有趣有料！一次零信任網(wǎng)絡(luò)安全架構(gòu)的認(rèn)知升級(jí)

??點(diǎn)擊“博文視點(diǎn)Broadview”，獲取更多書(shū)訊

所有偉大的技術(shù)變革都是順應(yīng)時(shí)代發(fā)展的潮流而生的。

隨著云計(jì)算和移動(dòng)辦公時(shí)代的到來(lái)，傳統(tǒng)安全模式已經(jīng)漸漸失效，“零信任”成為當(dāng)下最受認(rèn)可的安全架構(gòu)。

傳統(tǒng)的安全模式以邊界防御為中心，在邊界處部署防火墻、WAF、IPS等網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行防御，通過(guò)建設(shè)一層一層的“城墻”，將可信的內(nèi)網(wǎng)和不可信的外網(wǎng)隔離開(kāi)。

然而，隨著移動(dòng)辦公的興起、APT攻擊的泛濫，原本清晰的網(wǎng)絡(luò)邊界已經(jīng)逐漸模糊。

網(wǎng)絡(luò)攻擊可能源自內(nèi)部。黑客通過(guò)入侵用戶設(shè)備、竊取身份，長(zhǎng)期潛伏在企業(yè)內(nèi)部網(wǎng)絡(luò)，傳播風(fēng)險(xiǎn)，給企業(yè)帶來(lái)巨大的安全威脅。

零信任就是在這個(gè)背景下應(yīng)運(yùn)而生的。

零信任的理念是“持續(xù)驗(yàn)證，永不信任” ，授權(quán)不再以網(wǎng)絡(luò)邊界為中心，而是以身份和數(shù)據(jù)為中心，進(jìn)行動(dòng)態(tài)授權(quán)。

零信任網(wǎng)絡(luò)中默認(rèn)拒絕一切。無(wú)論什么類型的用戶和資源，無(wú)論處于什么位置，在進(jìn)行嚴(yán)格的身份驗(yàn)證和授權(quán)之前，不允許訪問(wèn)任何資源。

就像防疫政策一樣，當(dāng)我們面對(duì)的是傳播力更強(qiáng)的奧密克戎病毒時(shí)，不僅要在大樓的出入口測(cè)溫，還要對(duì)每個(gè)人進(jìn)行持續(xù)的驗(yàn)證，檢查每個(gè)人是否與病毒攜帶者有過(guò)時(shí)空伴隨，是否去過(guò)高風(fēng)險(xiǎn)地區(qū)，是否打了疫苗等等。只有做到對(duì)每個(gè)人的“零信任”，才能有效對(duì)抗威脅。

零信任架構(gòu)已經(jīng)得到了主流市場(chǎng)的廣泛認(rèn)可，未來(lái)兩年內(nèi)仍未采用的企業(yè)會(huì)感到落后的壓力。

谷歌是最早采用零信任架構(gòu)的公司，目前已有超過(guò)10萬(wàn)名員工都在通過(guò)谷歌的零信任系統(tǒng)BeyondCorp進(jìn)行日常辦公。

著名咨詢機(jī)構(gòu)Gartner認(rèn)為未來(lái)幾年內(nèi)將有80%的面向生態(tài)合作伙伴的新數(shù)字業(yè)務(wù)應(yīng)用采用零信任網(wǎng)絡(luò)訪問(wèn)。

2021年，美國(guó)總統(tǒng)拜登簽署行政令要求政府各級(jí)部門落實(shí)零信任技術(shù)。美國(guó)國(guó)防部發(fā)布了他們的零信任參考架構(gòu)。

零信任安全架構(gòu)已經(jīng)引起了國(guó)家相關(guān)部門和業(yè)界的高度重視。2019年，工信部發(fā)布了《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》，將零信任安全列為網(wǎng)絡(luò)安全需要突破的關(guān)鍵技術(shù)。中國(guó)信通院發(fā)布了《中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書(shū)（2019年）》，將零信任安全技術(shù)列為我國(guó)網(wǎng)絡(luò)安全重點(diǎn)細(xì)分領(lǐng)域技術(shù)。不少政府單位、大中型企業(yè)已經(jīng)開(kāi)始研究零信任架構(gòu)的落地問(wèn)題。國(guó)內(nèi)正在興起一股零信任的建設(shè)熱潮。

很多剛接觸零信任的人會(huì)感覺(jué)“看不懂”零信任。

如果你在網(wǎng)上瀏覽零信任的資料，你就會(huì)發(fā)現(xiàn)，各個(gè)機(jī)構(gòu)的零信任模型不同，各個(gè)廠商的解決方案也各不相同。行業(yè)內(nèi)各家自說(shuō)自話，令人摸不著頭腦，看不明白到底什么才是零信任。

