零信任安全从入门到精通

附录A　缩略语

11.4.3　AI驱动的安全

11.4.2　扩展检测和响应

11.4.1　SASE

11.4　网络安全技术发展展望

11.3.6　在零信任架构管理中使用非人类实体

11.3.5　系统和网络信息的存储

11.3.4　网络的可见性

11.3.3　凭证被盗或者内部威胁

11.3.2　拒绝服务或网络中断

11.3.1　零信任架构决策过程被破坏

11.3　零信任架构的潜在威胁

11.2.5　零信任的应用场景与部署实施

11.2.4　零信任与微隔离

11.2.3　零信任与SDP

11.2.2　零信任与IAM

11.2.1　零信任理念及架构

11.2　零信任理念及技术

11.1　网络安全技术的演进历程

第11章　零信任总结与展望

10.8.3　优点

10.8.2　解决方案

10.8.1　行业特点

10.8　互联网行业的零信任实践案例

10.7.3　优点

10.7.2　解决方案

10.7.1　行业特点

10.7　医疗行业的零信任实践案例

10.6.3　优点

10.6.2　解决方案

10.6.1　行业特点

10.6　能源行业的零信任实践案例

10.5.3　优点

10.5.2　解决方案

10.5.1　行业特点

10.5　制造业的零信任实践案例

10.4.3　优点

10.4.2　解决方案

10.4.1　行业特点

10.4　运营商行业的零信任实践案例

10.3.3　优点

10.3.2　解决方案

10.3.1　行业特点

10.3　金融行业的零信任实践案例

10.2.3　优点

10.2.2　解决方案

10.2.1　行业特点

10.2　政企行业的零信任实践案例

10.1.4　挑战与经验

10.1.3　实施效果

10.1.2　解决方案

10.1.1　项目背景

10.1　Google BeyondCorp实践案例

第10章　零信任实践案例

9.2.3　零信任能力成熟度模型评估方法

9.2.2　零信任能力成熟度矩阵

9.2.1　零信任能力成熟度模型概述

9.2　零信任能力成熟度模型

9.1.4　具备CZTP资质的企业

9.1.3　CZTP考核方式

9.1.2　CZTP核心课程内容

9.1.1　CZTP概述

9.1　零信任专家认证

第9章　零信任行业评估标准

8.6　SASE技术总结

8.5.3　应用场景

8.5.2　产业情况

8.5.1　标准化进展

8.5　SASE的现状与应用

8.4.5　安全即服务（SECaaS）

8.4.4　边缘计算

8.4.3　云原生技术

8.4.2　SD-WAN

8.4.1　身份认证

8.4　SASE的核心技术

8.3.4　分布互联

8.3.3　近源部署

8.3.2　云原生架构

8.3.1　身份驱动

8.3　SASE的核心特征

8.2　SASE的系统架构

8.1.3　SASE的价值

8.1.2　SASE的定义

8.1.1　SASE背景现状

8.1　SASE简介

第8章　零信任落地部署模式——SASE

7.6　本章小结

7.5.7　云原生改造面临的问题

7.5.6　微隔离实施面临的问题

7.5.5　零信任体系与外部系统对接

7.5.4　零信任必须防范内部威胁

7.5.3　零信任架构涉及的数据安全保护

7.5.2　减轻加密流量的安全风险

7.5.1　保护账户凭证等身份标识

7.5　零信任实施问题及解决思路

7.4.3　评估内容分析

7.4.2　制定评估指标框架

7.4.1　基本原则

7.4　零信任建设成效评估

7.3.3　编制阶段性行动计划

7.3.2　零信任成熟度模型

7.3.1　规划先行的意义

7.3　编制零信任战略行动计划

7.2.2　认识零信任关键能力

7.2.1　建立零信任安全思维

7.2　确立零信任战略愿景

7.1.3　零信任战略的实施线路

7.1.2　零信任战略实施的关键基础

7.1.1　零信任战略的意义

7.1　零信任战略综述

第7章　零信任的战略规划与实施

6.7.2　基于零信任的敏感数据保护方案

