零信任網絡：在不可信網絡中構建安全系統(第2版)

第 1 章 零信任的基本概念 1
1.1 零信任網絡是什麼 2
1.2 邊界安全模型的演進 4
1.2.1 管理全域 IP 地址空間 4
1.2.2 私有 IP 地址空間的誕生 5
1.2.3 私有網絡連接到公共網絡 6
1.2.4 NAT 的誕生 7
1.2.5 現代邊界安全模型 7
1.3 威脅形勢的演進 8
1.4 邊界安全模型的缺陷 10
1.5 信任從哪裡來 13
1.6 作為使能器的自動化系統 13
1.7 邊界安全模型與零信任模型 14
1.8 在雲環境中應用零信任模型 15
1.9 零信任在美國 網絡安全中的位置 16
1.10 小結 17

第 2 章 管理信任 18
2.1 威脅模型 19
2.1.1 常用的威脅模型 20
2.1.2 零信任威脅模型 21
2.2 強認證 22
2.3 認證信任 24
2.3.1 CA 是什麼 24
2.3.2 PKI 在零信任模型中的重要性 25
2.3.3 私有 PKI 與公共 PKI 25
2.3.4 使用公共 PKI 勝過根本不使用 PKI 26
2.4 小權限 26
2.4.1 動態信任 28
2.4.2 信任評分 29
2.4.3 信任評分面臨的挑戰 31
2.4.4 控制平面與數據平面 31
2.5 小結 33

第 3 章 上下文感知代理 35
3.1 代理是什麼 36
3.1.1 代理的易變性 36
3.1.2 代理包含哪些內容 37
3.1.3 如何使用代理 37
3.1.4 代理不用於認證 38
3.2 如何暴露代理 39
3.2.1 兼具剛性和靈活性 40
3.2.2 標準化 40
3.2.3 其他方面的考慮 42
3.3 小結 43

第 4 章 授權決策 44
4.1 授權架構 44
4.2 執行組件 45
4.3 策略引擎 46
4.3.1 策略存儲 47
4.3.2 什麼是好策略 47
4.3.3 誰來定義策略 50
4.3.4 策略審查 50
4.4 信任引擎 51
4.4.1 給哪些實體評分 52
4.4.2 暴露評分存在風險 53
4.5 數據存儲 53
4.6 場景介紹 55
4.7 小結 58

第 5 章 建立設備信任 60
5.1 初始信任 60
5.1.1 生成並保護身份 61
5.1.2 靜態和動態系統中的身份安全 62
5.2 向控制平面認證設備 64
5.2.1 X.509 64
5.2.2 TPM 68
5.2.3 將 TPM 用於設備認證 71
5.2.4 HSM 和 TPM 攻擊向量 71
5.2.5 基於硬件的零信任附件 72
5.3 設備清單管理 73
5.3.1 確定預期 74
5.3.2 安全接入 75
5.4 設備信任 新和度量 76
5.4.1 本地度量 77
5.4.2 遠程度量 77
5.4.3 統一端點管理 78
5.5 軟件配置管理 79
5.5.1 基於配置管理的設備清單 80
5.5.2 可搜索的設備清單 80
5.5.3 確保數據的真實性 81
5.6 將設備數據用於用戶授權 81
5.7 信任信號 82
5.7.1 上次重新做鏡像的時間 82
5.7.2 歷史訪問記錄 82
5.7.3 位置 82
5.7.4 網絡通信模式 83
5.7.5 機器學習 83
5.8 場景介紹 83
5.8.1 用例：Bob 想發送文檔以便打印 86
5.8.2 請求分析 87
5.8.3 用例：Bob 想刪除電子郵件 88
5.8.4 請求分析 88
5.9 小結 89

第 6 章 建立用戶信任 90
6.1 身份的 性 90
6.2 私有系統中的身份生成 91
6.2.1 政府頒發的身份證明 92
6.2.2 通過人進行認證 可靠 92
6.2.3 預期和實情 93
6.3 存儲身份 93
6.3.1 用戶目錄 93
6.3.2 用戶目錄的維護 94
6.4 何時認證身份 94
6.4.1 為獲取信任而認證 95
6.4.2 信任評分驅動認證 95
6.4.3 使用多種渠道 96
6.4.4 緩存身份和信任等級 96
6.5 如何認證身份 96
6.5.1 用戶知道的-密碼 97
6.5.2 用戶持有的-TOTP 98
6.5.3 用戶持有的-證書 99
6.5.4 用戶持有的-安全令牌 99
6.5.5 用戶固有的-生物特徵 99
6.5.6 行為模式 100
6.6 帶外認證 101
6.6.1 單點登錄 101
6.6.2 工作負載身份 102
6.6.3 轉向本地認證解決方案 103
6.7 組認證和組授權 104
6.7.1 Shamir 秘密共享 104
6.7.2 Red October 104
6.8 積極參與，積極報告 105
6.9 信任信號 106
6.10 場景介紹 106
6.10.1 用例：Bob 想要查看敏感的財務報告 108
6.10.2 請求分析 108
6.11 小結 109

