零信任安全從入門到精通

“零信任”（Zero Trust），這一安全行業內的熱詞正在迅速從“營銷”概念向務實轉變，從安全範式向落地實踐過渡，並在逐漸驗證面對新安全威脅時其有效性和前瞻性。本書首先介紹零信任的起源、概念，其次介紹零信任的關鍵技術及框架，接著列舉部分零信任的實踐應用，最後對零信任進行總結和展望。另外，本書還對零信任的一些行業應用案例進行梳理，以期對計劃實施零信任的企業單位及安全從業人員提供一些參考和啟發。安全行業沒有“銀彈”，零信任也不例外。零信任仍然在不斷發展和完善之中，還有很多需要改進的地方，如在落地過程中還存在諸多挑戰有待解決。在選擇零信任過程中，還需理智對待。零信任是一種戰略，實施零信任將是一個漫長的旅程，有待讀者和我們一起在未來的零信任之路上，共同探索，共同思考，共同成長。本書適合信息安全從業人員閱讀，特別適合對零信任感興趣或希望對零信任有較深入瞭解的人員閱讀和參考。

目 錄

第1章 為什麽是零信任 1
1.1 網絡安全不斷演進 2
1.1.1 網絡安全的定義 2
1.1.2 網絡安全經典事件回顧 2
1.1.3 我國網絡安全發展階段回顧 4
1.2 傳統安全防禦體系面臨挑戰 5
1.2.1 遠程辦公導致網絡安全風險急劇增加 5
1.2.2 物聯網設備越來越多 5
1.2.3 傳統安全防禦體系的安全盲點 5
1.3 零信任安全是網絡安全的新選擇 6
1.3.1 數字化正在改變安全 6
1.3.2 零信任是新的安全範式 6
1.3.3 零信任的商業模式 7
1.4 本章小結 7
第2章 零信任概述 9
2.1 零信任的發展現狀 9
2.1.1 零信任概念的提出 9
2.1.2 零信任的早期踐行者 10
2.1.3 零信任相關技術發展概述 10
2.1.4 零信任產業聯盟介紹 11
2.1.5 零信任相關技術標準化進展 11
2.2 國家層面對零信任的關註 13
2.2.1 中國 13
2.2.2 美國 14
2.2.3 其他國家 15
2.3 零信任的基本概念 16
2.3.1 零信任的定義 16
2.3.2 零信任抽象架構 16
2.3.3 零信任的核心關鍵能力 17
2.3.4 零信任三大實踐技術綜述 17
2.3.5 信任評估算法 19
第3章 身份管理與訪問控制（IAM） 20
3.1 身份管理與訪問控制現狀 21
3.1.1 身份管理現狀 21
3.1.2 身份認證現狀 22
3.1.3 系統訪問權限控制現狀 24
3.1.4 用戶訪問行為審計現狀 25
3.2 身份管理與訪問控制的基本概念 26
3.2.1 IAM的定義與總體架構 26
3.2.2 IAM的應用領域 28
3.2.3 IAM產品形態及部署模式 28
3.3 身份管理 30
3.3.1 身份管理主體對象 31
3.3.2 身份管理實體內容 32
3.3.3 身份管理客體對象 34
3.3.4 身份識別服務 36
3.3.5 身份全生命周期管理 36
3.3.6 特權賬號管理 38
3.3.7 身份信息同步模式 42
3.4 身份認證 44
3.4.1 身份認證的類型 44
3.4.2 常見身份認證方式 45
3.4.3 多維度聯合認證 50
3.4.4 單點登錄（SSO） 51
3.4.5 CAS協議 53
3.4.6 SAML協議 55
3.4.7 OAuth協議 56
3.4.8 OpenID協議 58
3.4.9 其他協議 60
3.5 訪問控制 62
3.5.1 訪問控制框架與模型 62
3.5.2 訪問控制過程 64
3.6 審計風控 77
3.6.1 全方位審計機制 77
3.6.2 用戶行為風險分析 78
3.6.3 UEBA簡介 81
3.7 IAM發展趨勢展望 84
3.7.1 IAM發展預測 85
3.7.2 CIAM發展漫談 86
3.7.3 物聯網IAM發展漫談 88
第4章 軟件定義邊界（SDP） 90
4.1 SDP的基本概念 90
4.1.1 SDP技術的由來 91
4.1.2 SDP技術的定義 93
4.1.3 SDP與零信任網絡 95
4.1.4 SDP技術商業與技術優勢 97
4.1.5 SDP技術主要功能 99
4.1.6 SDP與十二大安全威脅 100
4.1.7 SDP標準規範《SDP 2.0》與《SDP 1.0》 101
4.2 SDP技術架構與通信協議 103
4.2.1 SDP架構概述 103
4.2.2 SDP組件介紹 104
4.2.3 SDP的工作原理與流程 106
4.2.4 SDP與訪問控制 108
4.2.5 單包授權（SPA） 109
4.2.6 mTLS通信協議 113
4.2.7 AH-控制器協議 113
4.2.8 IH-控制器協議 116
4.2.9 動態隧道模式（DTM）下的IH-AH協議 118
4.2.10 SDP審計日誌 120
4.3 SDP技術架構部署模型 123
4.3.1 客戶端?服務器模式 123
4.3.2 服務器?服務器模式 124
