书籍摘要

《Securing DevOps》是由Julien Vehent撰写的一本专注于云服务中DevOps安全实践的书籍，由Manning Publications出版。本书通过理论与实践相结合的方式，指导读者如何在DevOps环境中构建和维护安全的软件开发与运维流程，旨在帮助组织在享受DevOps带来的灵活性和效率的同时，保护用户数据和系统安全。

作者简介

Julien Vehent是Mozilla Firefox运营安全团队的负责人，负责定义、实施和维护为Firefox用户提供服务的Web服务安全策略。他自2000年代初开始专注于网络服务的安全性，并于2007年获得信息安全硕士学位。

书籍结构与内容概述

第一部分：基于简单DevOps流水线的安全层应用

本书第一部分通过构建一个简单的DevOps环境，详细阐述了如何逐步为Web应用程序、云基础设施、通信和部署流水线添加安全层。作者以一个名为“invoicer”的小型Web应用程序为例，展示了如何在CI/CD流水线中逐步集成安全控制措施。

• 第1章：介绍DevOps的基本概念及其对构建云服务的影响，强调安全在DevOps文化中的重要性，并提出了“持续安全”的模型。
• 第2章：详细介绍了如何构建一个基于GitHub、CircleCI、Docker Hub和AWS的完整DevOps流水线，并指出了初始构建中存在的安全隐患。
• 第3章：聚焦于Web应用程序的安全性，包括如何测试Web应用、保护常见的攻击面、管理用户身份验证以及保持应用程序及其依赖项的更新。
• 第4章：讨论了如何保护云基础设施的安全性，涵盖安全测试的自动化、网络访问控制、通过SSH建立安全入口点以及控制对数据库的访问。
• 第5章：探讨了如何通过HTTPS协议保护客户端与服务器之间的通信安全，包括获取证书、配置TLS以及应用现代HTTPS安全标准。
• 第6章：强调了保护交付流水线的重要性，包括在GitHub、Docker Hub和AWS中管理访问权限、签名提交和分发机密。

第二部分：监控异常与防御服务攻击

这一部分主要关注如何监控和保护服务免受攻击。作者通过构建日志管道、分析日志中的异常行为、检测入侵以及通过案例研究介绍事件响应流程，指导读者如何识别和应对安全威胁。

• 第7章：讲解了如何构建和维护日志管道，包括日志的收集、流式处理、分析、存储和访问。
• 第8章：深入探讨了日志分析技术，如基于字符串签名的攻击检测、基于统计模型的欺诈检测、利用地理数据发现滥用行为以及检测已知模式中的异常。
• 第9章：讨论了如何检测入侵，包括入侵的七个阶段（“杀伤链”）、入侵指标（IOC）的识别以及使用Suricata和系统调用审计日志检测入侵。
• 第10章：通过“加勒比海湾”安全事件的案例研究，详细介绍了事件响应的全过程，包括识别、遏制、根除、恢复以及事后总结。

第三部分：DevOps安全的成熟

本书的最后部分着重于如何在组织中成熟DevOps安全策略。作者从风险评估、安全测试到持续安全的实践，提供了一套完整的安全成熟度模型。

• 第11章：介绍了风险评估的基本概念，包括CIA三元组（保密性、完整性和可用性）、STRIDE和DREAD威胁建模框架，以及如何在组织中建立轻量级风险评估框架。
• 第12章：讲解了安全测试的各种方法，包括应用程序和基础设施的内部审计、外部渗透测试以及漏洞奖励计划。
• 第13章：提出了一个持续安全的三年实施模型，分享了在组织中成功实施持续安全的技巧和经验。

书籍特色

• 实践性强：通过具体的工具和环境（如GitHub、CircleCI、Docker、AWS等）作为示例，读者可以直接将书中的概念应用到自己的项目中。
• 覆盖全面：从代码管理到基础设施部署，从Web应用安全到云服务安全，再到持续安全的实践，涵盖了DevOps安全的各个方面。
• 更新及时：随着DevOps技术和安全实践的不断发展，作者计划持续更新书中内容，确保提供的信息始终保持最新。

目标读者

本书适用于有一定基础的DevOps工程师、安全专家以及希望将安全实践深入集成到DevOps流程中的技术团队。通过阅读本书，读者可以学习到如何在现代云服务环境中构建安全的DevOps流水线，并掌握应对各种安全挑战的实用技能。

总之，《Securing DevOps》是一本关于云服务中DevOps安全实践的全面指南，不仅提供了丰富的技术细节，还强调了安全与DevOps文化的融合。对于那些希望在DevOps环境中实现安全与效率双赢的读者，这本书无疑是一个宝贵的学习资源。