紙本書電子書
容器安全|雲端原生應用的底層技術與防禦機制 第二版
Container Security, 2nd Edition
- 書號:
-
A827
- 作者:
-
Liz Rice
- 譯者:
- agility studio
- 定價:
-
680
- 出版日:
-
近期出版
- ISBN:
- 9786264253277
- 附件:
-
線上下載
⭐⭐來自業界專家的推薦⭐⭐
「如果Liz Rice的那場精彩演講『Containers From Scratch』與實機示範讓你沉醉不已,本書將帶你進一步踏入容器安全的神秘殿堂,以深入淺出的技巧、實用的工具,以及最佳做法,全面守護你的應用程式與珍貴資料。」
——Andrew Martin,CEO,ControlPlane
「此一全新版本大幅擴充了關於Linux系統與容器基礎知識的篇幅,是安全容器操作的必備寶典。」
——Phil Estes,AWS容器與開源策略首席工程師
隨著容器化與雲端原生應用程式逐漸成為現代軟體基礎架構的核心,深入理解其安全隱患,從未如此迫切。第二版以嚴謹且務實的視角,深入剖析容器平台的核心技術,為開發人員、維運專業人士與資安從業者建立思維模型,協助你評估風險,強化系統韌性。
本書由雲端原生安全領域的權威專家Liz Rice執筆,在第一版奠定的基礎原則之上,進一步納入當今不斷演變的威脅態勢、現代工具鏈,以及Kubernetes與Linux等平台的最新發展。讀者將深入掌握容器背後的架構,以及支持容器運作的Linux基本元件,從系統層面全面理解威脅來源,以及對應的緩解策略。
• 從資安視角深入探究容器的底層技術架構
• 全面評估容器執行環境與容器編排平台之中,持續演變的風險與防禦策略
• 深度解析現代工具鏈的意涵,涵蓋eBPF與AI驅動方法
• 活用核心原則,在動態環境中評估並強化真實部署場景的安全性
Liz Rice 是Isovalent的現任首席開源長。Isovalent為Cilium的創始公司,目前已成為Cisco旗下一員。她曾擔任CNCF理事會成員、CNCF技術監督委員會主席及KubeCon共同主席。Rice也是O'Reilly《Learning eBPF》的作者。
第一章 容器安全威脅
風險、威脅與緩解措施
容器威脅模型
安全邊界
多租戶
安全原則
第二章 Linux 系統呼叫、權限與能力
系統呼叫
檔案權限
Linux 能力
特權提升
第三章 控制群組
控制群組控制器
建立與設置 Cgroups
將程序指派至 Cgroup
容器的 Cgroups
防範 Fork 炸彈
第四章 容器隔離
Linux 名稱空間
隔離主機名稱
隔離程序 ID
變更根目錄
結合名稱空間隔離與根目錄變更
Mount 名稱空間
網路名稱空間
使用者名稱空間
程序間通訊名稱空間
Cgroup 名稱空間
時間名稱空間
Kubernetes Pods 與容器名稱空間
從主機視角觀察容器程序
容器主機
第五章 虛擬機器
啟動機器
VMM 登場
攔截與模擬
處理不可虛擬化的指令
嵌套虛擬化
KubeVirt
程序隔離與安全性
虛擬機器的缺點
容器隔離與虛擬機器隔離的比較
第六章 容器映像檔
根目錄檔案系統與映像檔組態
在執行期覆寫組態
OCI 標準
映像檔組態
建置映像檔
儲存映像檔
識別映像檔
第七章 供應鏈安全
容器映像檔軟體元件
SLSA
Software Bill of Materials
將基礎映像檔最小化
Dockerfile 安全
針對建置機器的攻擊
生成 SBOM
簽署映像檔和軟體產物
建置證明
映像檔 Manifests
映像檔部署安全性
第八章 在映像檔裡的軟體漏洞
漏洞研究
漏洞、修補程式與發行版
在應用程式層面上的漏洞
漏洞風險管理
漏洞掃描
已安裝的套件
容器映像檔掃描
掃描工具
在 CI/CD 流程中掃描
防止存在漏洞的映像檔執行
更新映像檔
零日漏洞
第九章 基礎設施即程式碼與 GitOps
IaC
GitOps
對部署安全性的影響
GitOps 安全最佳做法
第十章 加強容器隔離程度
Seccomp
AppArmor
SELinux
gVisor
Kata Containers
輕量級 / 微型虛擬機器
Unikernels
第十一章 破壞容器隔離
容器預設以 root 身分執行
--privileged 旗標與能力
掛載敏感目錄
掛載 Docker Socket
在容器與其主機之間共享名稱空間
Sidecar 容器
Debug 容器
第十二章 容器網路安全
容器防火牆與微分段
OSI 網路模型
傳送 IP 封包
容器的 IP 位址
網路隔離
第 3/4 層路由與規則
網路政策
網路政策解決方案
服務網格
網路政策最佳做法
第十三章 安全地連接元件
安全連線
X.509 憑證
TLS 連線
WireGuard 和 IPSec
零信任網路
容器之間的安全連線
憑證撤銷
使用服務網格來加密流量
SPIFFE
外部流量
網路觀測工具與日誌記錄
第十四章 將機密傳給容器
機密的特性
將資訊傳入容器
Kubernetes Secrets
機密可被 Root 存取
第十五章 容器執行期防護
容器映像檔執行期政策
執行期安全的技術選項
容器執行期安全工具
該阻止還是警告
隔離容器
漏洞緩解
第十六章 容器與 OWASP 的十大風險
存取控制失效
密碼學失效
注入
不安全的設計
安全組態設置不當
有漏洞及過時的元件
身分識別與驗證失效
軟體和資料不正確
安全日誌記錄與監測失效
伺服器端請求偽造
附錄 安全檢查清單