全新正版书籍,24小时发货,可开发票。
¥ 47.6 5.3折 ¥ 89 全新
库存5件
作者冀托
出版社电子工业出版社
ISBN9787121435812
出版时间2022-06
装帧平装
开本16开
定价89元
货号29421850
上书时间2024-11-27
零信任是近年来安全领域的热门话题,不同人对零信任的理解各不相同。许多刚接触这个领域的人都会觉得“看不懂”。在行业内,各家自说自话,令人摸不着头脑,大家看不明白到底什么才是零信任。本书希望能为读者提供一个全局视角,以便俯瞰百花齐放的零信任市场,同时为读者提供一个完善的架构基础,以便把握各家的技术脉络。本书将循着时间的脉络,厘清零信任各个流派的发展过程,盘点各个行业的标准和技术框架。从Forrester的概念模型到BeyondCorp的实践,从NIST的技术标准到国内外各大厂商的解决方案,各家其实都遵循了同一个零信任理念,不同的技术可以纳入同一个架构。各家以不同的视角,为零信任理论做出贡献,并在各自擅长的领域推出新的技术,丰富零信任的架构。
了解零信任的人应该知道,零信任系统可以实现安全的远程访问,但零信任能做的其实远远不止于此。在美国国防部的参考框架中,零信任方案可以实现深入数据库、表、行列级的访问控制。在谷歌的案例中,零信任方案可以渗透到网络基础设施中,对硬件、容器、代码进行可信评估。国内不少企业都在进行网络架构的零信任改造。未来的零信任方案可能不仅可以保障业务运行,还可以参与业务建设。
经过多年的发展,零信任已经在多个行业进入落地阶段。从哪些场景入手,如何有条不紊地建设,如何安全稳定地过渡,建成后如何使用、运营,都是我们需要面对的重要挑战。本书将对这些问题进行探讨,并总结实践中的经验,为企业网络的实际建设规划提供参考。
本书共9章。第1章讲述了零信任的历史,介绍现有的模型、标准、方案,以及未来的发展趋势。第2章介绍了零信任的概念,探讨了零信任是什么、不是什么。第3章和第4章分别详解了零信任的架构和组件。第5章介绍了零信任在实战中的作用,总结了零信任应对各类安全威胁的防御手段。第6章总结了零信任的十种应用场景,介绍了零信任在各类场景下的架构及其特色。第7章介绍了几个典型案例的落地效果和实践经验。第8章介绍了如何根据实际情况规划、建设零信任网络。第9章介绍了如何使用零信任,利用零信任进行整体安全运营。
在本书的撰写过程中,我得到了相当多朋友的支持、鼓励。感谢魏小强、吕波、苏昊明、吴满等几位老师对我的帮助和指导。
由于作者水平有限,本书或多或少存在不足之处,欢迎广大读者批评指正。
冀托
2022年3月
零信任是近年来安全领域的热门话题,已经在多个行业进入落地阶段。对于零信任,从哪些场景入手,如何有条不紊地建设,如何安全稳定地过渡,建成后如何使用、运营,都是我们需要面对的重要挑战。本书对这些问题进行探讨,并总结实践中的经验,为企业网络的实际建设规划提供参考。本书主要介绍了零信任的历史、现状、架构和组件,总结了零信任应对各类安全威胁的防御手段,并给出了零信任在十种应用场景下的架构及其特色。通过几个典型案例的落地效果和实施经验,介绍了如何根据实际情况规划、建设零信任网络,如何使用零信任进行整体安全运营。本书适合网络安全行业从业人员、企业技术人员以及对网络安全感兴趣的人员阅读。
零信任是近年来安全领域的热门话题,已经在多个行业进入落地阶段。对于零信任,从哪些场景入手,如何有条不紊地建设,如何安全稳定地过渡,建成后如何使用、运营,都是我们需要面对的重要挑战。本书对这些问题进行探讨,并总结实践中的经验,为企业网络的实际建设规划提供参考。本书主要介绍了零信任的历史、现状、架构和组件,总结了零信任应对各类安全威胁的防御手段,并给出了零信任在十种应用场景下的架构及其特色。通过几个典型案例的落地效果和实施经验,介绍了如何根据实际情况规划、建设零信任网络,如何使用零信任进行整体安全运营。本书适合网络安全行业从业人员、企业技术人员以及对网络安全感兴趣的人员阅读。
冀托,毕业于北京大学,曾就职于奇安信集团,担任零信任安全产品的产品总监。2018年开始研究、实践零信任架构,设计了国内早的SDP产品,并成功入选《Gartner零信任网络访问市场指南》。随后多年时间,一直奋斗在零信任领域的前沿,参与过几十个大型零信任项目的建设,是行业知名的零信任专家。
1 零信任的历史 1
1.1 零信任理念的诞生 1
1.1.1 传统安全模式面临的挑战 1
1.1.2 零信任思想的雏形 3
1.1.3 Forrester正式提出零信任概念 3
1.1.4 Forrester对零信任概念的丰富 4
1.2 早的零信任实践——谷歌BeyondCorp 6
