零信任安全架构设计与实现

图书标准信息

• 作者 杰瑞·W·查普曼(Jerry W. Chapman)著 吕丽 徐坦 栾浩 译；[美]杰森·加比斯（Jason Garbis）
• 出版社 清华大学出版社
• 出版时间 2023-06
• 版次 1
• ISBN 9787302631507
• 定价 79.80元
• 装帧 线装
• 开本 32开
• 纸张 胶版纸
• 页数 276页
• 字数 291千字

【内容简介】

《零信任安全架构设计与实现》讲述如何集成零信任安全，涵盖企业环境的诸多复杂场景，提供实用的指导，列出安全团队应当精心规划的安全需求，探讨如何从现有企业安全架构中获取更多价值。通过阅读本书，安全专家将能设计一套可信、可防御的零信任安全架构，在循序渐进地实施零信任的旅程中，显著提高安全性并优化运营。 零信任安全已成为主流的行业趋势，但零信任的含义仍不确定。零信任从根本上改变企业安全的基本理念和方法，从过时的、明显无效的、以边界为中心的方法转变为动态的、以身份为中心的、基于策略的方法。 从以边界为中心的方法向零信任方法的转变具有挑战性。组织已部署和运营的企业安全资产(如目录、IAM系统、IDS/IPS和SIEM)可能难以改变。本书全面涵盖企业安全和IT架构，提供实质性的指引和技术分析，帮助企业加快实施零信任安全架构。 本书内容 ? 理解零信任安全原则，以及为什么采用这些原则至关重要 ? 掌握零信任架构带来的安全和运营效益 ? 明智决定在何处、何时以何种方式部署零信任安全架构 ? 探索零信任旅程如何影响企业和安全架构 ? 确定能为组织带来直接安全收益的项目

【作者简介】

Jason Garbis担任Appgate公司产品部门的高级副总裁；Appgate 是一家提供零信任安全访问解决方案的专业供应商。Jason Garbis拥有30多年在安全和技术公司的产品管理、工程和咨询经验，在Appgate公司负责安全产品战略和产品管理。Jason Garbis也是云安全联盟SDP零信任工作组的联合主席，领导研究并发布项目提案。Jason Garbis持有CISSP认证，并获得Cornell大学的计算机科学专业学士学位和Northeastern大学的MBA硕士学位。

Jerry W. Chapman担任Optiv Security公司的身份管理工程师。Jerry W. Chapman凭借超过25年的行业经验，通过满足安全需求和业务目标的方式，成功帮助众多企业客户设计并实施IAM战略。Jerry W. Chapman的工作职责涵盖企业架构设计、解决方案工程和软件架构研发等领域。作为IAM行业专家，Jerry W. Chapman在Optiv Cyber Security实践领域作为思想领袖提供指导和支持，重点关注作为企业安全架构核心组件的身份和数据两个方面。Jerry W. Chapman是Optiv零信任战略的关键发言人，经常在会议和行业活动中发表演讲。Jerry W. Chapman活跃于IDSA技术工作组，是IDSA组织的创始技术架构设计师。Jerry W. Chapman是一名经认证的Forrester零信任战略师，获得DeVry大学计算机信息系统专业学士学位，目前正在Southern New Hampshire大学攻读应用数学学位。

