1.Google安全團隊在本書中分享了成功設計、實現、維護繫統的實踐，幫助讀者可了解如何在編程和測試等環節中實現安全性和可靠性。2.每一章均從基礎內容入手，逐漸過渡到復雜的內容，深奧的部分會使用爬行動物圖標來標識，幫讀者掌握重點。3.本書推薦了許多業界認可的工具和技術，讀者可跟據自身項目的需求，設計適合自身風險狀況的解決方案。4.谷歌安全工程副總裁Royal Hansen、Google SRE總監Michael Wildpaner為本書作序推薦，並受到諸多業內人士贊譽：“我有幸與作者共等

●推薦序一xvii
推薦序二xix
對本書的贊譽xxi
序一xxiii
序二xxv
前言xxvii
第一部分入門資料
第1章安全性與可靠性的交集3
1．1從密碼和電鑽談起3
1．2可靠性與安全性：設計注意事項4
1．3機密性、完整性、可用性5
1．3．1機密性5
1．3．2完整性5
1．3．3可用性6
1．4可靠性與安全性：共性6
1．4．1隱形6
1．4．2評估7
1．4．3簡潔性7
1．4．4演變7
1．4．5彈性8
1．4．6從設計到生產9
1．4．7調查繫統和日志9
1．4．8危機響應9
1．4．9恢復10
1．5小結10
第2章了解攻擊者11
2．1攻擊者動機12
2．2攻擊者畫像13
2．2．1業餘愛好者13
2．2．2漏洞研究人員13
2．2．3黑客活動家14
2．2．4犯罪分子14
2．2．5自動化和人工智能15
2．2．6內部人員15
2．3攻擊者方法論19
2．3．1威脅情報19
2．3．2網絡殺傷鏈20
2．3．3TTP20
2．4風險評估注意事項21
2．5小結21
第二部分設計繫統
第3章示例分析：安全代理25
3．1生產環境中的安全代理25
3．2Google工具代理27
3．3小結29
第4章設計中的權衡30
4．1設計目標和要求31
4．1．1特性需求31
4．1．2非功能性需求31
4．1．3功能與湧現特性32
4．1．4案例：Google的設計文檔33
4．2需求平衡34
4．3處理緊張局勢和統一目標37
4．3．1案例：微服務和Google Web應用程序框架37
4．3．2統一湧現特性的需求39
4．4初始速度和持續速度39
4．5小結41
第5章最小特權設計42
5．1概念和術語43
5．1．1最小特權43
5．1．2零信任網絡43
5．1．3零接觸43
5．2基於風險的訪問分類43
5．3很好實踐44
5．3．1API功能最小化45
5．3．2Breakglass機制47
5．3．3審計47
5．3．4測試和最小特權49
5．3．5診斷被拒絕的訪問50
5．3．6優雅失敗和Breakglass機制51
5．4工作案例：配置分發51
5．4．1基於OpenSSH實現的 IX API52
5．4．2軟件更新API52
5．4．3自定義OpenSSHForceCommand53
5．4．4自定義HTTP接收器（邊車）53
5．4．5自定義HTTP接收器（內置）53
5．4．6權衡取舍53
5．5一種用於認證和授權決策的策略框架54
5．5．1使用高級授權控件55
5．5．2投入廣泛使用的授權框架55
5．5．3避免潛在的陷阱56
5．6高級控制56
5．6．1MPA56
5．6．23FA57
5．6．3業務依據58
5．6．4臨時訪問59
5．6．5代理59
5．7權衡和衝突59
5．7．1增加了安全復雜性60
5．7．2對合作商及公司文化的影響60
5．7．3影響安全性的質量數據和繫統60
5．7．4對用戶工作效率的影響60
5．7．5對開發復雜性的影響60
5．8小結61
第6章面向易理解性的設計62
6．1為什麼易理解性很重要62
6．1．1繫統不變量63
6．1．2分析不變量64
6．1．3心智模型65
6．2設計易理解的繫統65
6．2．1復雜性與易理解性65
6．2．2分解復雜性66
6．2．3集中負責安全性和可靠性需求67
6．3繫統架構67
6．3．1易於理解的接口規範68
6．3．2易於理解的身份、認證和訪問控制69
6．3．3安全邊界74
6．4軟件設計78
6．4．1使用應用程序框架滿足服務需求78
6．4．2理解復雜的數據流79
6．4．3考慮API的可用性81
6．5小結83
第7章適應變化的設計84
7．1安全變更的類型85
7．2變更中的設計85
7．3讓發布更容易的架構決策86
7．3．1讓依賴項保持近期新並頻繁重建86
7．3．2用自動化測試讓發布更頻繁86
7．3．3使用容器87
7．3．4使用微服務87
7．4不同的變更：不同的速度與不同的時間線89
7．4．1短期變更：零日漏洞90
7．4．2中期變更：改善安全態勢92
7．4．3長期變更：外部需求94
7．5難點：計劃調整96
7．6不斷擴大的範圍：心髒滴血漏洞97
7．7小結98
第8章彈性設計99
8．1彈性設計原則100
8．2縱深防御100
8．2．1特洛伊木馬100
8．2．2Google App Engine分析102
8．3控制降級104
8．3．1區分故障成本105
8．3．2部署響應機制107
8．3．3負責任的自動化109
8．4控制爆炸半徑111
8．4．1角色分離112
8．4．2位置分離113
8．4．3時間分離115