1.2.1 谷歌为什么要开发BeyondCorp 6
1.2.2 BeyondCorp架构 7
1.2.3 员工的使用体验 9
1.2.4 服务器与服务器之间的零信任架构——BeyondProd 10
1.3 国外零信任行业的大发展 12
1.3.1 零信任网络访问方案 12
1.3.2 云形式的零信任方案 12
1.3.3 以身份为中心的零信任方案 13
1.3.4 微隔离方案 14
1.3.5 美国国防部零信任参考架构 14
1.4 零信任行业技术标准 15
1.4.1 国际云安全联盟提出SDP技术架构 15
1.4.2 美国NIST制定行业标准 18
1.4.3 国内技术标准大事记 20
1.5 令人眼花缭乱的国内市场 20
1.5.1 国内对零信任的重视 20
1.5.2 零信任还处于初级阶段 21
1.5.3 国内的零信任方案 21
1.6 过热之后必然经历幻灭和重生 23
2 零信任的概念 25
2.1 零信任的假设 25
2.2 零信任的原则 25
2.3 拿传染病防控打个比方 27
2.4 对零信任的几个误解 27
2.5 零信任的价值 28
2.6 零信任的风险及应对措施 29
3 零信任架构 31
3.1 当前网络架构 31
3.2 零信任网络架构 33
3.2.1 零信任管控平台 33
3.2.2 零信任客户端 35
3.2.3 零信任安全网关 35
3.2.4 微隔离组件 37
3.2.5 零信任策略执行点 37
3.3 零信任安全能力地图 38
3.3.1 身份 39
3.3.2 设备 40
3.3.3 网络 40
3.3.4 应用 42
3.3.5 数据 43
3.3.6 可见性与分析 43
3.3.7 自动化与编排 44
3.4 零信任的典型用例 45
3.5 零信任的量化评价指标 46
4 零信任组件技术 48
4.1 零信任的隐身黑科技 48
4.1.1 SPA端口隐藏 48
4.1.2 端口隐藏的效果 56
4.1.3 SPA技术的增强 57
4.1.4 管控平台的SPA防护 59
4.1.5 双层隐身架构 60
4.1.6 无端模式隐身 62
4.1.7 隐身安全能力总结 64
4.2 零信任安全网关 64
4.2.1 零信任架构的中心 64
4.2.2 Web代理网关 65
4.2.3 隐身网关 66
4.2.4 网络隧道网关 67
4.2.5 Web代理与隧道网关的关系 68
4.2.6 API网关 68
4.2.7 其他代理网关 69
4.2.8 网关集群 70
4.2.9 加密传输 72
4.2.10 关键能力总结 75
4.3 动态权限引擎 76
4.3.1 权限策略与风险策略的关系 76
4.3.2 权限引擎的架构 76
4.3.3 权限策略模型 78
4.3.4 典型的策略构成 81
4.3.5 分层制定授权策略 84
4.4 风险与信任评估 87
4.4.1 持续的风险与信任评估模型 87
4.4.2 零信任的风险分析架构 88
4.4.3 风险分析方法 90
4.4.4 风险分析可视化 93
4.4.5 风险拦截策略 95
4.4.6 综合信任评估 97
4.5 零信任的终端安全闭环 100
4.5.1 终端安全基线 101
4.5.2 数据防泄密 104
4.5.3 安全上网 112
4.5.4 终端一体化 113
4.6 微隔离 114
4.6.1 威胁的横向扩散 114
4.6.2 微隔离如何防止威胁扩散 115
4.6.3 以前为什么没有微隔离 119
4.6.4 怎么实现微隔离 119
4.6.5 微隔离价值总结 125
4.7 统一身份管理 125
4.7.1 身份大数据 125
4.7.2 身份分析与治理 129
4.7.3 统一身份认证 132
4.8 SASE与ZTE 138
4.8.1 什么是SASE 138
4.8.2 ZTE与SASE的关系 141
4.8.3 SASE的主要应用场景 142
4.8.4 SASE的价值 143
4.8.5 SASE可能存在的“坑” 144
4.8.6 SASE如何落地 144
5 零信任攻防案例 146
5.1 从一个模拟案例看零信任的作用 146
5.1.1 黑客攻击过程 146
5.1.2 的漏洞是人的漏洞 149
5.1.3 通过安全框架弥补人的不可靠性 150
5.1.4 零信任防御效果 153
5.1.5 零信任的防御措施总结 154
5.2 从4次黑客大赛看SDP的战斗力 155
5.2.1 次大赛:模拟内部攻击 156
5.2.2 第二次大赛:抗DDoS攻击 156
5.2.3 抗DDoS攻击的小实验 157