4.3.3 客戶端?服務器?客戶端模式 125
4.3.4 客戶端?網關?客戶端模式 126
4.3.5 網關?網關模式 126
4.4 SDP與傳統網絡安全產品的關系 127
4.4.1 企業信息安全架構全景圖 127
4.4.2 SDP與現有設備管理系統 128
4.4.3 SDP與SIEM系統 128
4.4.4 SDP與IDS/IPS 129
4.4.5 SDP與VPN 130
4.4.6 SDP與NGFW 131
4.4.7 SDP與IAM 131
4.4.8 SDP與NAC 132
4.4.9 SDP與WAF 132
4.4.10 SDP與CASB 133
4.4.11 SDP與PKI 133
4.4.12 SDP與SDN/NFV 133
4.5 SDP應用實踐 134
4.5.1 採用SDP需考慮的問題 134
4.5.2 SDP應用場景總結 135
4.6 SDP安全遠程接入（替代VPN） 140
4.6.1 現有VPN存在的問題 140
4.6.2 SDP替代VPN的優勢 140
4.7 SDP幫助企業安全上雲 141
4.7.1 IaaS安全概述 141
4.7.2 IaaS技術原理 142
4.7.3 混合雲及多雲環境 149
4.7.4 替代計算模型 149
4.7.5 容器和SDP 150
4.8 SDP防禦分佈式拒絕服務（DDoS）攻擊 150
4.8.1 DDoS和DoS攻擊的定義 150
4.8.2 SDP防禦DDoS攻擊 152
4.8.3 SDP防禦HTTP泛洪攻擊 153
4.8.4 SDP防禦TCP SYN泛洪攻擊 154
4.8.5 SDP防禦UDP反射攻擊 155
4.8.6 網絡層次結構與DDoS攻擊 156
4.8.7 針對Memcached的大規模攻擊 158
第5章 微隔離（MSG） 159
5.1 網絡安全挑戰 159
5.1.1 東西向流量安全面臨的挑戰 160
5.1.2 東西向流量常見安全問題 160
5.1.3 傳統安全模型的弊端 161
5.1.4 微隔離順勢出現 162
5.2 微隔離的基本概念及其技術的發展趨勢 163
5.2.1 微隔離的基本概念 163
5.2.2 微隔離技術的發展趨勢 165
5.3 微隔離的價值 166
5.3.1 微隔離正改變網絡安全架構 167
5.3.2 微隔離助力雲計算走向零信任 168
5.3.3 微隔離的價值總結 170
5.4 微隔離的4種技術路線 171
5.4.1 雲自身控制 171
5.4.2 第三方防火牆 172
5.4.3 代理模式 173
5.4.4 混合模式 174
5.5 微隔離的技術趨勢 174
5.5.1 面向業務的策略模型 175
5.5.2 自適應的執行策略 175
5.5.3 軟件定義的策略管理 175
5.6 微隔離的部署實施 176
5.6.1 微隔離的五步法實施過程 176
5.6.2 微隔離實施過程的實例解析 181
5.6.3 微隔離的實施過程小結 182
5.7 微隔離最佳實踐 182
5.7.1 雲原生控制 183
5.7.2 第三方防火牆 185
5.7.3 基於代理的模式 186
5.7.4 混合模式 187
5.7.5 微隔離最佳實踐小結 189
第6章 零信任應用場景 190
6.1 應用場景概述 190
6.1.1 員工遠程訪問 191
6.1.2 外部人員遠程訪問 192
6.1.3 服務器間數據交換 192
6.1.4 物聯網組網 193
6.1.5 安全合規要求的滿足 193
6.1.6 保護敏感數據 193
6.2 企業內部的安全訪問場景 194
6.2.1 分支機構的遠程接入 194
6.2.2 出差員工的遠程辦公 196
6.2.3 基於C/S應用的遠程接入 199
6.2.4 開發人員從企業內部訪問後端系統 200
6.2.5 從外部訪問企業後端系統 201
6.2.6 同時訪問企業內部與雲上資源 202
6.2.7 啟動雲端服務實例 204
6.2.8 啟動服務實例並訪問雲上後端系統 205
6.2.9 訪問服務商提供的硬件管理平臺 206
6.2.10 移動端遠程辦公 207
6.3 企業與外部的協作場景 209
6.3.1 外包人員/訪客對企業資源的訪問 209
6.3.2 跨企業邊界的協作 212
6.3.3 抗DDoS攻擊 215
6.4 系統間的安全訪問 218
6.4.1 多雲管理 218
6.4.2 微隔離防止內網橫向攻擊 221
6.4.3 API數據交換 222
6.5 物聯網安全連接 226
6.5.1 物聯網安全面臨的挑戰 227
6.5.2 物聯網的零信任安全組網 230
6.6 安全與合規要求 233
6.6.1 SDP助力滿足等保2.0 234
6.6.2 IAM助力滿足等保2.0 264
6.6.3 微隔離助力滿足等保2.0 265
6.7 敏感數據的零信任方案 266
6.7.1 敏感數據安全防護的挑戰 266
