容器安全｜雲端原生應用的底層技術與防禦機制第二版


	⭐⭐來自業界專家的推薦⭐⭐ 「如果Liz Rice的那場精彩演講『Containers From Scratch』與實機示範讓你沉醉不已，本書將帶你進一步踏入容器安全的神秘殿堂，以深入淺出的技巧、實用的工具，以及最佳做法，全面守護你的應用程式與珍貴資料。」 ——Andrew Martin，CEO，ControlPlane 「此一全新版本大幅擴充了關於Linux系統與容器基礎知識的篇幅，是安全容器操作的必備寶典。」 ——Phil Estes，AWS容器與開源策略首席工程師隨著容器化與雲端原生應用程式逐漸成為現代軟體基礎架構的核心，深入理解其安全隱患，從未如此迫切。第二版以嚴謹且務實的視角，深入剖析容器平台的核心技術，為開發人員、維運專業人士與資安從業者建立思維模型，協助你評估風險，強化系統韌性。本書由雲端原生安全領域的權威專家Liz Rice執筆，在第一版奠定的基礎原則之上，進一步納入當今不斷演變的威脅態勢、現代工具鏈，以及Kubernetes與Linux等平台的最新發展。讀者將深入掌握容器背後的架構，以及支持容器運作的Linux基本元件，從系統層面全面理解威脅來源，以及對應的緩解策略。 • 從資安視角深入探究容器的底層技術架構 • 全面評估容器執行環境與容器編排平台之中，持續演變的風險與防禦策略 • 深度解析現代工具鏈的意涵，涵蓋eBPF與AI驅動方法 • 活用核心原則，在動態環境中評估並強化真實部署場景的安全性


	目錄第一章容器安全威脅風險、威脅與緩解措施容器威脅模型安全邊界多租戶安全原則第二章 Linux 系統呼叫、權限與能力系統呼叫檔案權限 Linux 能力特權提升第三章控制群組控制群組控制器建立與設置 Cgroups 將程序指派至 Cgroup 容器的 Cgroups 防範 Fork 炸彈第四章容器隔離 Linux 名稱空間隔離主機名稱隔離程序 ID 變更根目錄結合名稱空間隔離與根目錄變更 Mount 名稱空間網路名稱空間使用者名稱空間程序間通訊名稱空間 Cgroup 名稱空間時間名稱空間 Kubernetes Pods 與容器名稱空間從主機視角觀察容器程序容器主機第五章虛擬機器啟動機器 VMM 登場攔截與模擬處理不可虛擬化的指令嵌套虛擬化 KubeVirt 程序隔離與安全性虛擬機器的缺點容器隔離與虛擬機器隔離的比較第六章容器映像檔根目錄檔案系統與映像檔組態在執行期覆寫組態 OCI 標準映像檔組態建置映像檔儲存映像檔識別映像檔第七章供應鏈安全容器映像檔軟體元件 SLSA Software Bill of Materials 將基礎映像檔最小化 Dockerfile 安全針對建置機器的攻擊生成 SBOM 簽署映像檔和軟體產物建置證明映像檔 Manifests 映像檔部署安全性第八章在映像檔裡的軟體漏洞漏洞研究漏洞、修補程式與發行版在應用程式層面上的漏洞漏洞風險管理漏洞掃描已安裝的套件容器映像檔掃描掃描工具在 CI/CD 流程中掃描防止存在漏洞的映像檔執行更新映像檔零日漏洞第九章基礎設施即程式碼與 GitOps IaC GitOps 對部署安全性的影響 GitOps 安全最佳做法第十章加強容器隔離程度 Seccomp AppArmor SELinux gVisor Kata Containers 輕量級 / 微型虛擬機器 Unikernels 第十一章破壞容器隔離容器預設以 root 身分執行 --privileged 旗標與能力掛載敏感目錄掛載 Docker Socket 在容器與其主機之間共享名稱空間 Sidecar 容器 Debug 容器第十二章容器網路安全容器防火牆與微分段 OSI 網路模型傳送 IP 封包容器的 IP 位址網路隔離第 3/4 層路由與規則網路政策網路政策解決方案服務網格網路政策最佳做法第十三章安全地連接元件安全連線 X.509 憑證 TLS 連線 WireGuard 和 IPSec 零信任網路容器之間的安全連線憑證撤銷使用服務網格來加密流量 SPIFFE 外部流量網路觀測工具與日誌記錄第十四章將機密傳給容器機密的特性將資訊傳入容器 Kubernetes Secrets 機密可被 Root 存取第十五章容器執行期防護容器映像檔執行期政策執行期安全的技術選項容器執行期安全工具該阻止還是警告隔離容器漏洞緩解第十六章容器與 OWASP 的十大風險存取控制失效密碼學失效注入不安全的設計安全組態設置不當有漏洞及過時的元件身分識別與驗證失效軟體和資料不正確安全日誌記錄與監測失效伺服器端請求偽造附錄　安全檢查清單

容器安全｜雲端原生應用的底層技術與防禦機制 第二版

容器安全｜雲端原生應用的底層技術與防禦機制第二版