5.2.4 第三次大赛:防伪造防篡改 159
5.2.5 第四次大赛:高可用性测试 160
5.2.6 SDP的五重防御体系 161
5.3 零信任VS勒索病毒 162
5.3.1 勒索病毒介绍 162
5.3.2 勒索病毒为什么能肆虐 163
5.3.3 勒索病毒传播原理 163
5.3.4 零信任怎么防御勒索病毒 167
5.3.5 勒索病毒的其他补救方式 169
5.3.6 中毒后如何解除 169
5.4 零信任VS黑客攻击链 170
5.4.1 侦察 170
5.4.2 准备武器 172
5.4.3 投放武器 173
5.4.4 渗透攻击 174
5.4.5 植入后门 174
5.4.6 指挥控制 175
5.4.7 目标行动 176
5.4.8 总结 178
5.5 攻防能力总结表 178
6 零信任的应用场景 180
6.1 员工安全远程办公 181
6.1.1 常见的远程办公方式 181
6.1.2 VPN的替代与共存 182
6.1.3 远程访问敏感业务数据 188
6.1.4 零信任与云桌面结合 189
6.1.5 移动零信任 191
6.1.6 内外网统一访问控制 195
6.2 多租户统一接入平台 196
6.2.1 分支机构组网的安全挑战 197
6.2.2 多分支机构的互联网统一收口 198
6.2.3 二级单位的多租户统一管理 201
6.2.4 加速并购企业的整合 204
6.2.5 B2B2C模式 205
6.3 第三方人员的轻量级接入门户 206
6.3.1 第三方接入场景分析 206
6.3.2 第三方接入的安全挑战 207
6.3.3 零信任的第三方接入门户 208
6.4 零信任的旁路模式 211
6.4.1 旁路部署的安全访问控制 211
6.4.2 面向大众的2C场景 213
6.5 零信任数据安全 217
6.5.1 企业面临的数据安全挑战 217
6.5.2 数据生命周期安全 219
6.5.3 零信任的数据权限管控 222
6.6 云上应用的防护 228
6.6.1 业务迁移到云端 228
6.6.2 SaaS服务的安全防护 231
6.7 API数据交换的安全防护 233
6.7.1 API安全风险 233
6.7.2 零信任API网关的安全架构 234
6.7.3 API旁路监控模式 237
6.7.4 Open API调用场景 238
6.7.5 内部API服务调用场景 239
6.7.6 API调用与应用访问联动 239
6.8 物联网的安全防护 240
6.8.1 什么是物联网 240
6.8.2 物联网的安全威胁 243
6.8.3 物联网网关的安全防护 244
6.8.4 智能终端的安全访问 247
6.8.5 物联网中旁路部署的零信任 248
6.8.6 零信任保护MQTT服务器 248
6.9 零信任与等保合规 249
6.9.1 什么是等保 249
6.9.2 零信任与等保 250
6.9.3 其他安全能力 250
6.10 安全开发和运维 251
6.10.1 安全运维访问 251
6.10.2 DevOps与零信任 254
7 零信任落地案例精选 256
7.1 某零售企业的典型SDP案例 256
7.1.1 企业现状 256
7.1.2 项目起源 257
7.1.3 零信任架构 257
7.1.4 实践经验 258
7.2 某金融企业的分级访问控制体系 260
7.2.1 企业现状 260
7.2.2 项目起源 260
7.2.3 零信任架构 261
7.2.4 实践经验 263
7.3 某互联网企业的全球接入平台 265
7.3.1 企业现状 265
7.3.2 项目起源 265
7.3.3 零信任架构 266
7.3.4 实践经验 267
7.4 谷歌的零信任网络安全体系 269
7.4.1 项目起源 269
7.4.2 零信任架构 270
7.4.3 BeyondCorp的实施经验 272
8 零信任建设实践 277
8.1 成熟度自测 277
8.1.1 成熟度自测表 277
8.1.2 身份 278
8.1.3 设备 278
8.1.4 网络 279
8.1.5 应用 279
8.1.6 数据 280
8.1.7 管理 280
8.1.8 总结 280
8.2 建设路线规划 281
8.2.1 路线图的规划原则 281
8.2.2 不同企业的关注重点 283
8.3 如何获取各方支持 284
8.3.1 可能遇到的阻碍及应对策略 284
8.3.2 明确零信任建设的驱动力 285
8.3.3 量化安全的投资回报 287
8.4 零信任如何融入现有架构 288
