零信任安全架构设计与实现

第I部分 概述
第1章 介绍 3
第2章 零信任概念 7
2.1 历史与演变 7
2.1.1 Forrester的ZTX模型 9
2.1.2 Gartner的零信任方法 11
2.2 零信任展望 12
2.2.1 核心原则 12
2.2.2 扩展原则 14
2.2.3 定义 15
2.3 零信任平台需求 16
2.4 本章小结 17
第3章 零信任架构 19
3.1 具有代表性的企业架构 20
3.1.1 身份和访问管理 21
3.1.2 网络基础架构(防火墙、DNS和负载均衡器) 22
3.1.3 跳板类设备 23
3.1.4 特权访问管理 23
3.1.5 网络访问控制 23
3.1.6 入侵检测和入侵防御 24
3.1.7 虚拟私有网络 25
3.1.8 下一代防火墙 25
3.1.9 安全信息与事件管理 25
3.1.10 Web服务器与Web应用程序防火墙 26
3.1.11 基础架构即服务 27
3.1.12 软件即服务和云访问安全代理 27
3.2 零信任架构 28
3.2.1 NIST零信任模型 28
3.2.2 概念性零信任架构 29
3.3 零信任部署模型 36
3.3.1 基于资源的部署模型 37
3.3.2 基于飞地的部署模型 39
3.3.3 云路由部署模型 41
3.3.4 微分段部署模型 44
3.4 本章小结 46
第4章 零信任实践 47
4.1 Google的BeyondCorp 47
4.2 PagerDuty的零信任网络 52
4.3 软件定义边界和零信任 53
4.3.1 交互TLS通信 54
4.3.2 单包授权 55
4.4 SDP案例研究 56
4.5 零信任与企业 59
4.6 本章小结 59 第II部分 零信任和企业架构组件
第5章 身份和访问管理 63
5.1 回顾IAM 63
5.1.1 身份存储(目录) 64
5.1.2 身份生命周期 66
5.1.3 身份治理 68
5.1.4 访问管理 69
5.1.5 身份验证 69
5.1.6 授权 73
5.2 零信任与IAM 75
5.2.1 身份验证、授权和零信任集成 76
5.2.2 增强传统系统的身份验证 77
5.2.3 零信任作为改进IAM的催化剂 79
5.3 本章小结 80
第6章 网络基础架构 81
6.1 网络防火墙 82
6.2 域名系统 83
6.2.1 公共DNS服务器 84
6.2.2 私有DNS服务器 84
6.2.3 持续监测DNS的安全态势 85
6.3 广域网 86
6.4 负载均衡器、应用程序交付控制器和API网关 88
6.5 Web应用程序防火墙 89
6.6 本章小结 89
第7章 网络访问控制 91
7.1 网络访问控制简介 91
7.2 零信任与网络访问控制 94
7.2.1 非托管访客网络访问 94
7.2.2 托管访客网络访问 95
7.2.3 关于托管与非托管访客网络的辩论 96
7.2.4 员工自携设备(BYOD) 97
7.2.5 设备态势检查 98
7.2.6 设备探查和访问控制 99
7.3 本章小结 100
第8章 入侵检测和防御系统 101
8.1 IDPS的类型 102
8.1.1 基于主机的系统 103
8.1.2 基于网络的系统 103
8.2 网络流量分析与加密 104
8.3 零信任与IDPS 106
8.4 本章小结 109
第9章 虚拟私有网络 111
9.1 企业VPN和安全 113
9.2 零信任与虚拟私有网络 115
9.3 本章小结 117
第10章 下一代防火墙 119
10.1 历史与演变 119
10.2 零信任与NGFW 120
10.2.1 网络流量加密：影响 120
10.2.2 网络架构 122
10.3 本章小结 124
第11章 安全运营 127
11.1 安全信息与事件管理 128
11.2 安全编排和自动化响应 129
11.3 安全运营中心的零信任 130
11.3.1 丰富的日志数据 130
11.3.2 编排和自动化(触发器和事件) 130
11.4 本章小结 135
第12章 特权访问管理 137
12.1 口令保险库 137
12.2 秘密管理 138
12.3 特权会话管理 139
12.4 零信任与PAM 140
12.5 本章小结 143
第13章 数据保护 145
13.1 数据类型和数据分类分级 145
13.2 数据生命周期 147
13.2.1 数据创建 147
13.2.2 数据使用 148
13.2.3 数据销毁 149
13.3 数据安全 150
13.4 零信任与数据 151
13.5 本章小结 153
第14章 基础架构即服务和平台即服务 155
14.1 定义 156
14.2 零信任和云服务 157
14.3 服务网格 161
14.4 本章小结 163
第15章 软件即服务 165
15.1 SaaS与云安全 166
15.1.1 原生SaaS控制措施 166
15.1.2 安全Web网关 167
15.1.3 云访问安全代理 168
15.2 零信任和SaaS 168
15.3 本章小结 170
第16章 物联网设备和“物” 173
16.1 物联网设备网络和安全挑战 175
16.2 零信任和物联网设备 177
16.3 本章小结 183 第III部分 整合
第17章 零信任策略模型 187
17.1 策略组件 188
17.1.1 主体准则 188
17.1.2 活动 189
17.1.3 目标 191
17.1.4 条件 194
17.1.5 主体准则与条件 196
17.1.6 示例策略 197
17.2 适用的策略 200
17.2.1 属性 200
17.2.2 策略场景 202
17.2.3 策略有效性评价和执行流程 206
17.3 本章小结 209
第18章 零信任场景 211
18.1 VPN替换/VPN替代 211
18.1.1 考虑因素 213
18.1.2 建议 215
18.2 第三方访问 216
18.2.1 考虑因素 217
18.2.2 建议 218
18.3 云迁移 219
18.3.1 迁移类别 219
18.3.2 考虑因素 220
18.3.3 建议 222
18.4 服务到服务访问 222
18.4.1 考虑因素 224
18.4.2 建议 225
18.5 研发运维一体化 225
18.5.1 DevOps阶段 227
18.5.2 考虑因素 228
18.5.3 建议 228
18.6 并购和购置 229
18.6.1 考虑因素 229
18.6.2 建议 230
18.6.3 资产剥离 230
18.7 完全零信任网络/网络转型 231
18.7.1 考虑因素 233
18.7.2 建议 233
18.8 本章小结 234
第19章 零信任成功之旅 235
19.1 零信任：战略方法(自上而下) 236
19.1.1 治理委员会 237
19.1.2 架构审查委员会 237
19.1.3 变更管理委员会 237
19.1.4 价值驱动因素 238
19.2 零信任：战术方法(自下而上) 240
19.3 零信任部署示例 241
19.3.1 场景1：战术性零信任项目 241
19.3.2 情景2：战略性零信任项目提案 244
19.4 常见障碍 246
19.4.1 身份管理不成熟 247
19.4.2 政治阻力 247
19.4.3 法律法规要求的约束 248
19.4.4 资源的探查和可见性 248
19.4.5 分析瘫痪 248
19.5 本章小结 249
第20章 结论 251
第21章 后记 253
21.1 严谨且详尽的方案 253
21.2 零信任的公司文化和政治考量 253
21.3 梦想远大，从小做起 254
21.4 获取预算资金 254
21.5 数字化转型契机 254
—— 以下资源可扫描封底二维码下载 ——
附录 延伸阅读：注释清单 259