【目录】

第I部分  概述 

第1章  介绍 3

第2章  零信任概念 7

2.1  历史与演变 7

2.1.1  Forrester的ZTX模型 9

2.1.2  Gartner的零信任方法 11

2.2  零信任展望 12

2.2.1  核心原则 12

2.2.2  扩展原则 14

2.2.3  定义 15

2.3  零信任平台需求 16

2.4  本章小结 17

第3章  零信任架构 19

3.1  具有代表性的企业架构 20

3.1.1  身份和访问管理 21

3.1.2  网络基础架构(防火墙、DNS和负载均衡器) 22

3.1.3  跳板类设备 23

3.1.4  特权访问管理 23

3.1.5  网络访问控制 23

3.1.6  入侵检测和入侵防御 24

3.1.7  虚拟私有网络 25

3.1.8  下一代防火墙 25

3.1.9  安全信息与事件管理 25

3.1.10  Web服务器与Web应用程序防火墙 26

3.1.11  基础架构即服务 27

3.1.12  软件即服务和云访问安全代理 27

3.2  零信任架构 28

3.2.1  NIST零信任模型 28

3.2.2  概念性零信任架构 29

3.3  零信任部署模型 36

3.3.1  基于资源的部署模型 37

3.3.2  基于飞地的部署模型 39

3.3.3  云路由部署模型 41

3.3.4  微分段部署模型 44

3.4  本章小结 46

第4章  零信任实践 47

4.1  Google的BeyondCorp 47

4.2  PagerDuty的零信任网络 52

4.3  软件定义边界和零信任 53

4.3.1  交互TLS通信 54

4.3.2  单包授权 55

4.4  SDP案例研究 56

4.5  零信任与企业 59

4.6  本章小结 59

第II部分  零信任和企业架构组件

第5章  身份和访问管理 63

5.1  回顾IAM 63

5.1.1  身份存储(目录) 64

5.1.2  身份生命周期 66

5.1.3  身份治理 68

5.1.4  访问管理 69

5.1.5  身份验证 69

5.1.6  授权 73

5.2  零信任与IAM 75

5.2.1  身份验证、授权和零信任集成 76

5.2.2  增强传统系统的身份验证 77

5.2.3  零信任作为改进IAM的催化剂 79

5.3  本章小结 80

第6章  网络基础架构 81

6.1  网络防火墙 82

6.2  域名系统 83

6.2.1  公共DNS服务器 84

6.2.2  私有DNS服务器 84

6.2.3  持续监测DNS的安全态势 85

6.3  广域网 86

6.4  负载均衡器、应用程序交付控制器和API网关 88

6.5  Web应用程序防火墙 89

6.6  本章小结 89

第7章  网络访问控制 91

7.1  网络访问控制简介 91

7.2  零信任与网络访问控制 94

7.2.1  非托管访客网络访问 94

7.2.2  托管访客网络访问 95

7.2.3  关于托管与非托管访客网络的辩论 96

7.2.4  员工自携设备(BYOD) 97

7.2.5  设备态势检查 98

7.2.6  设备探查和访问控制 99

7.3  本章小结 100

第8章  入侵检测和防御系统 101

8.1  IDPS的类型 102

8.1.1  基于主机的系统 103

8.1.2  基于网络的系统 103

8.2  网络流量分析与加密 104

8.3  零信任与IDPS 106

8.4  本章小结 109

第9章  虚拟私有网络 111

9.1  企业VPN和安全 113

9.2  零信任与虚拟私有网络 115

9.3  本章小结 117

第10章  下一代防火墙 119

10.1  历史与演变 119

10.2  零信任与NGFW 120

10.2.1  网络流量加密：影响 120

10.2.2  网络架构 122

10.3  本章小结 124

第11章  安全运营 127

11.1  安全信息与事件管理 128

11.2  安全编排和自动化响应 129

11.3  安全运营中心的零信任 130

11.3.1  丰富的日志数据 130

11.3.2  编排和自动化(触发器和事件) 130

11.4  本章小结 135

第12章  特权访问管理 137

12.1  口令保险库 137

12.2  秘密管理 138

12.3  特权会话管理 139

12.4  零信任与PAM 140

12.5  本章小结 143

第13章  数据保护 145

13.1  数据类型和数据分类分级 145

13.2  数据生命周期 147

13.2.1  数据创建 147

13.2.2  数据使用 148

13.2.3  数据销毁 149

13.3  数据安全 150

13.4  零信任与数据 151

13.5  本章小结 153

第14章  基础架构即服务和平台即服务 155

14.1  定义 156

14.2  零信任和云服务 157

14.3  服务网格 161

14.4  本章小结 163

第15章  软件即服务 165

15.1  SaaS与云安全 166

15.1.1  原生SaaS控制措施 166

15.1.2  安全Web网关 167

15.1.3  云访问安全代理 168

15.2  零信任和SaaS 168

15.3  本章小结 170

第16章  物联网设备和“物” 173

16.1  物联网设备网络和安全挑战 175

16.2  零信任和物联网设备 177

16.3  本章小结 183

 第III部分  整合 

第17章  零信任策略模型 187

17.1  策略组件 188

17.1.1  主体准则 188

17.1.2  活动 189

17.1.3  目标 191

17.1.4  条件 194

17.1.5  主体准则与条件 196

17.1.6  示例策略 197

17.2  适用的策略 200

17.2.1  属性 200

17.2.2  策略场景 202

17.2.3  策略有效性评价和执行流程 206

17.3  本章小结 209

第18章  零信任场景 211

18.1  VPN替换/VPN替代 211

18.1.1  考虑因素 213

18.1.2  建议 215

18.2  第三方访问 216

18.2.1  考虑因素 217

18.2.2  建议 218

18.3  云迁移 219

18.3.1  迁移类别 219

18.3.2  考虑因素 220

18.3.3  建议 222

18.4  服务到服务访问 222

18.4.1  考虑因素 224

18.4.2  建议 225

18.5  研发运维一体化 225

18.5.1  DevOps阶段 227

18.5.2  考虑因素 228

18.5.3  建议 228

18.6  并购和购置 229

18.6.1  考虑因素 229

18.6.2  建议 230

18.6.3  资产剥离 230

18.7  完全零信任网络/网络转型 231

18.7.1  考虑因素 233

18.7.2  建议 233

18.8  本章小结 234

第19章  零信任成功之旅 235

19.1  零信任：战略方法(自上而下) 236

19.1.1  治理委员会 237

19.1.2  架构审查委员会 237

19.1.3  变更管理委员会 237

19.1.4  价值驱动因素 238

19.2  零信任：战术方法(自下而上) 240

19.3  零信任部署示例 241

19.3.1  场景1：战术性零信任项目 241

19.3.2  情景2：战略性零信任项目提案 244

19.4  常见障碍 246

19.4.1  身份管理不成熟 247

19.4.2  政治阻力 247

19.4.3  法律法规要求的约束 248

19.4.4  资源的探查和可见性 248

19.4.5  分析瘫痪 248

19.5  本章小结 249

第20章  结论 251

第21章  后记 253

21.1  严谨且详尽的方案 253

21.2  零信任的公司文化和政治考量 253

21.3  梦想远大，从小做起 254

21.4  获取预算资金 254

21.5  数字化转型契机 254

—— 以下资源可扫描封底二维码下载 ——

附录  延伸阅读：注释清单 259