零信任安全:技術(shù)詳解與應(yīng)用實(shí)踐 蔡?hào)|赟
定 價(jià):89 元
- 作者:蔡?hào)|赟
- 出版時(shí)間:2024/3/1
- ISBN:9787111746690
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類(lèi):X931
- 頁(yè)碼:
- 紙張:膠版紙
- 版次:
- 開(kāi)本:16開(kāi)
第?1?章著重講解數(shù)字化時(shí)代企業(yè)安全面臨的挑戰(zhàn),包括:混合辦公、業(yè)務(wù)上云的安全挑戰(zhàn),移動(dòng)終端面臨的威脅,內(nèi)網(wǎng)邊界被突破的威脅,數(shù)據(jù)安全的監(jiān)管合規(guī)約束,身份安全的治理難點(diǎn),用戶訪問(wèn)場(chǎng)景安全的平衡性挑戰(zhàn)。
第?2?章對(duì)零信任的核心概念、解決方案及標(biāo)準(zhǔn)進(jìn)行介紹。首先,講解零信任的理念和相關(guān)概念,以及重要的解決方案。其次,介紹國(guó)內(nèi)外零信任相關(guān)標(biāo)準(zhǔn)的發(fā)展進(jìn)程。
第?3?章對(duì)零信任體系結(jié)構(gòu)進(jìn)行講解,包括NIST、SDP的零信任體系結(jié)構(gòu)及通用的零信任體系結(jié)構(gòu),以及這些體系結(jié)構(gòu)在不同場(chǎng)景的應(yīng)用,后介紹了零信任體系結(jié)構(gòu)面臨的相關(guān)威脅。
第?4?章主要分析用戶訪問(wèn)服務(wù)場(chǎng)景及技術(shù)方案,包括場(chǎng)景分析、零信任網(wǎng)絡(luò)接入的技術(shù)實(shí)現(xiàn)和擴(kuò)展體系結(jié)構(gòu)。其中技術(shù)實(shí)現(xiàn)分為有端和無(wú)端兩種不同的接入場(chǎng)景,分別講解了不同的實(shí)現(xiàn)方案,同時(shí)提供了容災(zāi)方案。而擴(kuò)展體系結(jié)構(gòu)部分則從身份安全、網(wǎng)絡(luò)流量安全、終端設(shè)備安全、數(shù)據(jù)安全、企業(yè)安全建設(shè)路徑等方面展開(kāi)講解,涉及具體安全能力和聯(lián)動(dòng)建議。
第?5?章主要講解服務(wù)訪問(wèn)服務(wù)場(chǎng)景及技術(shù)方案。首先分析工作負(fù)載的安全需求和合規(guī)需求。然后著重介紹了微隔離的技術(shù)實(shí)現(xiàn),包括跨平臺(tái)統(tǒng)一管理、工作負(fù)載標(biāo)簽化管理、東西向連接可視化、東西向流量策略管理、策略自適應(yīng)計(jì)算。接著講解了云應(yīng)用隔離的技術(shù)實(shí)現(xiàn),包括Service Mesh、PKI等方面。
第?6?章首先講解零信任體系規(guī)劃,然后從安全團(tuán)隊(duì)建設(shè)、戰(zhàn)略、建設(shè)價(jià)值、實(shí)施范圍、業(yè)務(wù)場(chǎng)景的實(shí)現(xiàn)方案、實(shí)施過(guò)程管理等角度提供了完善的零信任建設(shè)方法論,并且通過(guò)零信任成熟度來(lái)合理評(píng)估建設(shè)結(jié)果。
第?7?章主要通過(guò)9個(gè)真實(shí)的企業(yè)案例來(lái)講解零信任落地方案。這些案例覆蓋通信、金融、能源、互聯(lián)網(wǎng)等行業(yè),其中有些來(lái)自央企/國(guó)企集團(tuán)。為各個(gè)安全領(lǐng)域的讀者提供了豐富的實(shí)踐參考。
(1)作者權(quán)威:蔡?hào)|赟有十幾年安全領(lǐng)域從業(yè)經(jīng)驗(yàn),先曾任職于金山、奇虎360、騰訊安全部門(mén),主導(dǎo)或參與了國(guó)際、行業(yè)的首個(gè)零信任標(biāo)準(zhǔn)制定。
(2)專(zhuān)家力薦:騰訊企業(yè)安全中心高級(jí)總監(jiān) 蔡晨、零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組秘書(shū)長(zhǎng)黃超、信通院開(kāi)源和軟件安全部主任 郭雪、賽博英杰/正奇學(xué)苑創(chuàng)始人 譚曉生,閱后好評(píng),領(lǐng)銜推薦。
