這是一部從安全即服務（Security as a Service）的角度講解雲安全的著作。

作者有超過15年的安全行業工作經驗，超過8年的雲計算行業工作經驗，曾就職於IBM和綠盟科技，本書是他多年工作經驗的總結。作者結合自己在雲計算和安全領域的經驗，詳細講解了安全即服務的五個重點發展領域：雲掃描、雲清洗、雲防護、雲SIEM、雲IAM。針對每個領域，從實際需求、實現原理、技術架構、常用工具等角度進行了詳細闡述，並且提供了多個測試用例，通過這些測試用例，讀者可以很容易對雲安全有清晰的理解。

全書共5章，主要內容如下。

第1章 雲掃描
首先介紹了掃描的主要內容（資產掃描、漏洞掃描、網站掃描以及安全配置核查）和常用的掃描工具；然後介紹了雲掃描的概念、架構以及服務提供商和產品的選擇；

第2章 雲清洗
首先介紹了DDoS攻擊的概念、形成和危害，以及DDoS攻擊的類型和防御手段，然後講解了雲清洗的技術原理、流量牽引方式以及服務提供商和產品的選擇；

第3章雲防護
首先介紹了Web應用的常見攻擊方式、攻擊場景、攻擊工具和防御方式，然後介紹了雲WAF的功能使用、部署架構，以及服務提供商和產品的選擇；

第4章 雲SIEM
首先介紹了SIEM的功能模塊、技術架構和產品選型，然後講解了雲SIEM的概念、部署架構、優缺點，以及服務提供商和產品的選擇；

第5章 雲IAM
首先介紹了與IAM相關的用戶、賬號、身份管理、認證、授權、單點登錄方面的知識，然後講解了雲IAM的概念、優缺點以及服務提供商和產品的選擇。

Contents  目錄
前言
第1章雲掃描  1
1.1掃描簡介  1
1.1.1資產掃描  3
1.1.2漏洞掃描  7
1.1.3網站掃描  9
1.1.4安全配置核查  12
1.2掃描工具  13
1.2.1商用產品  13
1.2.2資產掃描  15
1.2.3漏洞掃描  20
1.2.4網站掃描  33
1.2.5安全配置核查  34
1.3雲掃描服務  36
1.3.1雲掃描簡介  36
1.3.2選擇服務提供商的考慮因素  38
1.3.3國際服務提供商  39
1.3.4國內服務提供商  45
第2章雲清洗  46
2.1DDoS攻擊簡介  46
2.2DDoS攻擊的危害  47
2.3DDoS攻擊的形成  48
2.4DDoS攻擊的類型和防御手段  54
2.4.1DDoS攻擊分類與通用防御手段  54
2.4.2TCP SYN Flood Attack  57
2.4.3UDP Flood Attack  64
2.4.4DNS Query Flood Attack  70
2.4.5UDP-Based Amplification Attack  77
2.4.6Ping Flood Attack/Ping of Death Attack/Smurf Attack  85
2.4.7HTTP Flood Attack  88
2.4.8Low and Slow Attack  94
2.5雲清洗服務簡介  99
2.6雲清洗服務的流量牽引方式  100
2.6.1DNS牽引  100
2.6.2BGP牽引  104
2.7雲清洗服務提供商  107
2.7.1選擇服務提供商的考慮因素  107
2.7.2國內服務提供商  112
2.7.3國際服務提供商  113
第3章雲防護  115
3.1Web安全簡介  115
3.2Web應用面臨的常見風險  116
3.2.1OWASP  116
3.2.2SQL Injection  122
3.2.3Cross Site Scripting  142
3.3Web應用的防御工具—WAF  164
3.4Nginx ModSecurity  168
3.4.1ModSecurity  168
3.4.2Nginx ModSecurity的安裝步驟  169
3.4.3Nginx ModSecurity的簡單測試  172
3.5OpenResty ngx_lua_waf  173
3.5.1OpenResty的簡要介紹  173
3.5.2ngx_lua_waf的簡要介紹  173
3.5.3OpenResty ngx_lua_waf的安裝步驟  174
3.5.4OpenResty ngx_lua_waf的簡單測試  176
3.6雲WAF  176
3.6.1雲WAF簡介  176
3.6.2雲WAF的部署架構  177
3.6.3雲WAF的優缺點  178
3.6.4選擇服務提供商的考慮因素  180
3.6.5國內服務提供商  181
3.6.6國際服務提供商  182
第4章雲SIEM  185
4.1SIEM簡介  185
4.1.1SIEM的理念  186
4.1.2SIEM的業務驅動力  187
4.2SIEM的功能模塊  188
4.2.1數據源  188
4.2.2采集與處理  192
4.2.3關聯與分析  196
4.2.4展現與響應  202
4.3SIEM的技術架構  208
4.3.1IBM QRadar  209
4.3.2AlienVault OSSIM  213
4.4SIEM產品  226
4.4.1SIEM的商用產品  226
4.4.2SIEM的開源產品  229
4.4.3選擇SIEM的考慮因素  254
4.5雲SIEM服務  256
4.5.1雲SIEM簡介  256
4.5.2雲SIEM的部署架構  256
4.5.3雲SIEM的優缺點  257
4.5.4混合SIEM   258
4.5.5選擇服務提供商的考慮因素  259
4.5.6國內服務商  259
第5章雲IAM  270
5.1IAM簡介  270
5.2用戶和賬號  271
5.2.1目錄服務器  272
5.2.2OpenLDAP  274
5.3身份管理  278
5.3.1身份管理簡介  278
5.3.2身份管理平臺的功能架構  279
5.4認證  286
5.4.1認證方式  286
5.4.2認證手段  288
5.5授權  296
5.5.1授權簡介  296
5.5.2授權模型  297
5.5.3OAuth  300
5.6單點登錄  314
5.6.1單點登錄的介紹  314
5.6.2單點登錄的場景  315
5.6.3單點登錄的實現  316
5.6.4SAML  318
5.6.5CAS  338
5.6.6Cookie  342
5.6.7OpenID Connect  350
5.7雲IAM服務  355
5.7.1雲IAM簡介  355
5.7.2雲IAM優勢  356
5.7.3選擇服務提供商的考慮因素  357
5.7.4國際服務商  358
5.7.5國內服務商  363