6.7.2 基於零信任的敏感數據保護方案 267
第7章 零信任的戰略規劃與實施 269
7.1 零信任戰略綜述 269
7.1.1 零信任戰略的意義 269
7.1.2 零信任戰略實施的關鍵基礎 270
7.1.3 零信任戰略的實施線路 271
7.2 確立零信任戰略願景 272
7.2.1 建立零信任安全思維 273
7.2.2 認識零信任關鍵能力 274
7.3 編制零信任戰略行動計劃 277
7.3.1 規劃先行的意義 277
7.3.2 零信任成熟度模型 277
7.3.3 編制階段性行動計劃 281
7.4 零信任建設成效評估 283
7.4.1 基本原則 284
7.4.2 制定評估指標框架 284
7.4.3 評估內容分析 285
7.5 零信任實施問題及解決思路 285
7.5.1 保護賬戶憑證等身份標識 286
7.5.2 減輕加密流量的安全風險 286
7.5.3 零信任架構涉及的數據安全保護 286
7.5.4 零信任必須防範內部威脅 286
7.5.5 零信任體系與外部系統對接 287
7.5.6 微隔離實施面臨的問題 287
7.5.7 雲原生改造面臨的問題 288
7.6 本章小結 289
第8章 零信任落地部署模式——SASE 290
8.1 SASE簡介 290
8.1.1 SASE背景現狀 290
8.1.2 SASE的定義 291
8.1.3 SASE的價值 292
8.2 SASE的系統架構 293
8.3 SASE的核心特徵 294
8.3.1 身份驅動 294
8.3.2 雲原生架構 295
8.3.3 近源部署 295
8.3.4 分佈互聯 295
8.4 SASE的核心技術 295
8.4.1 身份認證 296
8.4.2 SD-WAN 297
8.4.3 雲原生技術 299
8.4.4 邊緣計算 302
8.4.5 安全即服務（SECaaS） 303
8.5 SASE的現狀與應用 307
8.5.1 標準化進展 307
8.5.2 產業情況 308
8.5.3 應用場景 308
8.6 SASE技術總結 311
第9章 零信任行業評估標準 312
9.1 零信任專家認證 312
9.1.1 CZTP概述 312
9.1.2 CZTP核心課程內容 313
9.1.3 CZTP考核方式 314
9.1.4 具備CZTP資質的企業 314
9.2 零信任能力成熟度模型 314
9.2.1 零信任能力成熟度模型概述 315
9.2.2 零信任能力成熟度矩陣 315
9.2.3 零信任能力成熟度模型評估方法 323
第10章 零信任實踐案例 324
10.1 Google BeyondCorp實踐案例 324
10.1.1 項目背景 324
10.1.2 解決方案 325
10.1.3 實施效果 328
10.1.4 挑戰與經驗 328
10.2 政企行業的零信任實踐案例 329
10.2.1 行業特點 330
10.2.2 解決方案 331
10.2.3 優點 332
10.3 金融行業的零信任實踐案例 334
10.3.1 行業特點 334
10.3.2 解決方案 336
10.3.3 優點 337
10.4 運營商行業的零信任實踐案例 338
10.4.1 行業特點 338
10.4.2 解決方案 339
10.4.3 優點 340
10.5 製造業的零信任實踐案例 341
10.5.1 行業特點 341
10.5.2 解決方案 341
10.5.3 優點 344
10.6 能源行業的零信任實踐案例 345
10.6.1 行業特點 345
10.6.2 解決方案 345
10.6.3 優點 347
10.7 醫療行業的零信任實踐案例 348
10.7.1 行業特點 348
10.7.2 解決方案 349
10.7.3 優點 352
10.8 互聯網行業的零信任實踐案例 353
10.8.1 行業特點 353
10.8.2 解決方案 353
10.8.3 優點 354
第11章 零信任總結與展望 355
11.1 網絡安全技術的演進歷程 355
11.2 零信任理念及技術 357
11.2.1 零信任理念及架構 357
11.2.2 零信任與IAM 359
11.2.3 零信任與SDP 360
11.2.4 零信任與微隔離 361
11.2.5 零信任的應用場景與部署實施 362
11.3 零信任架構的潛在威脅 362
11.3.1 零信任架構決策過程被破壞 363
11.3.2 拒絕服務或網絡中斷 364
11.3.3 憑證被盜或者內部威脅 364
11.3.4 網絡的可見性 365
11.3.5 系統和網絡信息的存儲 366
11.3.6 在零信任架構管理中使用非人類實體 366
11.4 網絡安全技術發展展望 367
11.4.1 SASE 367
11.4.2 擴展檢測和響應 369
11.4.3 AI驅動的安全 371
附錄A 縮略語 374