零信任网络：在不可信网络中构建安全系统（第2版）

·热销2万+零信任指南重磅升级！ 新增前沿进展、2大全新章节，各章节增补实战案例，理论实践双强化。
·直击防火墙/VPN/合规痛点！ 融合百家企业实战经验，提供零信任网络系统性落地方法论，入门必备手册。
·不依赖特定工具，定义零信任模型！ 揭秘“永不信任，始终验证”核心哲学，助你构建可复用的安全架构。
·自动化驱动动态安全策略！ 书中详解如何用代码定义网络行为，降低人工干预风险，无缝适配混合云/多云场景。

本书是一本详尽介绍零信任网络的全面指南，旨在帮助读者构建灵活、安全且高效的零信任网络架构。本书分为12章，从介绍零信任的基本概念开始，阐述了管理信任、上下文感知代理、授权决策、建立设备信任、建立用户信任、建立应用信任和建立流量信任，以及零信任网络的实现、攻击者视图、零信任架构标准和框架等内容，重点展示了如何让读者专注于通过强大的身份认证、授权和加密机制构建安全的零信任系统。
本书适合网络工程师、安全工程师、CTO以及对零信任技术感兴趣的读者阅读。

拉齐·赖斯（Razi Rais），网络安全主管，有20多年构建和运维富有弹性的安全系统的经验。他在微软公司工作了10多年，曾担任软件工程师、架构师和产品经理等职位，当前专注于打造先进的网络安全产品和服务。曾与人合著多部著作。他还是GIAC咨询委员会的活跃成员，经常在RSA等国际会议上发表演讲，在O’Reilly和领英等平台上开展研习会和培训。
克里斯蒂娜·莫里洛（Christina Morillo），企业信息安全和技术主管，拥有20多年领导或参与构建综合性信息安全和技术项目的实践经验。她凭借丰富的技能和专业知识，曾就职于微软和摩根士丹利等公司，现为美国国家橄榄球联盟中一支球队的信息安全主管。在完成企业安全工作之余，担任发言人。
埃文·吉尔曼（Evan Gilman），SPIRL公司联合创始人兼CEO。他扎根于学术和计算机网络运维领域，在其整个职业生涯中，都在危险的环境中构建和运营系统。身兼开源贡献者、发言人和作者等多种身份，热衷于设计与网络配套的系统。
道格·巴斯（Doug Barth），软件工程师，热衷于学习和与他人分享知识。他在20多年的职业生涯中，在SPIRL、Stripe、PagerDuty和Orbitz等公司中担任过基础设施工程师和产品工程师，拥有丰富的监控系统构建、网状网构建和故障注入经验。

第 1 章 零信任的基本概念 1
1.1 零信任网络是什么 2
1.2 边界安全模型的演进 4
1.2.1 管理全局 IP 地址空间 4
1.2.2 私有 IP 地址空间的诞生 5
1.2.3 私有网络连接到公共网络 6
1.2.4 NAT 的诞生 7
1.2.5 现代边界安全模型 7
1.3 威胁形势的演进 8
1.4 边界安全模型的缺陷 10
1.5 信任从哪里来 13
1.6 作为使能器的自动化系统 13
1.7 边界安全模型与零信任模型 14
1.8 在云环境中应用零信任模型 15
1.9 零信任在美国国家网络安全中的位置 16
1.10 小结 17
第 2 章 管理信任 18
2.1 威胁模型 19
2.1.1 常用的威胁模型 20
2.1.2 零信任威胁模型 21
2.2 强认证 22
2.3 认证信任 24
2.3.1 CA 是什么 24
2.3.2 PKI 在零信任模型中的重要性 25
2.3.3 私有 PKI 与公共 PKI 25
2.3.4 使用公共 PKI 胜过根本不使用 PKI 26
2.4 最小权限 26
2.4.1 动态信任 28
2.4.2 信任评分 29
2.4.3 信任评分面临的挑战 31
2.4.4 控制平面与数据平面 31
2.5 小结 33
第 3 章 上下文感知代理 35
3.1 代理是什么 36
3.1.1 代理的易变性 36
3.1.2 代理包含哪些内容 37
3.1.3 如何使用代理 37
3.1.4 代理不用于认证 38
3.2 如何暴露代理 39
3.2.1 兼具刚性和灵活性 40
3.2.2 标准化 40
3.2.3 其他方面的考虑 42
3.3 小结 43
第 4 章 授权决策 44
4.1 授权架构 44
4.2 执行组件 45
4.3 策略引擎 46
4.3.1 策略存储 47
4.3.2 什么是好策略 47
4.3.3 谁来定义策略 50
4.3.4 策略审查 50
4.4 信任引擎 51
4.4.1 给哪些实体评分 52
4.4.2 暴露评分存在风险 53
4.5 数据存储 53
4.6 场景介绍 55