Preface  前言
為什麼要寫這本書
筆者一直在做雲計算、雲安全方面的工作。單就安全即服務（Sec-aaS）這個領域來說，相比國際市場，國內無論從技術成熟度、產品豐富度還是客戶接受度，都要落後不少。雖然國內的安全市場有自己獨有的特色，但我還是覺得應該寫點有關雲安全的東西，多做些宣傳與普及，為國內雲安全市場的發展貢獻一份從業者的力量。
按照以往的規律，國內的IT發展通常會滯後國際幾年的時間。以雲計算為例，從一開始的普遍質疑到現在的全民接受，經歷了5年以上的時間。安全即服務作為國際市場中被普遍接受的一種高效的模式，國內現在正處在質疑和逐步了解階段，估計還需要很長一段時間纔能被廣泛接受。
除了安全即服務之外，我在本書中還介紹了不少可供企業使用的開源、免費產品和平臺。開源產品雖然可能沒有商用產品那麼好用，技術支撐力度也沒有那麼大，但對於很多企業來說也不失為一種選擇，因為其既可以作為一個安全的起步產品，又可以作為很多商用產品的補充。畢竟，在整體安全架構中，產品隻是其中一部分，企業沒必要把所有的費用都放在商用產品上，選擇適合企業的、有較好ROI的產品纔是“王道”。
這是我人生中次寫書。感覺寫書就像一個人跑馬拉松，需要堅持，需要毅力。我中間多次都想放棄，不寫了，太累了，但還是咬牙堅持下來了，也很欣慰自己可以堅持到後。在整個過程中，因為涉及很多技術和產品的細節，所以我查閱了大量資料，很多原先不太關注的內容，通過這次寫書也做了補充。這是一個痛並快樂的過程，感覺又回到了十多年前考CISSP的那段時間。其實，企業做安全也一樣，不知道攻擊會從何而來，何時會來，平常大多都是在做一些重復性的、枯燥乏味的工作，同樣既需要堅持也需要毅力，更需要沉下心，把細節做好、做扎實。
作為本書的前言，真心想給企業提個建議，雖然來自眾多安全廠商的產品可以幫助企業解決很多問題，但還是不要太依賴於產品。企業並不是有了產品，就可以做到萬無一失、高枕無憂，企業還是要把更多時間、精力、預算花在平時一點一滴的、細致的預防性工作上，例如搞清企業內都有哪些資產，每個資產的安全現狀是什麼樣的，會不會受到發布的漏洞影響，密碼策略是不是到位，操作繫統的安全配置是不是正確等。這些都和安全產品無關，而且都是些不起眼的工作，卻能夠幫助企業防範很多攻擊行為。這就像我們的身體一樣，每天都堅持跑步、健身，身體變強壯了，小病小災也就不用擔心了。
後，非常感謝關注本書的朋友們。無論是企業的安全負責人、運維人員，還是剛剛接觸安全的愛好者，希望大家都能夠從本書中有所收獲，哪怕隻有一點點，我也會覺得在寫書過程中的所有堅持和努力都是值得的了。
本書特色
本書比較全面地介紹了安全即服務領域中的幾個重點發展方向，雖然每章的篇幅都不是很大，但包括了這幾個重點發展方向的基本概念、原理、架構。同時，還對很多開源工具、軟件、平臺做了詳細介紹，包括安裝、配置、測試等內容，用來幫助讀者還原測試場景。本書從安全即服務的角度來介紹安全，有一定的深度和廣度，相信能夠給讀者帶來一些新的思路和收獲。
讀者對像
企業的安全負責人員、運維人員。
企業上雲過程中的安全技術人員。
安全即服務的負責人員、技術人員。
信息安全、網絡安全的愛好者。
期望更多了解安全即服務的朋友們。
如何閱讀本書
本書分為5章，分別介紹了雲掃描（Cloud Scanning）、雲防護（Cloud WAF）、雲清洗（Cloud Scrubbing）、雲事件管理（Cloud SIEM，SIEM-as-a-Service）、雲身份管理（Cloud IAM，IAM-as-a-Service）。每章都會介紹基本概念、原理、架構、開源產品、商用產品以及選擇安全即服務時需要考慮的內容。這5章內容相對獨立，讀者可以根據需求分開閱讀。
勘誤和支持
由於我的水平有限，編寫時間倉促，書中難免會出現一些錯誤或者不準確的地方，懇請讀者批評指正。如果您有更多的寶貴意見，也歡迎發送郵件至郵箱secaas@sina.com或yfc@hzbook.com，期待能夠得到您的真摯反饋。