8．5故障域和冗餘115
8．5．1故障域116
8．5．2組件類型117
8．5．3控制冗餘119
8．6持續驗證120
8．6．1驗證關鍵區域121
8．6．2驗證實踐122
8．7實踐建議：著手點124
8．8小結125
第9章面向恢復性的設計127
9．1要恢復什麼128
9．1．1隨機錯誤128
9．1．2意外錯誤128
9．1．3軟件錯誤128
9．1．4惡意行為129
9．2恢復機制的設計原則129
9．2．1面向快速恢復的設計（受政策監督）129
9．2．2對外部時間觀念的依賴132
9．2．3回滾所代表的安全性和可靠性間的權衡133
9．2．4使用顯式弔銷機制139
9．2．5了解準確到字節的預期狀態142
9．2．6面向測試和持續驗證的設計145
9．3緊急訪問146
9．3．1訪問控制147
9．3．2通信148
9．3．3響應人員的習慣148
9．4預期外的收益149
9．5小結149
第10章緩解拒絕服務攻擊150
10．1攻守雙方的策略150
10．1．1攻方的策略151
10．1．2守方的策略152
10．2面向防御的設計152
10．2．1具有防御能力的架構152
10．2．2使服務具備防護能力154
10．3緩解攻擊154
10．3．1監控與告警154
10．3．2優雅降級155
10．3．3DoS防護繫統155
10．3．4有策略的響應156
10．4應對源於服務本身的“攻擊”157
10．4．1用戶行為157
10．4．2客戶端重試行為158
10．5小結159
第三部分實現繫統
第11章案例分析：設計、實現和維護一個受信任的公共CA163
11．1受信任的公共CA的背景163
11．2為什麼需要受信任的公共CA164
11．3自建還是購買CA165
11．4設計、開發和維護過程中的考慮165
11．4．1選擇編程語言166
11．4．2復雜與簡明166
11．4．3保護第三方和開源組件167
11．4．4測試167
11．4．5CA密鑰材料的彈性168
11．4．6數據驗證168
11．5小結169
第12章編寫代碼170
12．1框架級安全性和可靠性保證措施171
12．1．1使用框架的好處．172
12．1．2案例：用於創建RPC後端的框架172
12．2常見安全漏洞176
12．2．1SQL注入漏洞：TrustedSqlString177
12．2．2預防XSS漏洞：SafeHtml178
12．3評估和構建框架的經驗179
12．3．1用於常見任務的簡單、安全、可靠的庫180
12．3．2部署策略181
12．4簡潔性有助於提升代碼的安全性和可靠性182
12．4．1避免多層嵌套182
12．4．2消除YAGNI類代碼183
12．4．3償還技術債務184
12．4．4重構184
12．5默認安全性和可靠性185
12．5．1選擇合適的工具185
12．5．2使用強類型186
12．5．3檢查代碼．188
12．6小結189
第13章代碼測試190
13測試190
13．1．1編寫有測試191
13．1．2測試的時機191
13．1測試對代碼的影響192
13．2集成測試193
13．3動態程序分析194
13．4模糊測試197
13．4．1模糊引擎的工作原理197
13．4．2編寫有效的模糊測試驅動程序200
13．4．3示例fuzzer201
13．4．4持續模糊測試204
13．5靜態程序分析205
13．5．1自動代碼檢查工具205
13．5．2如何將靜態分析集成至開發工作流中209
13．5．3抽像解釋211
13．5．4形式化方法213
13．6小結213
第14章部署代碼214
14．1概念和術語214
14．2威脅建模216
14．3很好實踐217
14．3．1強制做代碼審查217
14．3．2依賴自動化218
14．3．3驗證工件，而不僅僅是人218
14．3．4將配置視為代碼．219
14．4基於威脅建模做安全加固220
14．5高級緩解策略222
14．5．1二進制文件來源222
14．5．2基於來源的部署策略224
14．5．3可驗證的構建225
14．5．4部署阻塞點230
14．5．5部署後驗證231
14．6實用建議232
14．6．1一步步來232
14．6．2提供可操作的錯誤消息233
14．6．3確保來源信息明確233
14．6．4創建明確的策略233
14．6．5引入Breakglass機制234
14．7重溫基於威脅建模部署安全措施234
14．8小結234
第15章調查繫統235
15．1從調試到調查236
15．1．1案例：臨時文件236
15．1．2調試技巧237
15．1．3當陷入困境時該怎麼辦243
15．1．4協同調試：一種教學方法246
15．1．5安全調查與繫統調試間的差異246
15．2收集恰當、有用的日志247
15．2．1將日志設計為不可變的248
15．2．2考慮隱私要素249
15．2．3確定要保留哪些安全相關的日志249
15．2．4日志記錄成本252
15．3可靠、安全的調試訪問253
15．3．1可靠性253
15．3．2安全性253
15．4小結254
第四部分維護繫統
第16章防災規劃257
16．1“災難”的定義257