4.7 小结 58
第 5 章 建立设备信任 60
5.1 初始信任 60
5.1.1 生成并保护身份 61
5.1.2 静态和动态系统中的身份安全 62
5.2 向控制平面认证设备 64
5.2.1 X.509 64
5.2.2 TPM 68
5.2.3 将 TPM 用于设备认证 71
5.2.4 HSM 和 TPM 攻击向量 71
5.2.5 基于硬件的零信任附件 72
5.3 设备清单管理 73
5.3.1 确定预期 74
5.3.2 安全接入 75
5.4 设备信任更新和度量 76
5.4.1 本地度量 77
5.4.2 远程度量 77
5.4.3 统一端点管理 78
5.5 软件配置管理 79
5.5.1 基于配置管理的设备清单 80
5.5.2 可搜索的设备清单 80
5.5.3 确保数据的真实性 81
5.6 将设备数据用于用户授权 81
5.7 信任信号 82
5.7.1 上次重新做镜像的时间 82
5.7.2 历史访问记录 82
5.7.3 位置 82
5.7.4 网络通信模式 83
5.7.5 机器学习 83
5.8 场景介绍 83
5.8.1 用例：Bob 想发送文档以便打印 86
5.8.2 请求分析 87
5.8.3 用例：Bob 想删除电子邮件 88
5.8.4 请求分析 88
5.9 小结 89
第 6 章 建立用户信任 90
6.1 身份的权威性 90
6.2 私有系统中的身份生成 91
6.2.1 政府颁发的身份证明 92
6.2.2 通过人进行认证最可靠 92
6.2.3 预期和实情 93
6.3 存储身份 93
6.3.1 用户目录 93
6.3.2 用户目录的维护 94
6.4 何时认证身份 94
6.4.1 为获取信任而认证 95
6.4.2 信任评分驱动认证 95
6.4.3 使用多种渠道 96
6.4.4 缓存身份和信任等级 96
6.5 如何认证身份 96
6.5.1 用户知道的-密码 97
6.5.2 用户持有的-TOTP 98
6.5.3 用户持有的-证书 99
6.5.4 用户持有的-安全令牌 99
6.5.5 用户固有的-生物特征 99
6.5.6 行为模式 100
6.6 带外认证 101
6.6.1 单点登录 101
6.6.2 工作负载身份 102
6.6.3 转向本地认证解决方案 103
6.7 组认证和组授权 104
6.7.1 Shamir 秘密共享 104
6.7.2 Red October 104
6.8 积极参与，积极报告 105
6.9 信任信号 106
6.10 场景介绍 106
6.10.1 用例：Bob 想要查看敏感的财务报告 108
6.10.2 请求分析 108
6.11 小结 109
第 7 章 建立应用信任 111
7.1 理解应用流水线 112
7.2 确保源代码可信 114
7.2.1 保护代码仓库 114
7.2.2 代码真实性和审计线索 114
7.2.3 代码审查 116
7.3 确保构建过程可信 116
7.3.1 软件物料清单：风险 116
7.3.2 输出可信的前提是输入可信 117
7.3.3 可再现构建 118
7.3.4 解耦发行版本和工件版本 118
7.4 确保分发过程可信 119
7.4.1 工件提升 119
7.4.2 分发安全 120
7.4.3 完整性和真实性 120
7.4.4 确保分发网络可信 122
7.5 人工参与 123
7.6 确保实例可信 124
7.6.1 只能升级，不能降级 124
7.6.2 被授权实例 124
7.7 运行时安全 126
7.7.1 安全编码实践 126
7.7.2 隔离 127
7.7.3 主动监控 128
7.8 安全的软件开发生命周期 129
7.8.1 需求和设计 130
7.8.2 编码和实现 130
7.8.3 静态和动态代码分析 130
7.8.4 同行评审和代码审计 130
7.8.5 质量保证和测试 130
7.8.6 部署和维护 130
7.8.7 持续改进 131
7.9 保护应用和数据隐私 131
7.9.1 如何确保托管在公有云中的应用可信 131
7.9.2 机密计算 131
7.9.3 理解基于硬件的信任根 132
7.9.4 证明的作用 132
7.10 场景介绍 133
7.10.1 用例：Bob 将高度敏感的数据发送给财务应用去计算 134
7.10.2 请求分析 134
7.11 小结 135
第 8 章 建立流量信任 137
8.1 加密与认证 137
8.2 不加密能否保证真实性 138