(3)個(gè)人實(shí)戰(zhàn)借鑒:融合18家企業(yè)機(jī)構(gòu)44位安全專(zhuān)家的一線建議與案例,總結(jié)百萬(wàn)級(jí)用戶量的零信任產(chǎn)品的設(shè)計(jì)研發(fā)、落地實(shí)施經(jīng)驗(yàn)。
(4)企業(yè)落地參考:提供9個(gè)真實(shí)的企業(yè)案例,覆蓋通信、金融、能源、互聯(lián)網(wǎng)等行業(yè),涉及央企/國(guó)企集團(tuán),為企業(yè)提供完整的零信任建設(shè)思路。
為什么要寫(xiě)這本書(shū)
隨著企業(yè)遠(yuǎn)程辦公需求的增加及數(shù)字化轉(zhuǎn)型的迅速發(fā)展,企業(yè)越發(fā)關(guān)注安全建設(shè),零信任市場(chǎng)呈現(xiàn)火熱態(tài)勢(shì)。國(guó)內(nèi)外各大型網(wǎng)絡(luò)安全會(huì)議的召開(kāi),也使得零信任議題格外突出,大量與零信任相關(guān)的產(chǎn)品、論壇、詞匯和概念頻繁出現(xiàn),許多人對(duì)這些概念及其關(guān)系感到困惑。業(yè)界各類(lèi)角色,如客戶、政府、廠商、研究機(jī)構(gòu),由于接觸到的信息不同,也存在著各說(shuō)各話、溝通不暢的問(wèn)題。
隨著零信任建設(shè)的推進(jìn),到2023年,已經(jīng)出現(xiàn)了許多零信任架構(gòu)標(biāo)準(zhǔn)、技術(shù)實(shí)現(xiàn)標(biāo)準(zhǔn)甚至評(píng)估標(biāo)準(zhǔn)。對(duì)于技術(shù)實(shí)現(xiàn),不同角色有自己的考量,具體的實(shí)施方案因人而異,F(xiàn)在業(yè)界形成了多樣化的方案,積累了豐富的落地實(shí)踐經(jīng)驗(yàn)。在開(kāi)放性上,筆者以前所從事的界面開(kāi)發(fā)框架、后臺(tái)服務(wù)組件等領(lǐng)域能夠通過(guò)開(kāi)源方式促進(jìn)技術(shù)的交流與發(fā)展,而在安全領(lǐng)域,開(kāi)源受到制約,原因是:首先,產(chǎn)品進(jìn)行開(kāi)源確實(shí)會(huì)增加被攻擊利用的風(fēng)險(xiǎn);其次,客戶也會(huì)對(duì)此有一些安全上的擔(dān)憂。
在此背景下,筆者認(rèn)為,撰寫(xiě)一本介紹零信任安全的書(shū)將有利于業(yè)界的技術(shù)交流,幫助更多從業(yè)者了解這一方向的方案和技術(shù)。此外,筆者曾主導(dǎo)或參與過(guò)一些零信任標(biāo)準(zhǔn)制定工作,認(rèn)識(shí)到相關(guān)標(biāo)準(zhǔn)對(duì)于推動(dòng)零信任落地的重要性,因此本書(shū)還介紹了國(guó)內(nèi)和國(guó)際上的主要零信任標(biāo)準(zhǔn)。
無(wú)論企業(yè)還是研究機(jī)構(gòu),深入了解零信任,提升認(rèn)知,更能達(dá)成廣泛的共識(shí),加速這個(gè)行業(yè)的發(fā)展。這也是筆者撰寫(xiě)本書(shū)的初衷。
讀者對(duì)象
企業(yè)信息化建設(shè)人員
企業(yè)數(shù)字化轉(zhuǎn)型人員
網(wǎng)絡(luò)安全部門(mén)決策者
網(wǎng)絡(luò)安全領(lǐng)域從業(yè)人員
其他對(duì)零信任安全感興趣的人員
如果你是一位初學(xué)者,本書(shū)會(huì)是一本不錯(cuò)的入門(mén)工具書(shū),可以幫你理順并串聯(lián)起分散于社區(qū)文檔、博客文章和報(bào)告中的關(guān)于零信任的零散概念和前沿研究。
如果你是一位有經(jīng)驗(yàn)或資深的從業(yè)者,本書(shū)會(huì)是一份實(shí)用的零信任建設(shè)指導(dǎo)手冊(cè),帶你深入探索零信任的整體實(shí)施方案。
如何閱讀本書(shū)
本書(shū)共7章內(nèi)容。