因此，推薦這本《白話零信任》給大家。

這本書(shū)從頭開(kāi)始，把歷史上零信任的每個(gè)流派都梳理了一遍，盤點(diǎn)了各家的行業(yè)標(biāo)準(zhǔn)和技術(shù)框架。

本書(shū)提供了一個(gè)全局視角，以便讀者可以俯視百花齊放的市場(chǎng)現(xiàn)狀。

另外，所有人都知道“零信任”是一種整體的網(wǎng)絡(luò)安全架構(gòu)。但實(shí)際上，市場(chǎng)上大多數(shù)零信任產(chǎn)品只是一個(gè)加強(qiáng)版的VPN。很多人只能看到零信任的冰山一角，而看不到 “全貌”。

《白話零信任》書(shū)中總結(jié)了完整的零信任模型，并且結(jié)合很多大型企業(yè)的整體建設(shè)、改造經(jīng)驗(yàn)，試圖展現(xiàn)出零信任架構(gòu)的全貌，而不止是浮出水面的部分。

零信任有“7大維度”——數(shù)據(jù)、用戶、設(shè)備、工作負(fù)載、網(wǎng)絡(luò)、可見(jiàn)性與分析、自動(dòng)化和編排。

就像谷歌的安全實(shí)踐中，不只有BeyondCorp替代VPN。還有身份大數(shù)據(jù)、設(shè)備清單庫(kù)的建立；有BeyondProd來(lái)做“從前置應(yīng)用、到后置服務(wù)、到數(shù)據(jù)”整個(gè)流程前后關(guān)聯(lián)的訪問(wèn)控制；有從底層硬件、到操作系統(tǒng)、到代碼構(gòu)建層層滲透的身份認(rèn)證……

一個(gè)用戶查看Gmail里的日歷信息時(shí)，數(shù)據(jù)服務(wù)不僅要考察Gmail服務(wù)器是否合法，還要檢查終端用戶是否合法，用戶的操作是否有必要驅(qū)動(dòng)后端服務(wù)的調(diào)用，調(diào)用API的服務(wù)器上運(yùn)行的代碼是否可信等等。

總的來(lái)說(shuō)，本書(shū)主要介紹了零信任在國(guó)內(nèi)國(guó)外的發(fā)展歷史，國(guó)內(nèi)的市場(chǎng)現(xiàn)狀、完整的零信任架構(gòu)，深入解析8大技術(shù)組件，從攻防角度總結(jié)了零信任應(yīng)對(duì)各類安全威脅的防御手段，介紹了24種各具特色的應(yīng)用場(chǎng)景。通過(guò)4個(gè)典型案例的落地效果和實(shí)施經(jīng)驗(yàn)，從建設(shè)視角、運(yùn)營(yíng)視角介紹了如何根據(jù)實(shí)際情況，規(guī)劃、建設(shè)零信任網(wǎng)絡(luò)，如何使用零信任，利用零信任進(jìn)行整體安全運(yùn)營(yíng)。

01. 全面

結(jié)合作者多年的實(shí)踐經(jīng)驗(yàn)，盤點(diǎn)了零信任歷史上的5大流派，梳理了零信任的8大核心組件和24個(gè)各具特色的應(yīng)用場(chǎng)景，通過(guò)綜合對(duì)比，做出更全面的分析解讀。

02. 實(shí)戰(zhàn)

本書(shū)不單純剖析技術(shù)理論，而是從企業(yè)建設(shè)的甲方視角思考，從國(guó)內(nèi)實(shí)際情況出發(fā)，挖掘零信任的價(jià)值和作用，總結(jié)落地實(shí)施的最佳實(shí)踐。

03. 白話

通過(guò)直白、易懂的語(yǔ)言，深入淺出地介紹零信任架構(gòu)中的各種新興技術(shù)，在實(shí)際例子中說(shuō)明各類技術(shù)的原理、用處、限制。

《白話零信任》適合從事網(wǎng)絡(luò)安全工作的各類人群。

希望《白話零信任》能幫助讀者朋友們快速掌握零信任知識(shí)的，幫助讀者朋友們更好地完成零信任的研究和實(shí)踐工作。

同時(shí)，作者也希望跟大家交流互動(dòng)，共同探討如何將這么好的架構(gòu)在更多場(chǎng)景中落地。

粉絲專享福利，限時(shí)49元包郵

快快掃碼搶購(gòu)吧

如果喜歡本文
歡迎 在看丨留言丨分享至朋友圈 三連

 熱文推薦  

硅谷來(lái)信：Google、Facebook員工的“成長(zhǎng)型思維”
一本頂流著作和一次匠心翻譯！
更貼心、更好學(xué)的Python自動(dòng)化辦公教程！
書(shū)單 | 輕松玩轉(zhuǎn)Python自動(dòng)化辦公