包邮零信任架构

译者序推荐序一推荐序二序前言致谢第1章　零信任概述11.1　零信任的起源和发展11.2　零信任计划31.3　零信任组织动态111.3.1　“我们有一个计划”111.3.2　竞争团队111.3.3　“问题？什么问题？”121.3.4　“我们将转向云端，而云端默认实现了零信任”12译者序推荐序一推荐序二序前言致谢第1章　零信任概述11.1　零信任的起源和发展11.2　零信任计划31.3　零信任组织动态111.3.1　“我们有一个计划”111.3.2　竞争团队111.3.3　“问题？什么问题？”121.3.4　“我们将转向云端，而云端默认实现了零信任”121.4　思科的零信任支柱121.4.1　策略与治理131.4.2　身份131.4.3　漏洞管理151.4.4　执行171.4.5　分析171.5　总结18参考文献19第2章　零信任能力202.1　思科的零信任能力202.2　策略与治理支柱212.2.1　变更控制222.2.2　数据治理222.2.3　数据保留222.2.4　服务质量222.2.5　冗余222.2.6　复制232.2.7　业务连续性232.2.8　灾难恢复232.2.9　风险分类242.3　身份支柱242.3.1　认证、授权和审计242.3.2　证书授权252.3.3　网络访问控制262.3.4　置备262.3.5　特权访问282.3.6　多因素认证282.3.7　资产身份282.3.8　配置管理数据库292.3.9　互联网协议体系结构292.4　漏洞管理支柱 312.4.1　终端防护312.4.2　恶意软件预防和检测322.4.3　漏洞管理322.4.4　经过身份认证的漏洞扫描332.4.5　数据库变更342.5　执行支柱342.5.1　云访问安全代理342.5.2　分布式拒绝服务352.5.3　数据泄漏防护352.5.4　域名系统安全352.5.5　电子邮件安全362.5.6　防火墙362.5.7　入侵防御系统372.5.8　代理372.5.9　虚拟专用网络382.5.10　安全编排、自动化和响应382.5.11　文件完整性监视器392.5.12　隔离392.6　分析支柱 392.6.1　应用程序性能监控392.6.2　审计、日志记录和监控402.6.3　变更检测412.6.4　网络威胁行为分析412.6.5　安全信息和事件管理422.6.6　威胁情报432.6.7　流量可见性442.6.8　资产监控与发现452.7　总结45参考文献46第3章　零信任参考架构473.1　零信任参考架构：探索的概念493.1.1　分支493.1.2　园区523.1.3　核心网络533.1.4　广域网553.1.5　数据中心573.1.6　云613.2　总结62参考文献62第4章　零信任飞地设计644.1　用户层644.1.1　公司工作站654.1.2　访客664.1.3　BYOD：员工个人设备674.1.4　物联网674.1.5　协作684.1.6　实验室和演示694.2　邻近网络704.3　云724.3.1　公有云724.3.2　私有云744.3.3　混合云744.3.4　云安全744.3.5　云计算中的零信任754.4　企业754.5　企业服务764.5.1　非军事区764.5.2　通用服务774.5.3　支付卡行业业务服务774.5.4　设施服务784.5.5　大型主机服务784.5.6　遗留系统和基础设施服务794.6　总结79第5章　飞地探索与思考805.1　解决业务问题805.2　识别“皇冠上的宝石”815.3　识别和保护共享飞地835.3.1　隔离策略制定845.3.2　隔离策略的建模与测试865.4　让模糊的边界重新聚焦875.4.1　监测网络隔离定义885.4.2　减少安全漏洞以克服运营挑战885.5　纳入新的服务和飞地895.5.1　入网：合并活动的挑战895.5.2　入网：独立采购决策的挑战915.5.3　规划新设备入网915.6　在飞地中使用自动化925.7　关于飞地实体的考虑因素925.8　总结93参考文献93第6章　隔离946.1　OSI模型的简要概述946.2　上层隔离模型966.3　常见的以网络为中心的隔离模型976.4　