6.7.1　敏感数据安全防护的挑战

6.7　敏感数据的零信任方案

6.6.3　微隔离助力满足等保2.0

6.6.2　IAM助力满足等保2.0

6.6.1　SDP助力满足等保2.0

6.6　安全与合规要求

6.5.2　物联网的零信任安全组网

6.5.1　物联网安全面临的挑战

6.5　物联网安全连接

6.4.3　API数据交换

6.4.2　微隔离防止内网横向攻击

6.4.1　多云管理

6.4　系统间的安全访问

6.3.3　抗DDoS攻击

6.3.2　跨企业边界的协作

6.3.1　外包人员/访客对企业资源的访问

6.3　企业与外部的协作场景

6.2.10　移动端远程办公

6.2.9　访问服务商提供的硬件管理平台

6.2.8　启动服务实例并访问云上后端系统

6.2.7　启动云端服务实例

6.2.6　同时访问企业内部与云上资源

6.2.5　从外部访问企业后端系统

6.2.4　开发人员从企业内部访问后端系统

6.2.3　基于C/S应用的远程接入

6.2.2　出差员工的远程办公

6.2.1　分支机构的远程接入

6.2　企业内部的安全访问场景

6.1.6　保护敏感数据

6.1.5　安全合规要求的满足

6.1.4　物联网组网

6.1.3　服务器间数据交换

6.1.2　外部人员远程访问

6.1.1　员工远程访问

6.1　应用场景概述

第6章　零信任应用场景

5.7.5　微隔离最佳实践小结

5.7.4　混合模式

5.7.3　基于代理的模式

5.7.2　第三方防火墙

5.7.1　云原生控制

5.7　微隔离最佳实践

5.6.3　微隔离的实施过程小结

5.6.2　微隔离实施过程的实例解析

5.6.1　微隔离的五步法实施过程

5.6　微隔离的部署实施

5.5.3　软件定义的策略管理

5.5.2　自适应的执行策略

5.5.1　面向业务的策略模型

5.5　微隔离的技术趋势

5.4.4　混合模式

5.4.3　代理模式

5.4.2　第三方防火墙

5.4.1　云自身控制

5.4　微隔离的4种技术路线

5.3.3　微隔离的价值总结

5.3.2　微隔离助力云计算走向零信任

5.3.1　微隔离正改变网络安全架构

5.3　微隔离的价值

5.2.2　微隔离技术的发展趋势

5.2.1　微隔离的基本概念

5.2　微隔离的基本概念及其技术的发展趋势

5.1.4　微隔离顺势出现

5.1.3　传统安全模型的弊端

5.1.2　东西向流量常见安全问题

5.1.1　东西向流量安全面临的挑战

5.1　网络安全挑战

第5章　微隔离（MSG）

4.8.7 针对Memcached的大规模攻击

4.8.6　网络层次结构与DDoS攻击

4.8.5　SDP防御UDP反射攻击

4.8.4　SDP防御TCP SYN泛洪攻击

4.8.3　SDP防御HTTP泛洪攻击

4.8.2　SDP防御DDoS攻击

4.8.1　DDoS和DoS攻击的定义

4.8　SDP防御分布式拒绝服务（DDoS）攻击

4.7.5　容器和SDP

4.7.4　替代计算模型

4.7.3　混合云及多云环境

4.7.2　IaaS技术原理

4.7.1　IaaS安全概述

4.7　SDP帮助企业安全上云

4.6.2　SDP替代VPN的优势

4.6.1　现有VPN存在的问题

4.6　SDP安全远程接入（替代VPN）

4.5.2　SDP应用场景总结

4.5.1　采用SDP需考虑的问题

4.5　SDP应用实践

4.4.12　SDP与SDN/NFV

4.4.11　SDP与PKI

4.4.10　SDP与CASB

4.4.9　SDP与WAF

4.4.8　SDP与NAC

4.4.7　SDP与IAM

4.4.6　SDP与NGFW

4.4.5　SDP与VPN

4.4.4　SDP与IDS/IPS

4.4.3　SDP与SIEM系统

4.4.2　SDP与现有设备管理系统

4.4.1　企业信息安全架构全景图

4.4　SDP与传统网络安全产品的关系

4.3.5　网关-网关模式

4.3.4　客户端-网关-客户端模式

4.3.3　客户端-服务器-客户端模式

