X-SDP：零信任新紀元

SDP 是零信任三大落地技術之一，主要解決終端到應用的訪問安全問題。本書提出的 X-SDP 是 SDP 的擴展實現，將 SDP 的被動防禦等級提升至主動防禦，真正確保終端到應用場 景的訪問安全。 本書介紹了終端到應用場景的現狀及典型安全解決方案、零信任網絡安全架構和主要流 派、SDP 與 ZTNA 架構的相關情況及 SDP 的演進路徑、X-SDP 的三大核心能力、SPA 的演進、 全網終端認證、優異的接入體驗、高可用和分佈式多活，同時給出了 X-SDP 的應用案例並對其 後續發展進行了展望。

第1章 網絡安全領域的基本概念 1
1.1 信息安全與網絡安全 1
1.1.1 信息安全 1
1.1.2 網絡安全 2
1.1.3 信息安全與網絡安全的關系 3
1.2 數據安全 4
1.2.1 數據安全的兩層含義 4
1.2.2 數據隱私與數據合規 5
1.2.3 數據防泄露 5
1.2.4 數據安全與網絡安全的關系 6
1.3 網絡安全常見分類方式 7
1.3.1 能力類型視角 7
1.3.2 建設任務視角 8
1.4 防入侵——網絡安全最關鍵的子領域 9
第2章 從E-＞A場景的網絡變遷談邊界模糊化 12
2.1 E-＞A場景下的網絡變遷 13
2.1.1 職場側網絡變遷 14
2.1.2 應用側網絡變遷 16
2.2 典型的網絡安全架構——安全邊界 19
2.2.1 安全邊界網絡架構的安全標準 19
2.2.2 基於分區分域的安全邊界 21
2.2.3 大型機構的典型網絡 22
2.3 網絡邊界模糊化問題及成因 24
第3章 E-＞A場景下的威脅與挑戰 27
3.1 各環節面臨的威脅與挑戰 27
3.1.1 終端面臨的安全威脅與挑戰 29
3.1.2 賬號面臨的安全威脅與挑戰 30
3.1.3 應用面臨的安全威脅與挑戰 32
3.1.4 整體安全態勢變化帶來的宏觀威脅 34
3.2 防入侵和防泄露 36
3.2.1 防入侵和防泄露威脅概覽 36
3.2.2 從另一個視角理解防入侵和防泄露 39
第4章 E-＞A場景下典型安全解決方案與零信任 40
4.1 多個視角理解E-＞A場景下的安全架構 40
4.1.1 安全架構全景概覽 40
4.1.2 安全技術體系架構 42
4.2 典型安全方案的困境與零信任 47
4.2.1 典型安全方案的困境 47
4.2.2 網絡邊界模糊化帶來的問題 48
4.2.3 應運而生的零信任 50
4.2.4 零信任的邏輯架構 52
4.2.5 國際零信任發展簡史 54
4.2.6 國內零信任發展簡史 56
第5章 零信任典型方案盤點 57
5.1 E-＞A場景的網絡組成 57
5.1.1 企業網 58
5.1.2 企業網的典型網絡分區 58
5.1.3 關聯網絡區域 59
5.1.4 零信任的保護範圍 60
5.2 零信任方案子場景 61
5.3 零信任的關鍵特徵 62
5.4 產品型流派之SDP 64
5.4.1 從VPN到SDP 65
5.4.2 SDP的子流派 69
5.5 增強型IAM 72
5.5.1 增強型IAM與SDP的關鍵區別 72
5.5.2 增強型IAM的典型適用場景 73
5.5.3 增強型IAM產品特性 73
5.6 微隔離 74
5.7 零信任API網關 75
5.8 終端數據沙箱 75
5.9 遠程瀏覽器 77
5.10 零信任方案的補充技術 78
5.10.1 E-＞A場景下的補充技術 78
5.10.2 E-＞E場景下的典型安全技術 81
5.10.3 終端安全 82
5.10.4 終端防泄露 84
5.11 雲管端綜合型方案 88
5.12 終端All In One方案 90
5.13 安全訪問服務邊緣 92
5.13.1 IA和PA 93
5.13.2 優勢與劣勢 93
第6章 深入瞭解SDP與ZTNA 95
6.1 端點啟動和服務啟動 95
6.1.1 端點啟動 95
6.1.2 服務啟動 97
6.2 深入瞭解SDP 100
6.2.1 SDP和雲安全聯盟 100
6.2.2 SPA 101
6.2.3 SPA的代際之爭 109
6.2.4 5層防禦與4層認證 115
6.2.5 SDP其他場景設想 117
6.3 部署模式 118
6.3.1 飛地網關 118
6.3.2 資源門戶 119
6.3.3 其他 120
第7章 從SDP到X-SDP的演進 122
7.1 SDP與SSL VPN 122
7.1.1 SDP產品與基於SDP的多組件方案 123
7.1.2 特性能力 123
7.1.3 安全防禦效果 128
7.2 什麽是X-SDP 131
7.2.1 SDP面臨的挑戰 131
7.2.2 X-SDP應運而“升” 135
第8章 原生零誤報實時鑒黑及響應能力 137
8.1 鑒黑的發展歷程 138