8.3 建立初始信任的首包 139
8.3.1 fwknop 140
8.3.2 短时例外规则 140
8.3.3 SPA 载荷 140
8.3.4 载荷加密 141
8.3.5 HMAC 141
8.4 零信任应该在网络模型中的哪个位置 141
8.4.1 客户端和服务器分离 143
8.4.2 网络支持问题 143
8.4.3 设备支持问题 144
8.4.4 应用支持问题 144
8.4.5 一种务实的方法 144
8.4.6 微软服务器隔离 145
8.5 协议 145
8.5.1 IKE 和 IPSec 145
8.5.2 双向认证 TLS 146
8.6 建立云流量信任：挑战和考量 150
8.7 云访问安全代理和身份联盟 151
8.8 过滤 152
8.8.1 主机过滤 153
8.8.2 双向过滤 155
8.8.3 中间设备过滤 156
8.9 场景介绍 158
8.9.1 用例：Bob 请求通过匿名代理服务器访问电子邮件服务 159
8.9.2 请求分析 159
8.10 小结 160
第 9 章 实现零信任网络 162
9.1 通往零信任网络的入口：了解当前的网络 162
9.1.1 确定工作范围 162
9.1.2 评估和规划 163
9.1.3 实际要求 163
9.1.4 所有流在处理前“必须”经过认证 164
9.1.5 绘制系统框图 167
9.1.6 了解流 168
9.1.7 微分段 170
9.1.8 软件定义边界 170
9.1.9 无控制器架构 171
9.1.10 “欺骗式”配置管理 171
9.2 实施阶段：应用认证和授权 172
9.2.1 认证负载均衡器和代理服务器 172
9.2.2 基于关系的策略 173
9.2.3 策略分发 173
9.2.4 定义并实施安全策略 174
9.2.5 零信任代理服务器 175
9.2.6 客户端迁移和服务器端迁移 176
9.2.7 端点安全 177
9.3 案例研究 178
9.4 案例研究之 Google BeyondCorp 178
9.4.1 BeyondCorp 的主要组件 179
9.4.2 使用并扩展 GFE 182
9.4.3 多平台认证面临的挑战 183
9.4.4 迁移到 BeyondCorp 184
9.4.5 经验和教训 186
9.4.6 结语 188
9.5 案例研究之 PagerDuty 云平台无关网络 188
9.5.1 将配置管理系统用作自动化平台 189
9.5.2 动态地配置本地防火墙 190
9.5.3 分布式流量加密 190
9.5.4 分散式用户管理 192
9.5.5 部署上线 192
9.5.6 提供商无关系统的价值 193
9.6 小结 193
第 10 章 攻击者视图 195
10.1 潜在的陷阱和风险 195
10.2 攻击向量 196
10.3 身份和访问权限 197
10.3.1 凭证盗窃 197
10.3.2 提权和横向移动 198
10.4 基础设施和网络 199
10.4.1 控制平面安全 199
10.4.2 端点枚举 201
10.4.3 不可信计算平台 201
10.4.4 分布式拒绝服务攻击 202
10.4.5 中间人攻击 202
10.4.6 失效性 203
10.4.7 网络钓鱼 204
10.4.8 人身胁迫 204
10.5 网络安全保险的作用 205
10.6 小结 205
第 11 章 零信任架构标准、框架和指南 207
11.1 政府机构 208
11.1.1 美国政府组织 208
11.1.2 英国 225
11.1.3 欧盟 226
11.2 民间组织和公共组织 226
11.2.1 云安全联盟 226
11.2.2 The Open Group 227
11.2.3 Gartner 228
11.2.4 Forrester 228
11.2.5 国际标准化组织 229
11.3 商业供应商 229
11.4 小结 231
第 12 章 挑战和未来之路 232
12.1 挑战 232
12.1.1 转变思维方式 232
12.1.2 影子 IT 233
12.1.3 各自为政 233
12.1.4 缺乏整合性零信任产品 234
12.1.5 可伸缩性和性能 234
12.1.6 重要启示 235
12.2 技术进步 235
12.2.1 量子计算 235
12.2.2 人工智能 237
12.2.3 隐私增强技术 238
12.3 小结 240
附录 A 网络模型简介 241