容器安全|雲端原生應用的底層技術與防禦機制 第二版
Container Security- 2nd Edition
活動訊息
全館滿$1,200送150點金幣,4月歡慶兒童節,童書、玩具、文具滿1000元再送200點金幣!
內容簡介
⭐⭐來自業界專家的推薦⭐⭐
「如果Liz Rice的那場精彩演講『Containers From Scratch』與實機示範讓你沉醉不已,本書將帶你進一步踏入容器安全的神秘殿堂,以深入淺出的技巧、實用的工具,以及最佳做法,全面守護你的應用程式與珍貴資料。」
——Andrew Martin,CEO,ControlPlane
「此一全新版本大幅擴充了關於Linux系統與容器基礎知識的篇幅,是安全容器操作的必備寶典。」
——Phil Estes,AWS容器與開源策略首席工程師
隨著容器化與雲端原生應用程式逐漸成為現代軟體基礎架構的核心,深入理解其安全隱患,從未如此迫切。第二版以嚴謹且務實的視角,深入剖析容器平台的核心技術,為開發人員、維運專業人士與資安從業者建立思維模型,協助你評估風險,強化系統韌性。
本書由雲端原生安全領域的權威專家Liz Rice執筆,在第一版奠定的基礎原則之上,進一步納入當今不斷演變的威脅態勢、現代工具鏈,以及Kubernetes與Linux等平台的最新發展。讀者將深入掌握容器背後的架構,以及支持容器運作的Linux基本元件,從系統層面全面理解威脅來源,以及對應的緩解策略。
• 從資安視角深入探究容器的底層技術架構
• 全面評估容器執行環境與容器編排平台之中,持續演變的風險與防禦策略
• 深度解析現代工具鏈的意涵,涵蓋eBPF與AI驅動方法
• 活用核心原則,在動態環境中評估並強化真實部署場景的安全性
「如果Liz Rice的那場精彩演講『Containers From Scratch』與實機示範讓你沉醉不已,本書將帶你進一步踏入容器安全的神秘殿堂,以深入淺出的技巧、實用的工具,以及最佳做法,全面守護你的應用程式與珍貴資料。」
——Andrew Martin,CEO,ControlPlane
「此一全新版本大幅擴充了關於Linux系統與容器基礎知識的篇幅,是安全容器操作的必備寶典。」
——Phil Estes,AWS容器與開源策略首席工程師
隨著容器化與雲端原生應用程式逐漸成為現代軟體基礎架構的核心,深入理解其安全隱患,從未如此迫切。第二版以嚴謹且務實的視角,深入剖析容器平台的核心技術,為開發人員、維運專業人士與資安從業者建立思維模型,協助你評估風險,強化系統韌性。
本書由雲端原生安全領域的權威專家Liz Rice執筆,在第一版奠定的基礎原則之上,進一步納入當今不斷演變的威脅態勢、現代工具鏈,以及Kubernetes與Linux等平台的最新發展。讀者將深入掌握容器背後的架構,以及支持容器運作的Linux基本元件,從系統層面全面理解威脅來源,以及對應的緩解策略。
• 從資安視角深入探究容器的底層技術架構
• 全面評估容器執行環境與容器編排平台之中,持續演變的風險與防禦策略
• 深度解析現代工具鏈的意涵,涵蓋eBPF與AI驅動方法
• 活用核心原則,在動態環境中評估並強化真實部署場景的安全性
目錄
第一章 容器安全威脅
風險、威脅與緩解措施
容器威脅模型
安全邊界
多租戶
安全原則
第二章 Linux 系統呼叫、權限與能力
系統呼叫
檔案權限
Linux 能力
特權提升
第三章 控制群組
控制群組控制器
建立與設置 Cgroups
將程序指派至 Cgroup
容器的 Cgroups
防範 Fork 炸彈
第四章 容器隔離
Linux 名稱空間
隔離主機名稱
隔離程序 ID
變更根目錄
結合名稱空間隔離與根目錄變更
Mount 名稱空間
網路名稱空間
使用者名稱空間
程序間通訊名稱空間
