零信任计划

当我的朋友乔治 • 芬尼告诉我他要写一本关于零信任的小说时，我最初的反应是：“为什么？”写一本让任何人都想读的关于零信任的小说，这样的想法有点匪夷所思。当然，这是一件令人高兴的事情，但仍然很奇怪。当我首次提出零信任的概念时，人们认为我疯了。不只是像我们这样的IT 和网络安全领域的人那样古怪的疯狂，而是真正的疯狂。
多年来，我一直努力说服人们保持开放的思维，考虑构建零信任环境。有人想要写一本以我创造的理念为核心的小说，这个想法让我震惊不已。所以，乔治最终坐在我家客厅的沙发上，听我讲述零信任的由来。
要理解零信任，首先必须了解网络安全的起源。“网络安全”是一个相对较新的术语。在此之前，我们称之为 “信息安全”，这是一个更好的名称(什么是网络？为什么需要安全？)。多年来，网络首先在大学和极个别的“前卫”公司中被使用起来，但没有威胁存在——因此，也没有内置的安全性。实际上，我们都熟知和喜爱的TCP/IP v4 直到1983 年才被开发出来。因此，有许多研究人员和远见者都对如何利用“互联网”并从中获利垂涎三尺。甚至没有人想到有人可能想要攻击这些新生的网络系统。
然后，在1983 年，一位名叫罗伯特 • H. 莫里斯 (Robert H. Morris) 的美国国家安全局计算机科学家和密码学家在国会作证，警告了网络威胁的新现象——“计算机病毒”。1988 年，他的儿子罗伯特 • 塔潘 • 莫里斯(Robert Tappan Morris)创造了可以说是第一个计算机蠕虫，即同名的莫里斯蠕虫，这是计算机时代最伟大的讽刺之一。莫里斯蠕虫感染了2 000～6 000 台计算机，这在当时的背景下是一个巨大的数字，因为当时整个互联网只连接了大约6 万台计算机。根据不同的说法，莫里斯蠕虫造成了10 万～1 000 万美元的损失。突然之间，网络安全变得备受关注。
遗憾的是，当时没有人知道如何保护网络，因为没有人考虑到网络威胁。因此，一些有远见和雄心的人(我不是其中之一)创造了名为“防火墙”和“杀毒软件”的产品，将它们销售给各种公司和组织，并在此过程中变得非常富有。快进到世纪之交，我在达拉斯-沃斯堡地区以安装防火墙谋生。我部署的主要防火墙是思科的PIX 防火墙。PIX 防火墙无处不在，推动了很多信息安全的思考。其核心组件被称为自适应安全算法(ASA)。当然，它并没有什么自适应性，而且提供的安全性很有限，但是思科能够非常成功地推销它。安装PIX 防火墙的第一步是设置接口的“信任”级别。默认情况下，连接到互联网的外部接口是“不受信任”的，信任级别为0；而连接到客户网络内部的接口是“受信任”的，信任级别为100。通常还会使用几个接口作为DMZ(非军事区)使用，这是从越南战争中借用的一个术语，听起来很酷，专门用于部署特定的资产，如Web 或电子邮件服务器。这些接口会被分配一个任意的信任级别，介于1 到99 之间。因此，“信任”级别决定了数据包如何穿过PIX 防火墙。
思科在其产品文档中是这样写的：
“自适应安全算法遵循以下规则：允许任何从内部网络发起的TCP 连接”。
由于“信任”模型的流量在默认情况下可以从更高的“信任”级别(内部)流向更低的“信任”级别(DMZ 之外)而不需要特定规则。这非常危险。一旦攻击者进入你的网络，没有任何策略可以阻止他们建立命令和控制通道或渗出数据。这是技术上的一个重大缺陷，但可悲的是，每个人似乎都对此无动于衷。
当我添加出站规则时，客户和同事都会感到不满。“这不是应该的配置方式！”
我离开了许多客户现场，因为对我来说，客户未来可能会遭遇糟糕的情况，这是不言自明的。
因此，我开始讨厌“信任”。不是人与人之间的信任，而是数字领域中的“信任”。于是我开始研究信任的概念，思考它，并提出问题，比如“为什么数字系统中需要‘信任’？”很明显，这个“信任模型”是有缺陷的，也是许多数据泄露的直接原因。
我发现与“信任模型”相关的还有其他问题。第一个问题是将技术拟人化。
为了让复杂的数字系统更易于理解，我们试图通过语言将其人性化。例如，我们会说“乔治在网上”。但我很确定我的朋友乔治这辈子都没有上过网络。他从未被缩小成亚原子粒子并被发送到某个目的地，比如邮件服务器或公共互联网。
这几乎从未在电影中发生：比如《割草人》或《虚拟战士》，甚至在《黑客帝国》中，角色也必须插入接口。但我该如何讲述这个故事呢？
现在，这就是命运介入的地方。我接到Forrester(福雷斯特)研究公司的电话，问我是否想成为一名分析师。当然想！ 虽然我真的不知道分析师是什么。但Forrester 是一种恩赐，它给了我提问的自由。在我们最初的分析师培训班上，我们被告知我们的使命是“思考宏观问题”。没错，就像乔治所说的那样。
我开始探究的第一个重要想法是，将“信任”注入数字系统是一个愚蠢的想法。我现在可以自由地探索那个有争议的说法。没有供应商或同事来阻止我的思考。自由——这是Forrester 赋予我的伟大礼物。
加入Forrester 仅几个月后，一个供应商联系我并问道：“您正在研究的最疯狂的想法是什么？”我告诉他我想从数字系统中消除信任的概念。他完全认同这个想法。他一直在寻找一些激进的想法来证明他想安排的高尔夫旅行是合理的。
在2008 年秋季，我在蒙特利尔、费城、波士顿、纽约和亚特兰大的5 个苏格兰风格的高尔夫球场举办了一系列的活动。在每个球场，我都给与会者做了一个关于“零信任“的新生概念的演讲。之后，我们和与会者一起打一轮高尔夫球。有许多问题和精彩的交流。另外需要注意的是：我只带了我的高尔夫鞋和一个装满了高尔夫球的大袋子，因为我在那些苏格兰式的球场上丢了很多球。
这是最早的5 次零信任演讲，留下了许多回忆。因此，零信任诞生于蒙特利尔的一家乡村俱乐部。我不确定这项研究会走向何方，但我知道在第一次演讲结束后我发现了一些重要的东西。
于是我开始了为期两年的初级研究之旅，我与各种各样的人进行交流，包括我敬佩的CISO、工程师和网络安全专家。我寻求反馈，“请帮我找到这个想法的漏洞”。最终唯一的负面反馈是“这不是我们一直以来的做法”。于是我开始在小型演讲和网络研讨会上测试这个信息。有一批核心人群理解了这个概念，他们成为了最初的倡导者。
2010 年9 月，我发表了最初的“零信任报告：‘不再有软肋：信息安全零信任模型介绍’”。人们阅读报告，来电询问，邀请我发表演讲和设计基于零信任模型的网络。
对许多人来说，零信任是一个新的理念，但我在过去 14 年里一直专注于此。零信任带我走遍了亚洲、欧洲和中东。它让我结识了世界上许多伟大的领袖和思想家。我曾与首席执行官、董事会成员、国会议员、将军、海军上将以及无数从事IT 和网络安全的人士会面，他们正在与我们的数字对手进行艰苦卓绝的斗争。对于一个来自内布拉斯加州农村的孩子来说，唯一的目标就是不用在清晨5 点起床喂牛和灌溉玉米地，这样的成就还不错。
看到这么多人发表演讲、撰写论文甚至出版关于零信任的书籍，这让我感到非常满足。我曾为写关于零信任的硕士论文或博士论文的学生提供过指导。
我也尝试过自己写一本书，但同时进行工作和写作确实很困难。
最重要的时刻发生在2021 年，当时乔 • 拜登总统发布了关于改善联邦政府网络安全的行政命令，该命令要求所有联邦机构朝着采用零信任架构的方向迈进。如果十年前你告诉我这会发生，我会告诉你回到你的DeLorean 车里并将它加速到88 英里/小时，因为那永远不可能发生。但它确实发生了，而且它改变了一切。主要是颠倒了激励结构。过去，只有组织内部的激进分子才是零信任的倡导者。现在，由于拜登总统的支持，采用零信任是可以的。他改变了现状。
但我职业生涯中最令人满意的时刻是当一个年轻人在飞机上看到我并走到我的座位时。他递给我他的名片，上面印着“零信任架构师”的职位。他伸出手说：“谢谢您，因为您，我有了工作”。
所以，乔治，谢谢你成为我坚定的朋友和零信任倡导者。感谢你撰写这本书，感谢你将所有疯狂的创造力应用于这个疯狂的行业。网络安全需要更多的乔治 • 芬尼。
——ON2IT 网络安全战略高级副总裁 约翰 • 金德瓦格