4.3.2　服务器-服务器模式

4.3.1　客户端-服务器模式

4.3　SDP技术架构部署模型

4.2.10　SDP审计日志

4.2.9　动态隧道模式（DTM）下的IH-AH协议

4.2.8　IH-控制器协议

4.2.7　AH-控制器协议

4.2.6　mTLS通信协议

4.2.5　单包授权（SPA）

4.2.4　SDP与访问控制

4.2.3　SDP的工作原理与流程

4.2.2　SDP组件介绍

4.2.1　SDP架构概述

4.2　SDP技术架构与通信协议

4.1.7　SDP标准规范《SDP 2.0》与《SDP 1.0》

4.1.6　SDP与十二大安全威胁

4.1.5　SDP技术主要功能

4.1.4　SDP技术商业与技术优势

4.1.3　SDP与零信任网络

4.1.2　SDP技术的定义

4.1.1　SDP技术的由来

4.1　SDP的基本概念

第4章　软件定义边界（SDP）

3.7.3　物联网IAM发展漫谈

3.7.2　CIAM发展漫谈

3.7.1　IAM发展预测

3.7　IAM发展趋势展望

3.6.3　UEBA简介

3.6.2　用户行为风险分析

3.6.1　全方位审计机制

3.6　审计风控

3.5.2　访问控制过程

3.5.1　访问控制框架与模型

3.5　访问控制

3.4.9　其他协议

3.4.8　OpenID协议

3.4.7　OAuth协议

3.4.6　SAML协议

3.4.5　CAS协议

3.4.4　单点登录（SSO）

3.4.3　多维度联合认证

3.4.2　常见身份认证方式

3.4.1　身份认证的类型

3.4　身份认证

3.3.7　身份信息同步模式

3.3.6　特权账号管理

3.3.5　身份全生命周期管理

3.3.4　身份识别服务

3.3.3　身份管理客体对象

3.3.2　身份管理实体内容

3.3.1　身份管理主体对象

3.3　身份管理

3.2.3　IAM产品形态及部署模式

3.2.2　IAM的应用领域

3.2.1　IAM的定义与总体架构

3.2　身份管理与访问控制的基本概念

3.1.4　用户访问行为审计现状

3.1.3　系统访问权限控制现状

3.1.2　身份认证现状

3.1.1　身份管理现状

3.1　身份管理与访问控制现状

第3章　身份管理与访问控制（IAM）

2.3.5　信任评估算法

2.3.4　零信任三大实践技术综述

2.3.3　零信任的核心关键能力

2.3.2　零信任抽象架构

2.3.1　零信任的定义

2.3　零信任的基本概念

2.2.3　其他国家

2.2.2　美国

2.2.1　中国

2.2　国家层面对零信任的关注

2.1.5　零信任相关技术标准化进展

2.1.4　零信任产业联盟介绍

2.1.3　零信任相关技术发展概述

2.1.2　零信任的早期践行者

2.1.1　零信任概念的提出

2.1　零信任的发展现状

第2章　零信任概述

1.4　本章小结

1.3.3　零信任的商业模式

1.3.2　零信任是新的安全范式

1.3.1　数字化正在改变安全

1.3　零信任安全是网络安全的新选择

1.2.3　传统安全防御体系的安全盲点

1.2.2　物联网设备越来越多

1.2.1　远程办公导致网络安全风险急剧增加

1.2　传统安全防御体系面临挑战

1.1.3　我国网络安全发展阶段回顾

1.1.2　网络安全经典事件回顾

1.1.1　网络安全的定义

1.1　网络安全不断演进

第1章　为什么是零信任

前言

专家点评

序二

序一

本书编委会及致谢

“云安全联盟丛书”编委会

“云安全联盟丛书”概述

内容简介

版权信息

封面

封面

版权信息

内容简介

“云安全联盟丛书”概述

“云安全联盟丛书”编委会

本书编委会及致谢

序一

序二

专家点评

前言

第1章　为什么是零信任

1.1　网络安全不断演进

1.1.1　网络安全的定义

1.1.2　网络安全经典事件回顾

1.1.3　我国网络安全发展阶段回顾

1.2　传统安全防御体系面临挑战

1.2.1　远程办公导致网络安全风险急剧增加