南北方向隔离986.5　东西方向隔离996.6　确定*佳隔离模型1006.6.1　隔离的章程1006.6.2　成功的架构模型1016.6.3　组织是否理解设备行为1036.7　在整个网络功能中应用隔离1046.7.1　VLAN 隔离1046.7.2　访问控制列表隔离1056.7.3　TrustSec隔离1066.7.4　分层隔离功能1076.7.5　分支或园区外1086.8　如何操作：理想世界中用于隔离的方法和注意事项1086.8.1　基线：理想世界1096.8.2　了解上下文身份1096.8.3　了解设备的外部资源消耗1106.8.4　验证外部站点的漏洞1116.8.5　了解组织内的沟通1116.8.6　验证组织内的漏洞1126.8.7　了解广播域或 VLAN 内的通信1126.9　限制点对点或跳转点1126.10　总结114参考文献114第7章　零信任的常见挑战1157.1　挑战：获取未知（终端）的可见性1167.2　克服挑战：使用上下文身份1167.2.1　NMAP1177.2.2　操作系统检测1187.2.3　漏洞管理集成系统1187.2.4　Sneakernet1187.2.5　剖析1187.2.6　系统集成1217.3　挑战：了解终端的预期行为1227.4　克服挑战：聚焦终端1227.5　挑战：了解外部访问要求1267.6　克服挑战：了解外部通信要求1267.6.1　网络抓取设备1287.6.2　NetFlow　1287.6.3　封装远程交换机端口分析器1287.6.4　代理数据1287.6.5　事实来源1297.6.6　配置管理数据库1297.6.7　应用程序性能管理1297.7　挑战：网络的宏观隔离与微观隔离1297.8　克服挑战：决定哪种隔离方法适合组织1307.9　挑战：新终端接入1317.10　克服挑战：一致的入网流程1317.11　挑战：应用于边缘网络的策略1327.12　克服挑战：无处不在的策略应用1327.13　挑战：组织相信防火墙就足够了1347.14　克服挑战：纵深防御和以访问为重点的安全1347.14.1　漏洞扫描器1367.14.2　设备管理系统1367.14.3　恶意软件预防和检查1367.14.4　基于终端的分析策略1377.15　克服挑战：保护应用程序而不是网络1377.16　总结138参考文献139第8章　制定成功的隔离计划1408.1　规划：定义目标和目的1418.1.1　风险评估和合规性1418.1.2　威胁映射1438.1.3　数据保护1438.1.4　减少攻击面1448.2　规划：隔离设计1448.2.1　自上而下的设计过程1458.2.2　自下而上的设计过程1478.3　实施：部署隔离设计1478.3.1　按站点类型创建隔离计划1478.3.2　按终端类型创建隔离计划1498.3.3　按服务类型创建隔离计划1518.4　实施：隔离模型1558.5　总结155参考文献156第9章　零信任执行1579.1　实施隔离的切实计划1589.2　终端监控模式1589.3　终端流量监控1609.4　执行1639.5　网络访问控制1649.6　环境考虑1659.6.1　绿地1669.6.2　棕地1669.7　上下文身份中的实际考虑1679.7.1　身份认证1689.7.2　授权1699.7.3　隔离1709.7.4　绿地1719.7.5　棕地1719.7.6　统一通信1719.7.7　数据交换1729.8　总结172第10章　零信任运营17310.1　零信任组织：实施后运营17410.1.1　采用零信任的障碍17510.1.2　应用所有者和服务团队17710.1.3　运营和帮助台17710.1.4　网络和安全团队17710.2　零信任策略的生命周期17810.2.1　零信任策略管理17910.2.2　实践中的考虑因素：思科网络架构17910.3　零信任组织中的移动、添加和更改18310.4　总结184参考文献184第11章　结　论18511.1　零信任运营：持续改进18611.1.1　策略与治理18611.1.2　身份18711.1.3　漏洞管理18711.1.4　执行18711.1.5　分析18711.2　总结188附录A　零信任原则的应用案例189