零信任網(wǎng)絡 在不可信網(wǎng)絡中構建安全系統(tǒng)
《零信任網(wǎng)絡:在不可信網(wǎng)絡中構建安全系統(tǒng)》分為10章���,從介紹零信任的基本概念開始�,描述了管理信任��,網(wǎng)絡代理�,建立設備信任、用戶信任���、應用信任以及流量信任��,零信任網(wǎng)絡的實現(xiàn)和攻擊者視圖等內容����!读阈湃尉W(wǎng)絡:在不可信網(wǎng)絡中構建安全系統(tǒng)》主要展示了零信任如何讓讀者專注于構建強大的身份認證和加密��,同時提供分區(qū)訪問和更好的操作敏捷性��。通過閱讀《零信任網(wǎng)絡:在不可信網(wǎng)絡中構建安全系統(tǒng)》���,讀者將了解零信任網(wǎng)絡的架構,包括如何使用當前可用的技術構建一個架構�。
《零信任網(wǎng)絡:在不可信網(wǎng)絡中構建安全系統(tǒng)》適合網(wǎng)絡工程師、安全工程師��、CTO以及對零信任技術感興趣的讀者閱讀��。
本書適合網(wǎng)絡工程師�、安全工程師、CTO以及對零信任技術感興趣的讀者閱讀����。
1.國內首部介紹零信任網(wǎng)絡的專業(yè)技術圖書。
2.內容全面豐富���,是學習零信任網(wǎng)絡不可或缺的參考資料���。
3.全面解析零信任網(wǎng)絡技術,系統(tǒng)介紹構建零信任網(wǎng)絡的方方面面��。
保護網(wǎng)絡的邊界安全防御措施并不如人們想象中那么牢不可破���。防火墻保護之下的網(wǎng)絡主機自身的安全防護非常弱��,一旦可信網(wǎng)絡中的某個主機被攻陷��,那么攻擊者很快就能以此為跳板����,侵入數(shù)據(jù)中心。為解決傳統(tǒng)邊界安全模型固有的缺陷�����,本書為讀者介紹了零信任模型���,該模型認為整個網(wǎng)絡無論內外都是不安全的��,可信內網(wǎng)中的主機面臨著與互聯(lián)網(wǎng)上的主機相同的安全威脅��。
作者埃文·吉爾曼(Evan Gilman)和道格·巴特(Doug Barth)揭示了零信任模型如何聚焦于構建覆蓋全網(wǎng)的強認證和加密系統(tǒng)���,如何實現(xiàn)動態(tài)訪問控制并保持系統(tǒng)運營的敏捷性。通過閱讀學習本書���,讀者可以掌握零信任網(wǎng)絡的體系架構��,并學會如何利用現(xiàn)有的技術逐步構建一個零信任網(wǎng)絡����。
·理解零信任模型是如何把安全內嵌入系統(tǒng)的運營管理����,而不是建立在系統(tǒng)之上�。
·掌握零信任網(wǎng)絡中主要組件的基本概念�,包括網(wǎng)絡代理和信任引擎。
·使用現(xiàn)有的技術在網(wǎng)絡參與者之間建立信任�����。
·學習如何把基于邊界安全模型的網(wǎng)絡遷移到零信任網(wǎng)絡��。
·分析零信任模型的實踐案例���,包括Google在客戶端的實踐和PagerDuty在服務端的實踐。
埃文·吉爾曼(Evan Gilman)是一名計算機網(wǎng)絡工程師�����,目前為互聯(lián)網(wǎng)公共社區(qū)工作����。Evan的整個職業(yè)生涯都致力于研究如何在危險的網(wǎng)絡環(huán)境中構建和運營安全系統(tǒng)。
道格·巴特(Doug Barth)是一名軟件工程師�����,曾服務于Orbitz、PagerDuty等不同規(guī)模的公司��。他在構建監(jiān)控系統(tǒng)���、無線自組網(wǎng)(Mesh Network)��、故障注入等技術方向有豐富的實踐經(jīng)驗����。
這本書為我們展示了一個理想的現(xiàn)代安全模型的框架�����,并包含了大量高價值的實戰(zhàn)經(jīng)驗��。如果您正在考慮如何在公有云或者辦公機構分布全球的環(huán)境下構建安全防護措施���,那么建議您仔細閱讀并遵循這本書中的建議和指導�����。
Bryan Berg���,Stripe公司基礎設施工程師
Evan和Doug對于零信任網(wǎng)絡有著深刻的理解和豐富的實踐經(jīng)驗�����,這本書是非常出色的實用手冊�,可以作為各種網(wǎng)絡部署實施現(xiàn)代安全架構的參考指南���。
Ryan Huber����,Slack公司安全運營經(jīng)理
埃文·吉爾曼(Evan Gilman)是一名計算機網(wǎng)絡工程師�,目前為互聯(lián)網(wǎng)公共社區(qū)工作���。Evan的整個職業(yè)生涯都致力于研究如何在危險的網(wǎng)絡環(huán)境中構建和運營安全系統(tǒng)�����。