1.2.2　物联网设备越来越多

1.2.3　传统安全防御体系的安全盲点

1.3　零信任安全是网络安全的新选择

1.3.1　数字化正在改变安全

1.3.2　零信任是新的安全范式

1.3.3　零信任的商业模式

1.4　本章小结

第2章　零信任概述

2.1　零信任的发展现状

2.1.1　零信任概念的提出

2.1.2　零信任的早期践行者

2.1.3　零信任相关技术发展概述

2.1.4　零信任产业联盟介绍

2.1.5　零信任相关技术标准化进展

2.2　国家层面对零信任的关注

2.2.1　中国

2.2.2　美国

2.2.3　其他国家

2.3　零信任的基本概念

2.3.1　零信任的定义

2.3.2　零信任抽象架构

2.3.3　零信任的核心关键能力

2.3.4　零信任三大实践技术综述

2.3.5　信任评估算法

第3章　身份管理与访问控制（IAM）

3.1　身份管理与访问控制现状

3.1.1　身份管理现状

3.1.2　身份认证现状

3.1.3　系统访问权限控制现状

3.1.4　用户访问行为审计现状

3.2　身份管理与访问控制的基本概念

3.2.1　IAM的定义与总体架构

3.2.2　IAM的应用领域

3.2.3　IAM产品形态及部署模式

3.3　身份管理

3.3.1　身份管理主体对象

3.3.2　身份管理实体内容

3.3.3　身份管理客体对象

3.3.4　身份识别服务

3.3.5　身份全生命周期管理

3.3.6　特权账号管理

3.3.7　身份信息同步模式

3.4　身份认证

3.4.1　身份认证的类型

3.4.2　常见身份认证方式

3.4.3　多维度联合认证

3.4.4　单点登录（SSO）

3.4.5　CAS协议

3.4.6　SAML协议

3.4.7　OAuth协议

3.4.8　OpenID协议

3.4.9　其他协议

3.5　访问控制

3.5.1　访问控制框架与模型

3.5.2　访问控制过程

3.6　审计风控

3.6.1　全方位审计机制

3.6.2　用户行为风险分析

3.6.3　UEBA简介

3.7　IAM发展趋势展望

3.7.1　IAM发展预测

3.7.2　CIAM发展漫谈

3.7.3　物联网IAM发展漫谈

第4章　软件定义边界（SDP）

4.1　SDP的基本概念

4.1.1　SDP技术的由来

4.1.2　SDP技术的定义

4.1.3　SDP与零信任网络

4.1.4　SDP技术商业与技术优势

4.1.5　SDP技术主要功能

4.1.6　SDP与十二大安全威胁

4.1.7　SDP标准规范《SDP 2.0》与《SDP 1.0》

4.2　SDP技术架构与通信协议

4.2.1　SDP架构概述

4.2.2　SDP组件介绍

4.2.3　SDP的工作原理与流程

4.2.4　SDP与访问控制

4.2.5　单包授权（SPA）

4.2.6　mTLS通信协议

4.2.7　AH-控制器协议

4.2.8　IH-控制器协议

4.2.9　动态隧道模式（DTM）下的IH-AH协议

4.2.10　SDP审计日志

4.3　SDP技术架构部署模型

4.3.1　客户端-服务器模式

4.3.2　服务器-服务器模式

4.3.3　客户端-服务器-客户端模式

4.3.4　客户端-网关-客户端模式

4.3.5　网关-网关模式

4.4　SDP与传统网络安全产品的关系

4.4.1　企业信息安全架构全景图

4.4.2　SDP与现有设备管理系统

4.4.3　SDP与SIEM系统

4.4.4　SDP与IDS/IPS

4.4.5　SDP与VPN

4.4.6　SDP与NGFW

4.4.7　SDP与IAM

4.4.8　SDP与NAC

4.4.9　SDP与WAF

4.4.10　SDP与CASB

4.4.11　SDP与PKI

4.4.12　SDP与SDN/NFV

4.5　SDP应用实践

4.5.1　采用SDP需考虑的问题

4.5.2　SDP应用场景总结

4.6　SDP安全远程接入（替代VPN）

4.6.1　现有VPN存在的问题

