赵敏、于淼、徐八一等研究生,他们为绘制本书中的图表花费了大量的时间和精力。
感谢电子工业出版社出版团队的辛勤工作。
本书仅代表编者及研究团队对于云计算安全的观点,由于编者水平有限,书中难免存在不准确或不足之处,恳请读者批评指正,以便后续的改进和完善。
编 者
2023年5月