16．2動態災難響應策略258
16．3災難風險分析259
16．4建立事件響應團隊259
16．4．1確定團隊成員和角色260
16．4．2制訂團隊章程261
16．4．3建立嚴重性和優先級模型262
16．4．4確定與IR團隊合作的運營參數262
16．4．5制訂響應計劃263
16．4．6創建詳細的行動手冊264
16．4．7確保訪問和更新機制就位264
16．5在事件發生前預先安排繫統和人員264
16．5．1配置繫統265
16．5．2培訓265
16．5．3流程和程序266
16．6測試繫統和響應計劃266
16．6．1審計自動化繫統267
16．6．2開展非侵入式桌面演練．267
16．6．3在生產環境中測試響應268
16．6．4紅隊測試270
16．6．5評估響應270
16．7Google的案例271
16．7．1具有全球影響的測試271
16．7．2DiRT演習測試緊急訪問271
16．7．3行業級漏洞271
16．8小結272
第17章危機管理273
17．1是否存在危機274
17．1．1事件分診274
17．1．2入侵與缺陷275
17．2指揮事件276
17．2．1第一步：不要驚慌276
17．2．2開展響應277
17．2．3組建自己的事件團隊277
17．2．4OpSec278
17．2．5犧牲好的OpSec實踐換取更大的利益280
17．2．6調查過程280
17．3控制事件283
17．3．1並行處理事件283
17．3．2移交284
17．3．3士氣286
17．4溝通287
17．4．1誤解287
17．4．2拐彎抹角287
17．4．3會議288
17．4．4讓合適的人了解合適的細節289
17．5整合回顧290
17．5．1分診290
17．5．2宣布事件290
17．5．3溝通和OpSec290
17．5．4開始處理事件291
17．5．5移交291
17．5．6交還事件調查工作291
17．5．7準備溝通和補救292
17．5．8結束292
17．6小結293
第18章恢復和善後294
18．1恢復調度295
18．2恢復時間線296
18．3恢復計劃297
18．3．1確定恢復範圍297
18．3．2恢復過程的考慮因素298
18．3．3恢復檢查清單301
18．4啟動恢復302
18．4．1隔離資產302
18．4．2繫統恢復和軟件升級303
18．4．3數據過濾304
18．4．4恢復數據304
18．4．5更換憑據和密鑰305
18．6恢復之後306
18．7示例308
18．7．1被入侵的雲實例308
18．7．2大規模釣魚攻擊309
18．7．3需要復雜恢復工作的、有針對性的攻擊310
18．8小結311
第五部分組織與文化
第19章案例研究：Chrome安全團隊315
19．1背景和團隊發展史315
19．2安全是團隊的職責317
19．3幫助用戶安全地瀏覽Web頁面318
19．4速度很重要319
19．5設計縱深防御機制319
19．6保持透明，讓社區參與進來320
19．7小結320
第20章理解角色和責任321
20．1誰為安全性和可靠性負責322
20．1．1專家的作用322
20．1．2了解安全專業知識324
20．1．3資格認證和學術教育325
20．2將安全性整合到組織中325
20．2．1嵌入安全人員和安全團隊327
20．2．2案例：Google的嵌入式安全327
20．2．3特殊的團隊：藍隊和紅隊329
20．2．4外部研究者330
20．3小結332
第21章建立安全可靠的文化333
21．1定義健康的安全性和可靠性文化334
21．1．1默認的安全性和可靠性文化334
21．1．2評審文化335
21．1．3意識文化336
21．1．4說“是”的文化339
21．1．5接受必然性的文化340
21．1．6可持續發展文化340
21．2通過很好實踐改變文化342
21．2．1對齊項目目標和激勵參與者342
21．2．2通過風險規避機制減少恐懼343
21．2．3使安全兜底措施成為常態344
21．2．4提高生產力和可用性344
21．2．5多溝通，保持透明345
21．2．6懷抱同理心346
21．3說服領導層347
21．3．1了解決策過程347
21．3．2為變革立案348
21．3．3選擇自己的戰場349
21．3．4升級和問題解決349
21．4小結350
總結351
附錄災難風險評估矩陣353
作者介紹355
封面介紹355

作為繫統架構的重中之重，安全性和可靠性是設計和維護可擴展繫統的核心。在本書中，Google安全團隊分享了成功設計、實現、維護繫統的很好實踐。你將了解繫統的設計策略，如何在編程、測試、調試等環節中實現安全性和可靠性，以及如何應對不可預知的安全事件。全書分為五大部分，共21章，內容涉及安全性和可靠性的關繫，繫統的設計原則、實現原則、維護原則，還輔以豐富的案例分析。閱讀本書，你不僅能學到豐富的繫統架構技巧，而且能看到相關從業者在面臨復雜的實際狀況時如何權衡利弊，從而真正提高繫統的安全性和可靠性。本書受眾面廣，任何與軟件繫統的安全性和可靠 息相關的人都能從中受益，這包括但不限於網站可靠性工程師、軟件工程師、軟架構師、繫統管理員、運維人員等。