前 言
在网络安全方面，我们可以用来保护自己的最有效手段是预防。而最有效的预防策略是零信任。要想在任何事业中取得成功，你都需要策略。许多组织在网络安全方面都难以取得成功——不是因为它们什么都不做，而是因为它们没有一致的数据保护策略。零信任是一种保护组织最重要资产的策略。该策略的重点是通过消除在计算机和网络方面最大的盲点之一 —— 信任，来防止攻击行为。
零信任是企业独特目标与保护业务所需的特定策略之间的桥梁。Okta 在2020 年的一份报告中指出，北美60%的组织目前正在开展零信任计划，拜登总统已向联邦机构发布行政命令，要求在政府中实施零信任。
《零信任计划》通过引导读者完成实施零信任的每个步骤来改变被攻击企业的安全性。这本书讲述了迪伦的故事，当该组织发现自己成为勒索软件的受害者时，他甚至还没有开始担任新工作(基础设施总监)一职。当CIO 处理攻击响应和调查时，迪伦负责使用约翰 • 金德瓦格的零信任设计方法改造公司。读者将能够把这些经验教训带回他们自己的组织，并拥有可操作的示例，可以将这些示例应用于组织中的特定角色和场景。
读者将学习：
● 约翰 • 金德瓦格的五步法
● 实施零信任的方法
● 4 个零信任设计原则
● 如何限制突破口的影响范围
● 如何使安全与业务保持一致
● 实施零信任时的常见误区和陷阱
● 在云环境中实施零信任
由于零信任侧重于预防策略，因此除了提高安全性之外，读者还会发现提高效率和降低成本的机会。
对于那些有志成为专业技术人士以及经验丰富的IT 领导、网络工程师、系统管理员和项目经理来说，本书对于在他们的组织中实施零信任计划至关重要。
本书展示了如何使用易于理解的示例将零信任集成到任何组织中，弥合技术参考指南、供应商营销和组织战略之间的差距。