8.4.1 相关组件的分类 288
8.4.2 零信任与网络基础设施的结合 289
8.4.3 零信任与边界安全产品的结合 294
8.4.4 零信任与终端安全的联动 296
8.4.5 零信任与安全运营平台的联动 298
8.4.6 零信任与身份管理平台的对接 300
8.4.7 零信任与业务系统的兼容 302
8.4.8 融合关系总结表 304
8.5 无感知的用户体验 305
8.5.1 客户端是件麻烦事 305
8.5.2 无端模式 306
8.5.3 隐藏模式 306
8.6 资源有上千个,权限怎么配置 308
8.6.1 自动发现资源清单 308
8.6.2 权限自动采集和配置 309
8.6.3 自动发现进程通信白名单 310
8.6.4 自助申请访问权限 310
8.7 渐进式的灰度上线 311
8.7.1 灰度上线的技术手段 311
8.7.2 策略的生命周期管理 314
8.8 保障业务可用性 315
8.8.1 高可用架构 315
8.8.2 健康状态监控 315
8.8.3 零信任的逃生机制 316
8.9 零信任自身被攻陷了怎么办 317
8.9.1 收缩暴露面 317
8.9.2 主机配置加固 318
8.9.3 指令、文件、进程、通信白名单 318
8.9.4 Web攻击的防护 318
8.9.5 RASP防护 318
8.9.6 检测入侵迹象 319
8.9.7 客户端自我保护 319
9 零信任安全运营指南 320
9.1 制定安全制度 320
9.2 如何处理安全事件 321
9.2.1 事件分级处理 321
9.2.2 典型安全事件处理流程 323
零信任是近年来安全领域的热门话题,已经在多个行业进入落地阶段。对于零信任,从哪些场景入手,如何有条不紊地建设,如何安全稳定地过渡,建成后如何使用、运营,都是我们需要面对的重要挑战。本书对这些问题进行探讨,并总结实践中的经验,为企业网络的实际建设规划提供参考。本书主要介绍了零信任的历史、现状、架构和组件,总结了零信任应对各类安全威胁的防御手段,并给出了零信任在十种应用场景下的架构及其特色。通过几个典型案例的落地效果和实施经验,介绍了如何根据实际情况规划、建设零信任网络,如何使用零信任进行整体安全运营。本书适合网络安全行业从业人员、企业技术人员以及对网络安全感兴趣的人员阅读。
冀托,毕业于北京大学,曾就职于奇安信集团,担任零信任安全产品的产品总监。2018年开始研究、实践零信任架构,设计了国内早的SDP产品,并成功入选《Gartner零信任网络访问市场指南》。随后多年时间,一直奋斗在零信任领域的前沿,参与过几十个大型零信任项目的建设,是行业知名的零信任专家。
随着云优先时代的到来,传统网络的边界已经被打破,依托边界保护中心的纵深防御思想难以应对新的威胁和挑战,零信任思想应运而生并迅速被业界接受。零信任不是凭空产生的,而是在传统安全防御体系的基础上发展和演进的。距离零信任真正落地还有很长的路,这将是一个漫长的过程。这本书通过通俗易懂的语言讲解零信任,分别从零信任的概念、方法、工程应用等角度给出了较好的诠释。对零信任感兴趣的读者阅读本书一定会有很大的收获。
360天枢智库高级研究员 魏小强
从信息化时代进入数字化时代,数字资产的价值越来越高,数字化业务也越来越复杂,传统安全模式已无法跟上时代的脚步,基于零信任理念的新安全模式逐渐被市场接受,用以应对日益严峻的数字化安全挑战。本书全面介绍了零信任知识,以通俗易懂的语言介绍零信任概念,由浅入深地介绍零信任技术,以点带面地介绍国内外零信任建设实践经验,是希望了解零信任安全的广大读者的知识宝库。
国际云安全联盟大中华区零信任工作组组长 陈本峰
这本书的覆盖面很全,国内外的主流技术都有所提及,而且写得非常清晰。尤其是组件技术这一部分,写得深入浅出,配合图例,容易理解,彰显了作者深厚的功力。实战和场景写得非常务实,实践中的很多点都说到我心坎里了,相信会引起很多人的共鸣。
奇安信集团副总工程师 刘前伟
“零信任”一词诞生已有十余年,经历了从理论到实践的过程,突显出巨大的安全价值,现今零信任安全技术已经成为网络安全和数据安全的必然选择。本书以大白话的方式讲述零信任技术的方方面面,帮助网络安全从业人员正确地理解零信任技术。
启明星辰高级产品经理 吕波
这是一本不可多得的有深度和广度且成体系的零信任宝典,从行业、方案、技术、落地等方面全方位地呈现了零信任的价值,不管你是销售人员、技术人员,还是研发人员,这里都有你需要的知识点,《白话零信任》值得一读。
从云科技COO 贾保元
— 没有更多了 —
以下为对购买帮助不大的评价