第2部分
構建安全的網絡服務

本書第1部分從宏觀上對網絡服務的環境、場景、安全挑戰和安全框架進行了介紹。接下來將學習如何構建安全的網絡服務。網絡服務的構建是一個體系化的復雜工程。本書主要從技術架構角度介紹如何構建安全的網絡服務，同時對安全管理和合規相關的內容也進行了介紹。

從技術架構上講，一個完整的網絡服務離不開以下要素。

1. 基礎設施

如數據中心周邊環境、建筑物、電力供應、網絡和機架等，這些設施可以自建，也可以租賃。除此之外，基礎設施還包括硬件設備，如硬件設備服務器、網絡設備、終端設備等。基礎設施按形態又可分為物理基礎設施和虛擬基礎設施。物理基礎設施就是傳統的物理環境和硬件設備、設施。虛擬基礎設施是從物理基礎設施抽象出來的邏輯資源，如云上的VPC、云主機的CPU、內存、云上的卷存儲、對象存儲等就屬于典型的虛擬基礎設施。云環境將所有物理基礎設施的構建和運維工作交給了云服務提供商，云客戶只需要關注自己購買的虛擬基礎設施即可。因此，從安全責任劃分上看，云客戶也只需要負責虛擬基礎設施及以上的安全。本書基礎設施相關的內容主要是物理基礎設施。基礎設施是網絡服務的根基，正因如此，基礎設施如果存在安全問題，就是致命的問題，如數據中心出現自然災害、服務器設備失竊、芯片或固件被植入后門。我們要做好災備防止自然災害損失，做好物理安全防護防止設備被無關人員接觸。在芯片方面，則需要我們掌控更多的核心技術，提升自主控制能力，避免受制于人。

2. 系統

本書講的系統是指操作系統。操作系統是中間件、數據庫和其他應用程序運行的基礎平臺。不管是傳統的物理服務器還是云主機都需要通過操作系統來與底層硬件資源打交道。操作系統的種類很多，如Windows操作系統、Linux操作系統（Redhat、Debian、Ubuntu等）、MacOS，以及小型機采用的UNIX操作系統（以Solaris、AIX、HP-UNIX），還有移動端操作系統安卓、iOS等。操作系統因此涉及眾多的接口、驅動和視窗，面臨的攻擊面比底層的硬件芯片或固件更大。所以在操作系統層面要做好安全加固，如最小化安裝、打補丁等。從戰略角度來看，需要增強操作系統的自主研發能力，提升國產操作系統的可用性、易用性和其他性能。

3. 網絡

網絡不僅包含網絡服務提供商的內部網絡環境和網絡接入，還包括客戶和服務器之間的網絡鏈路，以及用戶終端的網絡環境。網絡鏈路是網絡服務的載體，也是云的載體。一旦網絡出現故障，網絡服務就會變成孤島而失去價值，為了確保網絡鏈路穩定可達，網絡服務提供商通常會選擇采用BGP線路，同時對靜態資源可以通過CDN加速來提升用戶體驗。鏈路本身的安全性也直接決定了在網絡上傳輸的數據的安全性。通常采用TLS對傳輸層加密的方式來確保數據不被監聽。除此之外，網絡防攻擊也是網絡服務穩定運行的根本保障，尤其是DDoS攻擊。近年來，DDoS攻擊總體趨勢變化為：攻擊的數量越來越多、頻率越來越高、單次攻擊的流量越來越大、單次攻擊持續的時間越來越長。2020年2月，AWS遭受史無前例的2.3Tbps的DDoS攻擊，持續時間超過3天。隨著新興技術被用于網絡攻擊，網絡攻擊的效率更高、威力更大。因此，必須加強網絡安全防護。

4. 應用程序

網絡服務最終是通過應用程序呈現給用戶的，應用程序是在線提供網絡服務的載體，是人機交互的工具。所有數據的輸入和輸出、增刪改查都是通過應用程序來完成的。因此，應用程序出現安全問題的概率也是很高的。在應用程序設計時需要遵循一些基本的安全原則，如最小權限原則、數據校驗證和過濾原則等。對于應用程序的服務端，不應相信任何來自客戶端的數據輸入，必須按照安全原則在后端進行驗證和過濾。應用程序安全漏洞是難免的，所以在應用的全生命周期中，都需要持續進行滲透測試，及時發現并修復安全漏洞。

5. 數據

網絡服務只是形式或工具，真正有價值的是用戶在使用網絡服務過程中產生的各種數據。網絡服務安全防護的落腳點也是保護這些數據的機密性、完整性和可用性。數據安全保護的措施主要包括加密、匿名化、令牌化等。另外，針對不同位置或狀態的數據，保護措施也不盡相同。通常可以將數據分為靜態數據（落盤存儲的數據）、動態數據（傳輸中的數據）和使用中的數據（通常位于內存中）3種。針對這3種類型的數據防護方式也不盡相同。以加密為例，靜態數據加密可以選擇卷加密、數據庫TDE透明加密和字段級加密，也可以通過應用程序實現對特定字段的加密，傳輸中的數據加密通常使用https或vpn（本質上是TLS），使用中的數據通常位于內存中，加密的挑戰比前幾種場景要大，而且即便對內存中的數據做了加密，應用程序在讀取時也要先解密。目前雖然有同態加密可以在不解密的情況下對數據進行處理，但是還處于實驗室階段，性能上遠遠達不到商用的標準。

安全管理工作貫穿網絡服務的全生命周期。通常采用SSDLC（軟件安全開發生命周期）進行應用軟件的安全管理，如微軟的SSDLC、NIST SP 800-64、ISO/IEC 27034都屬于比較常用的SSDLC框架和指南。數據安全管理通常是基于數據安全生命周期的創建、存儲、使用、共享、歸檔和銷毀6個階段展開的。這是一個理論模型，并不是所有的數據的生命周期都要完整地經歷這6個階段。另外，數據安全生命周期是一個動態的過程，需要將數據的狀態（或處所）、數據使用者的角色、數據使用者的位置、數據的功能（如訪問、處理、存儲）等方面綜合起來考慮。針對同樣的數據，不同的人從不同的位置訪問，面臨的安全風險和需要采取的安全防護措施都可能不一樣。

安全合規工作主要是指法律法規和標準的遵從性。法律方面如我國的《網絡安全法》《個人信息保護規范》、歐盟通用數據保護條例GDPR、美國加州隱私法案CCPA等。除了法律法規，還有一些行業的前置監管機構頒布的行業指引或規范，都帶有一定的強制性，是監管機構執法的依據。標準通常可以分為推薦標準和強制標準。推薦標準可以自愿選擇是否遵從，但強制標準必須遵從。常見的標準如CSA標準、NIST標準、ISO標準、國家標準等。

第2部分包括本書第4～12章的內容，分別是基礎設施安全、網絡安全、系統安全、應用安全、數據安全、安全運維、安全滲透測試、隱私保護法規與技術、安全標準與合規。通過第2部分各章節內容的學習，讀者將對如何構建安全的網絡服務有一個體系化的認知和理解。希望讀者在未來的工作和學習中能夠用上。