📘 PaaS 安全架构 · 合规实践
📚 30 章 · 体系化目录
01
PaaS安全概述
PaaS模型定义
共享责任模型
安全挑战与威胁建模
02
平台基础设施安全
容器运行时安全
K8s集群安全加固
节点与主机安全基线
03
身份与访问管理(IAM)
RBAC/ABAC策略
服务账户与密钥
联合身份与SSO
04
数据安全与加密
静态加密(KMS)
TLS/mTLS
密钥轮换与生命周期
05
网络安全策略
NetworkPolicy设计
服务网格安全
南北/东西向流量隔离
06
安全开发生命周期
安全需求分析
SAST/DAST
镜像签名与漏洞扫描
07
日志与监控审计
集中式日志(EFK/ELK)
SIEM事件监控
审计日志保留
08
合规框架与标准
GDPR/HIPAA/PCI-DSS
SOC2
ISO27001映射
09
供应链安全
SBOM
镜像来源验证
依赖项漏洞管理
10
API安全
API网关认证与限流
OAuth2.0/JWT
API异常检测
11
密钥与凭据管理
Vault集成
动态密钥生成
凭据注入最佳实践
12
多租户隔离
租户数据隔离
资源配额与限制
租户密钥独立管理
13
灾难恢复与业务连续性
跨区域备份
数据复制策略
故障切换演练
14
安全自动化与策略即代码
OPA/Gatekeeper
Terraform安全扫描
合规即代码
15
容器镜像安全
镜像分层分析
基础镜像选择
AppArmor/Seccomp
16
服务网格安全
Istio安全架构
mTLS流量加密
授权策略
17
无服务器安全
函数权限最小化
事件源安全
冷启动风险
18
安全配置管理
配置漂移检测
K8s安全上下文
Pod安全标准(PSA)
19
威胁检测与响应
异常行为检测
运行时安全(Falco)
事件响应自动化
20
合规审计自动化
自动化合规检查
合规报告生成
持续合规监控
21
数据防泄漏(DLP)
敏感数据识别
数据脱敏策略
出口流量监控
22
身份治理
用户生命周期
特权账号管理(PAM)
访问审查与认证
23
安全培训与意识
开发者安全培训
安全文化构建
钓鱼演练
24
第三方风险管理
供应商安全评估
第三方API安全
合同安全条款
25
零信任架构
零信任原则在PaaS
持续验证与最小权限
微隔离技术
26
安全度量与KPI
安全指标定义
漏洞修复SLA
安全态势仪表盘
27
边缘计算安全
边缘节点安全
边缘数据保护
边缘合规挑战
28
AI/ML安全
模型安全
训练数据保护
AI供应链安全
29
混合云安全
多云统一策略
跨云身份管理
混合云网络加密
30
未来趋势与演进
机密计算
安全服务网格
AI驱动安全运营