Cgroup 名稱空間
時間名稱空間
Kubernetes Pods 與容器名稱空間
從主機視角觀察容器程序
容器主機
第五章 虛擬機器
啟動機器
VMM 登場
攔截與模擬
處理不可虛擬化的指令
嵌套虛擬化
KubeVirt
程序隔離與安全性
虛擬機器的缺點
容器隔離與虛擬機器隔離的比較
第六章 容器映像檔
根目錄檔案系統與映像檔組態
在執行期覆寫組態
OCI 標準
映像檔組態
建置映像檔
儲存映像檔
識別映像檔
第七章 供應鏈安全
容器映像檔軟體元件
SLSA
Software Bill of Materials
將基礎映像檔最小化
Dockerfile 安全
針對建置機器的攻擊
生成 SBOM
簽署映像檔和軟體產物
建置證明
映像檔 Manifests
映像檔部署安全性
第八章 在映像檔裡的軟體漏洞
漏洞研究
漏洞、修補程式與發行版
在應用程式層面上的漏洞
漏洞風險管理
漏洞掃描
已安裝的套件
容器映像檔掃描
掃描工具
在 CI/CD 流程中掃描
防止存在漏洞的映像檔執行
更新映像檔
零日漏洞
第九章 基礎設施即程式碼與 GitOps
IaC
GitOps
對部署安全性的影響
GitOps 安全最佳做法
第十章 加強容器隔離程度
Seccomp
AppArmor
SELinux
gVisor
Kata Containers
輕量級 / 微型虛擬機器
Unikernels
第十一章 破壞容器隔離
容器預設以 root 身分執行
--privileged 旗標與能力
掛載敏感目錄
掛載 Docker Socket
在容器與其主機之間共享名稱空間
Sidecar 容器
Debug 容器
第十二章 容器網路安全
容器防火牆與微分段
OSI 網路模型
傳送 IP 封包
容器的 IP 位址
網路隔離
第 3/4 層路由與規則
網路政策
網路政策解決方案
服務網格
網路政策最佳做法
第十三章 安全地連接元件
安全連線
X.509 憑證
TLS 連線
WireGuard 和 IPSec
零信任網路
容器之間的安全連線
憑證撤銷
使用服務網格來加密流量
SPIFFE
外部流量
網路觀測工具與日誌記錄
第十四章 將機密傳給容器
機密的特性
將資訊傳入容器
Kubernetes Secrets
機密可被 Root 存取
第十五章 容器執行期防護
容器映像檔執行期政策
執行期安全的技術選項
容器執行期安全工具
該阻止還是警告
隔離容器
漏洞緩解
第十六章 容器與 OWASP 的十大風險
存取控制失效
密碼學失效
注入
不安全的設計
安全組態設置不當
有漏洞及過時的元件
身分識別與驗證失效
軟體和資料不正確
安全日誌記錄與監測失效
伺服器端請求偽造
附錄 安全檢查清單
風險、威脅與緩解措施
容器威脅模型
安全邊界
多租戶
安全原則
第二章 Linux 系統呼叫、權限與能力
系統呼叫
檔案權限
Linux 能力
特權提升
第三章 控制群組
控制群組控制器
建立與設置 Cgroups
將程序指派至 Cgroup
容器的 Cgroups
防範 Fork 炸彈
第四章 容器隔離
Linux 名稱空間
隔離主機名稱
隔離程序 ID
變更根目錄
結合名稱空間隔離與根目錄變更
Mount 名稱空間
網路名稱空間
使用者名稱空間
程序間通訊名稱空間
Cgroup 名稱空間
時間名稱空間
Kubernetes Pods 與容器名稱空間
從主機視角觀察容器程序
容器主機
第五章 虛擬機器
啟動機器
VMM 登場
攔截與模擬
處理不可虛擬化的指令
嵌套虛擬化
KubeVirt
程序隔離與安全性
虛擬機器的缺點
容器隔離與虛擬機器隔離的比較
第六章 容器映像檔
根目錄檔案系統與映像檔組態
在執行期覆寫組態
OCI 標準
映像檔組態
建置映像檔
儲存映像檔
識別映像檔