第1章著重講解數(shù)字化時(shí)代企業(yè)安全面臨的挑戰(zhàn),包括:混合辦公、業(yè)務(wù)上云的安全挑戰(zhàn),移動(dòng)終端面臨的威脅,內(nèi)網(wǎng)邊界被突破的威脅,數(shù)據(jù)安全的監(jiān)管合規(guī)約束,身份安全的治理難點(diǎn),用戶訪問(wèn)場(chǎng)景安全的平衡性挑戰(zhàn)。
第2章對(duì)零信任的核心概念、解決方案及標(biāo)準(zhǔn)進(jìn)行介紹。首先,講解零信任的理念和相關(guān)概念,以及重要的解決方案。其次,介紹國(guó)內(nèi)外零信任相關(guān)標(biāo)準(zhǔn)的發(fā)展進(jìn)程。
第3章對(duì)零信任體系結(jié)構(gòu)進(jìn)行講解,包括NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所)、SDP(軟件定義邊界)的零信任體系結(jié)構(gòu)及通用的零信任體系結(jié)構(gòu),以及這些體系結(jié)構(gòu)在不同場(chǎng)景的應(yīng)用,最后介紹了零信任體系結(jié)構(gòu)面臨的相關(guān)威脅。
第4章主要分析用戶訪問(wèn)服務(wù)場(chǎng)景及技術(shù)方案,包括場(chǎng)景分析、零信任網(wǎng)絡(luò)接入的技術(shù)實(shí)現(xiàn)和擴(kuò)展體系結(jié)構(gòu)。其中技術(shù)實(shí)現(xiàn)部分分為有端和無(wú)端兩種不同的接入場(chǎng)景,分別講解了不同的實(shí)現(xiàn)方案,同時(shí)提供了容災(zāi)方案。而擴(kuò)展體系結(jié)構(gòu)部分則從身份安全、網(wǎng)絡(luò)流量安全、終端設(shè)備安全、數(shù)據(jù)安全、企業(yè)安全建設(shè)路徑等方面展開(kāi)講解,涉及具體安全能力和聯(lián)動(dòng)建議。
第5章主要講解服務(wù)訪問(wèn)服務(wù)場(chǎng)景及技術(shù)方案。首先分析工作負(fù)載的安全需求和合規(guī)需求。然后著重介紹了微隔離的技術(shù)實(shí)現(xiàn),包括跨平臺(tái)統(tǒng)一管理、工作負(fù)載標(biāo)簽化管理、東西向連接可視化、東西向流量策略管理、策略自適應(yīng)計(jì)算。接著講解了云應(yīng)用隔離的技術(shù)實(shí)現(xiàn),包括Service Mesh(服務(wù)網(wǎng)格)、PKI(公鑰基礎(chǔ)設(shè)施)等方面。
第6章首先講解零信任體系規(guī)劃,然后從安全團(tuán)隊(duì)建設(shè)、戰(zhàn)略、建設(shè)價(jià)值、實(shí)施范圍、業(yè)務(wù)場(chǎng)景的實(shí)現(xiàn)方案、實(shí)施過(guò)程管理等角度提供了完善的零信任建設(shè)方法論,并且通過(guò)零信任成熟度來(lái)合理評(píng)估建設(shè)結(jié)果。
第7章主要通過(guò)9個(gè)真實(shí)的企業(yè)案例來(lái)講解零信任落地方案,這些案例覆蓋通信、金融、能源、互聯(lián)網(wǎng)等行業(yè),其中有些來(lái)自央企/國(guó)企集團(tuán)。
勘誤和支持
由于筆者的水平有限,書(shū)中難免會(huì)出現(xiàn)一些錯(cuò)誤或者不準(zhǔn)確的地方,懇請(qǐng)讀者批評(píng)指正。
蔡?hào)|赟
擁有十幾年的信息安全領(lǐng)域從業(yè)經(jīng)驗(yàn),先后在金山、奇虎 360 和騰訊任職。
在個(gè)人經(jīng)歷方面,具備甲乙兩方的安全建設(shè)和產(chǎn)品研發(fā)經(jīng)驗(yàn),曾負(fù)責(zé) 360 天擎架構(gòu)和騰訊內(nèi)網(wǎng) iOA的重構(gòu),推動(dòng)了騰訊 iOA 對(duì)外商業(yè)化輸出。負(fù)責(zé)的項(xiàng)目涉及零信任安全、終端安全防護(hù)、APT 威脅檢測(cè)、網(wǎng)絡(luò)準(zhǔn)入、身份認(rèn)證、數(shù)據(jù)安全等方案或產(chǎn)品的研發(fā)和建設(shè)工作。曾獲得 Forrester ZTX-I 安全專(zhuān)家資質(zhì)認(rèn)證 / 安全戰(zhàn)略專(zhuān)家認(rèn)證。