组织为何需要零信任以及如何实施零信任
　　在《零信任计划》一书中，著名的首席信息安全官乔治·芬尼提供了一个实用的逐步指南，帮助组织实施有效而实用的零信任安全策略。本书以引人入胜的叙事方式编写，讲述了迪伦的故事，他是一家公司的新任IT主管，在他上任的第一天公司就遭遇勒索软件攻击。
　　读者将学习约翰·金德瓦格的关于零信任实施的五步方法论，了解四个关键的零信任设计原则，并理解如何将这个框架与组织的运营和商业需求相匹配。
　　作者解释了如何预防数据泄露，以及如何在发生泄露时最大限度地减少影响。他专注于预防策略，并解决了专业技术人员在实施零信任时遇到的普遍误解和常见陷阱。《零信任计划》还解释了如何在分布式云环境中实施其方法和策略。
　　《零信任计划》对于有志从事网络安全技术的专业人员来说不可或缺，它将成为IT领导者、网络工程师、系统管理员和项目经理书架上的之作。

乔治 • 芬尼是南卫理公会大学的首席信息安全官。他曾在南卫理公会大学讲授网络安全课程，并被CISOs Connect评为全球100名最杰出的首席信息安全官之一。他在初创公司、全球电信公司和非营利组织拥有超过20年的行业经验。

第1 章 零信任案例      1
关键要点       11
第2 章 零信任是一种策略      13
关键要点       26
零信任设计的4 个原则    .27
零信任设计五步法      27
零信任实施曲线     27
第3 章 信任是漏洞       29
关键要点       39
第4 章 皇冠上的明珠      43
关键要点       54
第5 章 身份基石       57
关键要点       71
第6 章 零信任开发运营 (Zero Trust DevOps)    73
关键要点       84
第7 章 零信任SOC       87
关键要点       100
第8 章 零信任和云      103
关键要点       113
第9 章 可持续发展的文化     117
关键要点       130
第10 章 桌面演练      133
关键要点       147
第11 章 每一步都很重要     151
关键要点       159
附录A 零信任设计的原则和方法    165
附录B 零信任成熟度模型     167
附录C 零信任主场景事件列表示例    171
附录D 进一步阅读(扫描封底二维码下载)
词汇表       175

组织为何需要零信任以及如何实施零信任
　　在《零信任计划》一书中，著名的首席信息安全官乔治·芬尼提供了一个实用的逐步指南，帮助组织实施有效而实用的零信任安全策略。本书以引人入胜的叙事方式编写，讲述了迪伦的故事，他是一家公司的新任IT主管，在他上任的第一天公司就遭遇勒索软件攻击。
　　读者将学习约翰·金德瓦格的关于零信任实施的五步方法论，了解四个关键的零信任设计原则，并理解如何将这个框架与组织的运营和商业需求相匹配。
　　作者解释了如何预防数据泄露，以及如何在发生泄露时最大限度地减少影响。他专注于预防策略，并解决了专业技术人员在实施零信任时遇到的普遍误解和常见陷阱。《零信任计划》还解释了如何在分布式云环境中实施其方法和策略。
　　《零信任计划》对于有志从事网络安全技术的专业人员来说不可或缺，它将成为IT领导者、网络工程师、系统管理员和项目经理书架上的之作。

乔治 • 芬尼是南卫理公会大学的首席信息安全官。他曾在南卫理公会大学讲授网络安全课程，并被CISOs Connect评为全球100名最杰出的首席信息安全官之一。他在初创公司、全球电信公司和非营利组织拥有超过20年的行业经验。