前言
为什么要写这本书
随着企业远程办公需求的增加及数字化转型的迅速发展,企业越发关注安全建设,零信任市场呈现火热态势。国内外各大型网络安全会议的召开,也使得零信任议题格外突出,大量与零信任相关的产品、论坛、词汇和概念频繁出现,许多人对这些概念及其关系感到困惑。业界各类角色,如客户、政府、厂商、研究机构,由于接触到的信息不同,也存在着各说各话、沟通不畅的问题。
随着零信任建设的推进,到2023年,已经出现了许多零信任架构标准、技术实现标准甚至评估标准。对于技术实现,不同角色有自己的考量,具体的实施方案因人而异。现在业界形成了多样化的方案,积累了丰富的落地实践经验。在开放性上,笔者以前所从事的界面开发框架、后台服务组件等领域能够通过开源方式促进技术的交流与发展,而在安全领域,开源受到制约,原因是:首先,产品进行开源确实会增加被攻击利用的风险;其次,客户也会对此有一些安全上的担忧。
在此背景下,笔者认为,撰写一本介绍零信任安全的书将有利于业界的技术交流,帮助更多从业者了解这一方向的方案和技术。此外,笔者曾主导或参与过一些零信任标准制定工作,认识到相关标准对于推动零信任落地的重要性,因此本书还介绍了国内和国际上的主要零信任标准。
无论企业还是研究机构,深入了解零信任,提升认知,更能达成广泛的共识,加速这个行业的发展。这也是笔者撰写本书的初衷。
读者对象
❑企业信息化建设人员
❑企业数字化转型人员
❑网络安全部门决策者
❑网络安全领域从业人员
❑其他对零信任安全感兴趣的人员
如果你是一位初学者,本书会是一本不错的入门工具书,可以帮你理顺并串联起分散于社区文档、博客文章和报告中的关于零信任的零散概念和前沿研究。
如果你是一位有经验或资深的从业者,本书会是一份实用的零信任建设指导手册,带你深入探索零信任的整体实施方案。
如何阅读本书
本书共7章内容。
第1章着重讲解数字化时代企业安全面临的挑战,包括:混合办公、业务上云的安全挑战,移动终端面临的威胁,内网边界被突破的威胁,数据安全的监管合规约束,身份安全的治理难点,用户访问场景安全的平衡性挑战。
第2章对零信任的核心概念、解决方案及标准进行介绍。首先,讲解零信任的理念和相关概念,以及重要的解决方案。其次,介绍国内外零信任相关标准的发展进程。
第3章对零信任体系结构进行讲解,包括NIST(美国国家标准技术研究所)、SDP(软件定义边界)的零信任体系结构及通用的零信任体系结构,以及这些体系结构在不同场景的应用,最后介绍了零信任体系结构面临的相关威胁。
第4章主要分析用户访问服务场景及技术方案,包括场景分析、零信任网络接入的技术实现和扩展体系结构。其中技术实现部分分为有端和无端两种不同的接入场景,分别讲解了不同的实现方案,同时提供了容灾方案。而扩展体系结构部分则从身份安全、网络流量安全、终端设备安全、数据安全、企业安全建设路径等方面展开讲解,涉及具体安全能力和联动建议。
第5章主要讲解服务访问服务场景及技术方案。首先分析工作负载的安全需求和合规需求。然后着重介绍了微隔离的技术实现,包括跨平台统一管理、工作负载标签化管理、东西向连接可视化、东西向流量策略管理、策略自适应计算。接着讲解了云应用隔离的技术实现,包括Service Mesh(服务网格)、PKI(公钥基础设施)等方面。
第6章首先讲解零信任体系规划,然后从安全团队建设、战略、建设价值、实施范围、业务场景的实现方案、实施过程管理等角度提供了完善的零信任建设方法论,并且通过零信任成熟度来合理评估建设结果。
第7章主要通过9个真实的企业案例来讲解零信任落地方案,这些案例覆盖通信、金融、能源、互联网等行业,其中有些来自央企/国企集团。
勘误和支持
由于笔者的水平有限,书中难免会出现一些错误或者不准确的地方,恳请读者批评指正。
如果读者有更多的宝贵意见,可以通过微信号caidongyun23与笔者联系,或者发送邮件至邮箱dongyun_cai@163.com。想了解更多零信任安全内容,欢迎访问公众号“小东安全日记”(SecRecord)。