在行業(yè)貢獻(xiàn)方面,擔(dān)任技術(shù)支撐角色,參與制定了首個(gè)國(guó)際零信任標(biāo)準(zhǔn)——ITU-T“Guidelines
for continuous Protection of the service access process”, 參與制定了首個(gè)行業(yè)零信任標(biāo)準(zhǔn)——《零信任安全技術(shù)參考框架》,已獲工信部通過(guò)。作為零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組的首席技術(shù)專(zhuān)家,主導(dǎo)產(chǎn)出了《零信任實(shí)戰(zhàn)白皮書(shū)》《零信任系統(tǒng)接口應(yīng)用白皮書(shū)》《零信任數(shù)據(jù)安全白皮書(shū)》等技術(shù)研究成果。
前言
特別鳴謝
第1章 企業(yè)安全面臨的新挑戰(zhàn)1
1.1 混合辦公、業(yè)務(wù)上云的安全挑戰(zhàn)1
1.1.1 混合辦公2
1.1.2 業(yè)務(wù)上云2
1.2 移動(dòng)終端面臨的威脅3
1.2.1 移動(dòng)終端存在安全隱患3
1.2.2 跨團(tuán)隊(duì)協(xié)作更加頻繁,員工主動(dòng)泄密風(fēng)險(xiǎn)加大4
1.2.3 業(yè)務(wù)混合云部署的安全風(fēng)險(xiǎn)加大4
1.3 內(nèi)網(wǎng)邊界被突破的威脅4
1.3.1 辦公網(wǎng)絡(luò)面臨威脅4
1.3.2 數(shù)據(jù)中心內(nèi)部流量管控難度加大5
1.4 數(shù)據(jù)安全的監(jiān)管合規(guī)約束6
1.4.1 企業(yè)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)激增6
1.4.2 海量數(shù)據(jù)的分級(jí)分類(lèi)訪問(wèn)控制面臨新挑戰(zhàn)6
1.4.3 企業(yè)內(nèi)部人員泄密更加隱蔽和難以防范7
1.4.4 個(gè)人隱私保護(hù)面臨挑戰(zhàn)7
1.5 身份安全的治理難點(diǎn)7
1.5.1 身份管理對(duì)象復(fù)雜8
1.5.2 身份統(tǒng)一管理的需求激增8
1.5.3 權(quán)限治理的實(shí)時(shí)性挑戰(zhàn)增大8
1.6 用戶訪問(wèn)場(chǎng)景安全的平衡性挑戰(zhàn)9
1.6.1 在不影響業(yè)務(wù)效率的情況下保障安全9
1.6.2 保證安全彈性,適應(yīng)業(yè)務(wù)需求變化9
第2章 零信任的核心概念、解決 方案及標(biāo)準(zhǔn)10
2.1 零信任理念和相關(guān)概念11
2.1.1 零信任理念11
2.1.2 零信任模型14
2.1.3 零信任系統(tǒng)16
2.1.4 零信任網(wǎng)絡(luò)17
2.1.5 零信任體系結(jié)構(gòu)18
2.2 零信任解決方案19
2.2.1 微分區(qū)20
2.2.2 微隔離20
2.2.3 軟件定義邊界20
2.3 國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)21
2.3.1 標(biāo)準(zhǔn)化的原因及作用21
2.3.2 零信任國(guó)際標(biāo)準(zhǔn)進(jìn)程23
2.3.3 零信任國(guó)內(nèi)標(biāo)準(zhǔn)進(jìn)程27
2.3.4 國(guó)內(nèi)實(shí)踐在國(guó)際標(biāo)準(zhǔn)上的突圍28
2.3.5 現(xiàn)狀:零信任在標(biāo)準(zhǔn)中的定義29
第3章 零信任體系結(jié)構(gòu)30
3.1 零信任體系結(jié)構(gòu)的定義30
3.2 零信任體系結(jié)構(gòu)的基本原則31
3.3 典型的零信任體系結(jié)構(gòu)31
3.3.1 NIST零信任體系結(jié)構(gòu)32
3.3.2 SDP 零信任體系結(jié)構(gòu)34
3.4 通用的零信任體系結(jié)構(gòu)35
3.5 不同場(chǎng)景的零信任體系結(jié)構(gòu)
應(yīng)用36
3.5.1 用戶訪問(wèn)資源場(chǎng)景36