第七章 供應鏈安全
容器映像檔軟體元件
SLSA
Software Bill of Materials
將基礎映像檔最小化
Dockerfile 安全
針對建置機器的攻擊
生成 SBOM
簽署映像檔和軟體產物
建置證明
映像檔 Manifests
映像檔部署安全性
第八章 在映像檔裡的軟體漏洞
漏洞研究
漏洞、修補程式與發行版
在應用程式層面上的漏洞
漏洞風險管理
漏洞掃描
已安裝的套件
容器映像檔掃描
掃描工具
在 CI/CD 流程中掃描
防止存在漏洞的映像檔執行
更新映像檔
零日漏洞
第九章 基礎設施即程式碼與 GitOps
IaC
GitOps
對部署安全性的影響
GitOps 安全最佳做法
第十章 加強容器隔離程度
Seccomp
AppArmor
SELinux
gVisor
Kata Containers
輕量級 / 微型虛擬機器
Unikernels
第十一章 破壞容器隔離
容器預設以 root 身分執行
--privileged 旗標與能力
掛載敏感目錄
掛載 Docker Socket
在容器與其主機之間共享名稱空間
Sidecar 容器
Debug 容器
第十二章 容器網路安全
容器防火牆與微分段
OSI 網路模型
傳送 IP 封包
容器的 IP 位址
網路隔離
第 3/4 層路由與規則
網路政策
網路政策解決方案
服務網格
網路政策最佳做法
第十三章 安全地連接元件
安全連線
X.509 憑證
TLS 連線
WireGuard 和 IPSec
零信任網路
容器之間的安全連線
憑證撤銷
使用服務網格來加密流量
SPIFFE
外部流量
網路觀測工具與日誌記錄
第十四章 將機密傳給容器
機密的特性
將資訊傳入容器
Kubernetes Secrets
機密可被 Root 存取
第十五章 容器執行期防護
容器映像檔執行期政策
執行期安全的技術選項
容器執行期安全工具
該阻止還是警告
隔離容器
漏洞緩解
第十六章 容器與 OWASP 的十大風險
存取控制失效
密碼學失效
注入
不安全的設計
安全組態設置不當
有漏洞及過時的元件
身分識別與驗證失效
軟體和資料不正確
安全日誌記錄與監測失效
伺服器端請求偽造
附錄 安全檢查清單
配送方式
-
台灣
- 國內宅配:本島、離島
-
到店取貨:
不限金額免運費
-
海外
- 國際快遞:全球
-
港澳店取:
訂購/退換貨須知
加入金石堂 LINE 官方帳號『完成綁定』,隨時掌握出貨動態:
提醒您!!
金石堂及銀行均不會請您操作ATM! 如接獲電話要求您前往ATM提款機,請不要聽從指示,以免受騙上當!
退換貨須知:
**提醒您,鑑賞期不等於試用期,退回商品須為全新狀態**
-
依據「消費者保護法」第19條及行政院消費者保護處公告之「通訊交易解除權合理例外情事適用準則」,以下商品購買後,除商品本身有瑕疵外,將不提供7天的猶豫期:
- 易於腐敗、保存期限較短或解約時即將逾期。(如:生鮮食品)
- 依消費者要求所為之客製化給付。(客製化商品)
- 報紙、期刊或雜誌。(含MOOK、外文雜誌)
- 經消費者拆封之影音商品或電腦軟體。
- 非以有形媒介提供之數位內容或一經提供即為完成之線上服務,經消費者事先同意始提供。(如:電子書、電子雜誌、下載版軟體、虛擬商品…等)
- 已拆封之個人衛生用品。(如:內衣褲、刮鬍刀、除毛刀…等)
- 若非上列種類商品,均享有到貨7天的猶豫期(含例假日)。
- 辦理退換貨時,商品(組合商品恕無法接受單獨退貨)必須是您收到商品時的原始狀態(包含商品本體、配件、贈品、保證書、所有附隨資料文件及原廠內外包裝…等),請勿直接使用原廠包裝寄送,或於原廠包裝上黏貼紙張或書寫文字。
- 退回商品若無法回復原狀,將請您負擔回復原狀所需費用,嚴重時將影響您的退貨權益。
商品評價