作者從安全即服務的角度，介紹了企業在選擇雲安全服務時的很多關注點，很務實，也很接地氣，相信能夠給不少企業提供幫助。

——陳鐘 北京大學軟件與微電子學院院長/北京大學網絡與信息安全實驗室主任

本書沒有講述復雜深奧的安全技術細節，也沒有從可信計算和等保建設角度長篇大論地講述，而是直接圍繞雲安全實戰中會涉及的方方面面進行了詳細梳理，同時又點評了相應的安全工具，對於雲安全方案設計和雲安全平臺建設而言，開箱即用！

——瀋鷗 青雲解決方案與架構部總經理

雲安全是一個熱門話題，一般來說，有雲的安全（Security for the Cloud）、來自於雲的安全解決方案（Security from the Cloud）和安全既服務（Security as a Service）。 本書從雲掃描、雲防護、雲清洗、雲事件管理、雲身份管理5個領域做了詳細的技術介紹，值得學習！

——張紅衛 IBM安全事業部大中華區技術經理

首先，本書比較繫統化，全面地講解了雲安全的各個方面，有助於全面提升讀者的雲安全管理能力。其次，本書比較落地，每章都從架構到產品，每個領域都有細致且實用的內容，能明確地指導從業人員如何選擇產品和服務商。這些都是作者長期從事雲安全工作的積累和沉澱，有助於提升企業上雲戰略的安全保障。

——譚翔 派拉軟件CEO

本書結合業界主流的開源工具、商用產品繫統性地介紹了雲安全的各個細分方向的技術原理和攻防實踐，是作者多年安全運營工作的總結，有很強的實用性，能指導企業構建適合自身的安全體繫，讓業務安全、合規地上雲。

——張天鵬 雲杉網絡CTO