3.5.2 服務(wù)間訪問(wèn)場(chǎng)景38
3.6 零信任體系結(jié)構(gòu)的相關(guān)威脅 40
3.6.1 破壞訪問(wèn)決策過(guò)程40
3.6.2 拒絕服務(wù)或網(wǎng)絡(luò)中斷40
3.6.3 憑證被盜和內(nèi)部威脅40
3.6.4 網(wǎng)絡(luò)攻擊威脅41
3.6.5 系統(tǒng)存儲(chǔ)網(wǎng)絡(luò)訪問(wèn)信息41
3.6.6 依賴(lài)專(zhuān)有的數(shù)據(jù)格式或解決方案42
3.6.7 體系結(jié)構(gòu)管理中非個(gè)人實(shí)體的使用42
第4章 用戶訪問(wèn)服務(wù)場(chǎng)景及技術(shù) 方案44
4.1 場(chǎng)景概述44
4.1.1 主流辦公場(chǎng)景分析44
4.1.2 政策合規(guī)場(chǎng)景分析45
4.2 零信任網(wǎng)絡(luò)接入52
4.2.1 零信任網(wǎng)絡(luò)接入的實(shí)現(xiàn)框架52
4.2.2 有端接入場(chǎng)景和實(shí)現(xiàn)方案53
4.2.3 無(wú)端接入場(chǎng)景和實(shí)現(xiàn)方案78
4.2.4 部署容災(zāi)方案79
4.3 零信任網(wǎng)絡(luò)接入的擴(kuò)展體系結(jié)構(gòu)80
4.3.1 身份安全82
4.3.2 網(wǎng)絡(luò)流量安全93
4.3.3 終端設(shè)備安全96
4.3.4 數(shù)據(jù)安全97
4.3.5 企業(yè)安全建設(shè)路徑100
第5章 服務(wù)訪問(wèn)服務(wù)場(chǎng)景及技術(shù) 方案101
5.1 場(chǎng)景概述101
5.1.1 工作負(fù)載訪問(wèn)場(chǎng)景分析101
5.1.2 政策合規(guī)場(chǎng)景分析103
5.2 技術(shù)實(shí)現(xiàn)105
5.2.1 微隔離技術(shù)實(shí)現(xiàn)105
5.2.2 云應(yīng)用隔離技術(shù)實(shí)現(xiàn)117
第6章 零信任體系規(guī)劃和建設(shè) 指引123
6.1 零信任體系規(guī)劃123
6.1.1 體系規(guī)劃概述124
6.1.2 關(guān)鍵對(duì)象的安全規(guī)劃125
6.1.3 安全指標(biāo)142
6.2 零信任建設(shè)指引145
6.2.1 安全團(tuán)隊(duì)建設(shè)145
6.2.2 零信任戰(zhàn)略147
6.2.3 零信任建設(shè)價(jià)值147
6.2.4 零信任實(shí)施范圍151
6.2.5 實(shí)際業(yè)務(wù)場(chǎng)景的實(shí)現(xiàn)方案153
6.2.6 零信任實(shí)施過(guò)程管理155
6.2.7 零信任成熟度167
第7章 核心行業(yè)的零信任應(yīng)用 實(shí)戰(zhàn)172
7.1 通信行業(yè)應(yīng)用實(shí)戰(zhàn)172
7.1.1 某運(yùn)營(yíng)商遠(yuǎn)程辦公的零信任建設(shè)案例172
7.1.2 某移動(dòng)通信公司DCN網(wǎng)絡(luò)的零信任建設(shè)案例176
7.2 金融行業(yè)應(yīng)用實(shí)戰(zhàn)181
7.2.1 某互聯(lián)網(wǎng)金融企業(yè)的零信任建設(shè)案例181
7.2.2 某頭部證券公司的零信任建設(shè)案例186
7.3 能源行業(yè)應(yīng)用實(shí)戰(zhàn):某能源集團(tuán)
數(shù)字化轉(zhuǎn)型的零信任建設(shè)案例190
7.4 互聯(lián)網(wǎng)行業(yè)應(yīng)用實(shí)戰(zhàn)193
7.4.1 某全球綜合性公司的零信任建設(shè)案例193
7.4.2 某大型智能科技集團(tuán)的零信任建設(shè)案例199
7.5 央企/國(guó)企應(yīng)用實(shí)戰(zhàn)204
7.5.1 某央企集團(tuán)的零信任建設(shè)案例204
7.5.2 某大型國(guó)企集團(tuán)的零信任建設(shè)案例208
后記214