8.1.1 防病毒：靜態特徵＋定期更新 139
8.1.2 端點保護平臺：靜態特徵＋雲端協同 140
8.1.3 端點檢測與響應：從靜態特徵到動態行為特徵 146
8.1.4 擴展檢測和響應：多源遙測特徵＋人工智能 146
8.2 從特徵檢測到欺騙防禦 148
8.2.1 攻防不對稱 149
8.2.2 欺騙技術：從大數據到正確數據 150
8.3 典型欺騙技術 151
8.3.1 概述 151
8.3.2 部署形式 152
8.3.3 優勢與不足 153
8.3.4 適用場景 156
8.3.5 基於應用代理的嵌入式蜜罐 157
8.3.6 X-SDP和賬號蜜罐 159
8.4 X-SDP鑒黑的關鍵特徵 160
8.4.1 原生鑒黑 161
8.4.2 零誤報鑒黑 164
8.4.3 實時鑒黑 164
8.5 X-SDP融合欺騙的優勢 165
8.5.1 與典型欺騙對比 165
8.5.2 與典型DR檢測對比 167
8.6 X-SDP鑒黑完全態 167
8.6.1 輕量級IoC 167
8.6.2 輕量級IoA 168
8.6.3 漏報率 168
8.6.4 性能與穩定性 169
第9章 基於三道防線的體系化縱深防禦能力 171
9.1 SDP的三道防線 171
9.1.1 邊界接入網關的核心原理 172
9.1.2 關鍵環節分析 173
9.2 賬號防線的縱深防禦 175
9.3 終端防線的縱深防禦 177
9.4 設備防線的縱深防禦 178
9.5 從攻擊視角解讀 180
9.5.1 滲透和後滲透 180
9.5.2 網絡殺傷鏈 180
9.5.3 ATT＆CK 182
9.5.4 賬號防線面臨的攻擊 193
9.5.5 終端防線面臨的攻擊 196
9.5.6 設備防線面臨的攻擊 198
9.6 3＋X攻防一體化縱深防禦架構 201
9.6.1 D3FEND框架 202
9.6.2 其他防禦框架 207
第10章 主動威脅預警能力 211
10.1 X-SDP全鏈路可視 211
10.1.1 縱深防線可視 212
10.1.2 會話級溯源可視 216
10.2 主動威脅預警 217
第11章 SPA的持續演進 218
11.1 優秀的SDP產品應具備的內核能力 218
11.2 SPA的演進 223
11.2.1 SPA認證因子的主要形式 223
11.2.2 第3.5代SPA 227
11.2.3 第4代SPA 228
11.2.4 一次一碼的典型實現 229
11.3 後續演進與展望 232
11.3.1 高安全新一代SPA：基於硬件的SPA 232
11.3.2 SPA技術的體驗影響 233
第12章 全網終端認證 234
12.1 終端認證 234
12.1.1 典型方案 235
12.1.2 優劣勢分析 236
12.1.3 落地障礙 238
12.2 什麽是全網終端認證 238
12.2.1 認證的基本因素 239
12.2.2 典型的雙因素認證舉例 239
12.2.3 認證的本質 239
12.2.4 信任傳遞 240
12.2.5 適用場景 241
12.2.6 典型流程 242
第13章 優異的接入體驗 247
13.1 SDP登錄耗時 247
13.2 新建連接耗時 249
13.3 應用訪問吞吐量 256
第14章 高可用和分佈式多活 259
14.1 CISSP中的業務連續性計劃與災難恢復計劃 259
14.2 技術視角的高可用和災難恢復 260
14.2.1 RTO和RPO 260
14.2.2 可用性目標 261
14.2.3 HA的典型模式 262
14.2.4 DR的典型模式 265
14.2.5 SDP的HA與DR 268
14.3 SDP能力評估 271
14.3.1 SDP控制器的HA能力評估 271
14.3.2 SDP控制器的DR能力評估 274
14.3.3 SDP代理網關的HA與DR能力評估 275
第15章 X-SDP典型應用案例 278
15.1 金融領域典型應用案例 278
15.1.1 案例背景 278
15.1.2 應用場景 280
15.1.3 解決方案 282
15.1.4 效果及價值 285
15.2 大型企業典型應用案例 286
15.2.1 案例背景 286
15.2.2 應用場景 287
15.2.3 解決方案 288
15.2.4 效果及價值 289
第16章 X-SDP展望 291
16.1 X-SDP和防入侵 291
16.1.1 X-SDP的安全等級 292
16.1.2 X-SDP的防入侵效果展望 293
16.2 X-SDP和防泄露 295
16.3 走向E-＞A場景下的全網零信任 296
16.3.1 E-＞A場景下的全網零信任 297
16.3.2 未來已來 299
參考文獻 301