道格·巴特(Doug Barth)是一名軟件工程師���,曾服務于Orbitz、PagerDuty等不同規(guī)模的公司���。他在構建監(jiān)控系統(tǒng)����、無線自組網(wǎng)(Mesh Network)、故障注入等技術方向有豐富的實踐經(jīng)驗��。
譯者簡介:奇安信身份安全實驗室是奇安信集團下屬的專注于零信任身份安全架構研究的專業(yè)實驗室���。該團隊以零信任安全����,新身份邊界為技術思想���,探索企業(yè)物理邊界正在瓦解���、傳統(tǒng)邊界防護措施正在失效這一時代背景下的新型安全體系架構,推出以身份為中心����、業(yè)務安全訪問、持續(xù)信任評估��、動態(tài)訪問控制為核心的奇安信天鑒零信任身份安全解決方案�。該團隊結合行業(yè)現(xiàn)狀,大力投入對零信任安全架構的研究和產(chǎn)品標準化�,積極推動零信任身份安全架構在業(yè)界的落地實踐��,其方案已經(jīng)在部委���、央企等得到廣泛的落地實施,得到市場和業(yè)界的高度認可���。同時����,為幫助廣大讀者和技術愛好者更好地理解零信任安全架構及技術體系�,奇安信身份安全實驗室同步在線上成立零信任安全社區(qū) (微信ID:izerotrust),將定期分享和推送零信任身份安全架構在業(yè)界的研究和落地實踐�,歡迎廣大讀者和業(yè)界人士關注���。
第 1章 零信任的基本概念1
1.1 什么是零信任網(wǎng)絡 1
1.2 邊界安全模型的演進 4
1.3 威脅形勢的演進 8
1.4 邊界安全模型的缺陷 11
1.5 信任在哪里 14
1.6 自動化系統(tǒng)的賦能 15
1.7 邊界安全模型與零信任模型的對比 15
1.8 云環(huán)境的應用 17
1.9 總結 18
第 2章 信任管理 20
2.1 威脅模型 22
2.2 強認證 24
2.3 認證信任 26
2.4 最小特權 29
2.5 可變的信任 31
2.6 控制平面和數(shù)據(jù)平面 35
2.7 總結 36
第3章 網(wǎng)絡代理 39
3.1 什么是網(wǎng)絡代理 40
3.2 如何使用網(wǎng)絡代理 41
3.3 如何適當?shù)乇┞毒W(wǎng)絡代理 43
3.4 標準的缺失 44
3.5 總結 46
第4章 授權 47
4.1 授權體系架構 47
4.2 策略執(zhí)行組件 49
4.3 策略引擎 50
4.4 信任引擎 54
4.5 數(shù)據(jù)存儲系統(tǒng) 56
4.6 總結 57
第5章 建立設備信任 59
5.1 初始信任 59
5.2 通過控制平面認證設備 64
5.3 設備清單管理 72
5.4 設備信任續(xù)租 76
5.5 軟件配置管理 79
5.6 使用設備數(shù)據(jù)進行用戶授權 82
5.7 信任信號 83
5.8 總結 84
第6章 建立用戶信任 86
6.1 身份權威性 86
6.2 私有系統(tǒng)的身份初始化 88
6.3 身份的存儲 90
6.4 何時進行身份認證 91
6.5 如何認證身份 93
6.6 用戶組的認證和授權 99
6.7 積極參與���、積極報告 100
6.8 信任信號 101
6.9 總結 102
第7章 建立應用信任 104
7.1 理解應用流水線 105
7.2 信任源代碼 106
7.3 構建系統(tǒng)的信任 108
7.4 建立分發(fā)系統(tǒng)的信任 111
7.5 人工參與 115
7.6 信任實例 116
7.7 運行時安全 118
7.8 總結 122
第8章 建立流量信任 124
8.1 加密和認證 124
8.2 首包認證建立初始信任 126
8.3 網(wǎng)絡模型簡介 128
8.4 零信任應該在網(wǎng)絡模型中的哪個位置 132
8.5 協(xié)議 136
8.6 過濾 147
8.7 總結 153
第9章 零信任網(wǎng)絡的實現(xiàn) 155
9.1 確定實現(xiàn)范圍 155
9.2 建立系統(tǒng)框圖 160
9.3 理解網(wǎng)絡流量 161
9.4 無控制器架構 163
9.5 定義和安裝策略 167
9.6 零信任代理 168
9.7 客戶端與服務端遷移 170
9.8 案例研究 171
9.9 案例:Google BeyondCorp 171
9.10 案例研究:PagerDuty的云平臺無關網(wǎng)絡 183
9.11 總結 188
第 10章 攻擊者視圖 190
10.1 身份竊取 190
10.2 分布式拒絕服務攻擊(DDoS) 191
10.3 枚舉終端 192
10.4 不可信的計算平臺 192
10.5 社會工程學 193
10.6 人身威脅 193
10.7 無效性 194
10.8 控制平面安全 195
10.9 總結 196
書單推薦