第 7 章 建立應用信任 111
7.1 理解應用流水線 112
7.2 確保源代碼可信 114
7.2.1 保護代碼倉庫 114
7.2.2 代碼真實性和審計線索 114
7.2.3 代碼審查 116
7.3 確保構建過程可信 116
7.3.1 軟件物料清單：風險 116
7.3.2 輸出可信的前提是輸入可信 117
7.3.3 可再現構建 118
7.3.4 解耦發行版本和工件版本 118
7.4 確保分發過程可信 119
7.4.1 工件提升 119
7.4.2 分發安全 120
7.4.3 完整性和真實性 120
7.4.4 確保分發網絡可信 122
7.5 人工參與 123
7.6 確保實例可信 124
7.6.1 只能升級，不能降級 124
7.6.2 被授權實例 124
7.7 運行時安全 126
7.7.1 安全編碼實踐 126
7.7.2 隔離 127
7.7.3 主動監控 128
7.8 安全的軟件開發生命週期 129
7.8.1 需求和設計 130
7.8.2 編碼和實現 130
7.8.3 靜態和動態代碼分析 130
7.8.4 同行評審和代碼審計 130
7.8.5 質量保證和測試 130
7.8.6 部署和維護 130
7.8.7 持續改進 131
7.9 保護應用和數據隱私 131
7.9.1 如何確保託管在公有雲中的應用可信 131
7.9.2 機密計算 131
7.9.3 理解基於硬件的信任根 132
7.9.4 證明的作用 132
7.10 場景介紹 133
7.10.1 用例：Bob 將高度敏感的數據發送給財務應用去計算 134
7.10.2 請求分析 134
7.11 小結 135

第 8 章 建立流量信任 137
8.1 加密與認證 137
8.2 不加密能否保證真實性 138
8.3 建立初始信任的首包 139
8.3.1 fwknop 140
8.3.2 短時例外規則 140
8.3.3 SPA 載荷 140
8.3.4 載荷加密 141
8.3.5 HMAC 141
8.4 零信任應該在網絡模型中的哪個位置 141
8.4.1 客戶端和服務器分離 143
8.4.2 網絡支持問題 143
8.4.3 設備支持問題 144
8.4.4 應用支持問題 144
8.4.5 一種務實的方法 144
8.4.6 微軟服務器隔離 145
8.5 協議 145
8.5.1 IKE 和 IPSec 145
8.5.2 雙向認證 TLS 146
8.6 建立雲流量信任：挑戰和考量 150
8.7 雲訪問安全代理和身份聯盟 151
8.8 過濾 152
8.8.1 主機過濾 153
8.8.2 雙向過濾 155
8.8.3 中間設備過濾 156
8.9 場景介紹 158
8.9.1 用例：Bob 請求通過匿名代理服務器訪問電子郵件服務 159
8.9.2 請求分析 159
8.10 小結 160

第 9 章 實現零信任網絡 162
9.1 通往零信任網絡的入口：瞭解當前的網絡 162
9.1.1 確定工作範圍 162
9.1.2 評估和規劃 163
9.1.3 實際要求 163
9.1.4 所有流在處理前“必須”經過認證 164
9.1.5 繪製系統框圖 167
9.1.6 瞭解流 168
9.1.7 微分段 170
9.1.8 軟件定義邊界 170
9.1.9 無控制器架構 171
9.1.10 “欺騙式”配置管理 171
9.2 實施階段：應用認證和授權 172
9.2.1 認證負載均衡器和代理服務器 172
9.2.2 基於關係的策略 173
9.2.3 策略分發 173
9.2.4 定義並實施安全策略 174
9.2.5 零信任代理服務器 175
9.2.6 客戶端遷移和服務器端遷移 176
9.2.7 端點安全 177
9.3 案例研究 178
9.4 案例研究之 Google BeyondCorp 178
9.4.1 BeyondCorp 的主要組件 179
9.4.2 使用並擴展 GFE 182
9.4.3 多平臺認證面臨的挑戰 183
9.4.4 遷移到 BeyondCorp 184
9.4.5 經驗和教訓 186
9.4.6 結語 188
9.5 案例研究之 PagerDuty 雲平臺無關網絡 188
9.5.1 將配置管理系統用作自動化平臺 189
9.5.2 動態地配置本地防火牆 190
9.5.3 分布式流量加密 190
9.5.4 分散式用戶管理 192
9.5.5 部署上線 192
9.5.6 提供商無關系統的價值 193
9.6 小結 193

第 10 章 攻擊者視圖 195
10.1 潛在的陷阱和風險 195
10.2 攻擊向量 196
10.3 身份和訪問權限 197
10.3.1 憑證盜竊 197
10.3.2 提權和橫向移動 198
10.4 基礎設施和網絡 199
10.4.1 控制平面安全 199
10.4.2 端點枚舉 201
10.4.3 不可信計算平臺 201
10.4.4 分布式拒 服務攻擊 202
10.4.5 中間人攻擊 202
10.4.6 失效性 203
10.4.7 網絡釣魚 204
10.4.8 人身脅迫 204
10.5 網絡安全保險的作用 205
10.6 小結 205

第 11 章 零信任架構標準、框架和指南 207
11.1 政府機構 208
11.1.1 美國政府組織 208
11.1.2 英國 225
11.1.3 歐盟 226
11.2 民間組織和公共組織 226
11.2.1 雲安全聯盟 226
11.2.2 The Open Group 227
11.2.3 Gartner 228
11.2.4 Forrester 228
11.2.5 標準化組織 229
11.3 商業供應商 229
11.4 小結 231

第 12 章 挑戰和未來之路 232
12.1 挑戰 232
12.1.1 轉變思維方式 232
12.1.2 影子 IT 233
12.1.3 各自為政 233
12.1.4 缺乏整合性零信任產品 234
12.1.5 可伸縮性和性能 234
12.1.6 重要啟示 235
12.2 技術進步 235
12.2.1 量子計算 235
12.2.2 人工智能 237
12.2.3 隱私增強技術 238
12.3 小結 240
附錄 A 網絡模型簡介 241