4.6.2　SDP替代VPN的优势

4.7　SDP帮助企业安全上云

4.7.1　IaaS安全概述

4.7.2　IaaS技术原理

4.7.3　混合云及多云环境

4.7.4　替代计算模型

4.7.5　容器和SDP

4.8　SDP防御分布式拒绝服务（DDoS）攻击

4.8.1　DDoS和DoS攻击的定义

4.8.2　SDP防御DDoS攻击

4.8.3　SDP防御HTTP泛洪攻击

4.8.4　SDP防御TCP SYN泛洪攻击

4.8.5　SDP防御UDP反射攻击

4.8.6　网络层次结构与DDoS攻击

4.8.7 针对Memcached的大规模攻击

第5章　微隔离（MSG）

5.1　网络安全挑战

5.1.1　东西向流量安全面临的挑战

5.1.2　东西向流量常见安全问题

5.1.3　传统安全模型的弊端

5.1.4　微隔离顺势出现

5.2　微隔离的基本概念及其技术的发展趋势

5.2.1　微隔离的基本概念

5.2.2　微隔离技术的发展趋势

5.3　微隔离的价值

5.3.1　微隔离正改变网络安全架构

5.3.2　微隔离助力云计算走向零信任

5.3.3　微隔离的价值总结

5.4　微隔离的4种技术路线

5.4.1　云自身控制

5.4.2　第三方防火墙

5.4.3　代理模式

5.4.4　混合模式

5.5　微隔离的技术趋势

5.5.1　面向业务的策略模型

5.5.2　自适应的执行策略

5.5.3　软件定义的策略管理

5.6　微隔离的部署实施

5.6.1　微隔离的五步法实施过程

5.6.2　微隔离实施过程的实例解析

5.6.3　微隔离的实施过程小结

5.7　微隔离最佳实践

5.7.1　云原生控制

5.7.2　第三方防火墙

5.7.3　基于代理的模式

5.7.4　混合模式

5.7.5　微隔离最佳实践小结

第6章　零信任应用场景

6.1　应用场景概述

6.1.1　员工远程访问

6.1.2　外部人员远程访问

6.1.3　服务器间数据交换

6.1.4　物联网组网

6.1.5　安全合规要求的满足

6.1.6　保护敏感数据

6.2　企业内部的安全访问场景

6.2.1　分支机构的远程接入

6.2.2　出差员工的远程办公

6.2.3　基于C/S应用的远程接入

6.2.4　开发人员从企业内部访问后端系统

6.2.5　从外部访问企业后端系统

6.2.6　同时访问企业内部与云上资源

6.2.7　启动云端服务实例

6.2.8　启动服务实例并访问云上后端系统

6.2.9　访问服务商提供的硬件管理平台

6.2.10　移动端远程办公

6.3　企业与外部的协作场景

6.3.1　外包人员/访客对企业资源的访问

6.3.2　跨企业边界的协作

6.3.3　抗DDoS攻击

6.4　系统间的安全访问

6.4.1　多云管理

6.4.2　微隔离防止内网横向攻击

6.4.3　API数据交换

6.5　物联网安全连接

6.5.1　物联网安全面临的挑战

6.5.2　物联网的零信任安全组网

6.6　安全与合规要求

6.6.1　SDP助力满足等保2.0

6.6.2　IAM助力满足等保2.0

6.6.3　微隔离助力满足等保2.0

6.7　敏感数据的零信任方案

6.7.1　敏感数据安全防护的挑战

6.7.2　基于零信任的敏感数据保护方案

第7章　零信任的战略规划与实施

7.1　零信任战略综述

7.1.1　零信任战略的意义

7.1.2　零信任战略实施的关键基础

7.1.3　零信任战略的实施线路

7.2　确立零信任战略愿景

7.2.1　建立零信任安全思维

7.2.2　认识零信任关键能力

7.3　编制零信任战略行动计划

7.3.1　规划先行的意义

7.3.2　零信任成熟度模型

7.3.3　编制阶段性行动计划

7.4　零信任建设成效评估

7.4.1　基本原则

7.4.2　制定评估指标框架

7.4.3　评估内容分析

7.5　零信任实施问题及解决思路

7.5.1　保护账户凭证等身份标识

7.5.2　减轻加密流量的安全风险

7.5.3　零信任架构涉及的数据安全保护

7.5.4　零信任必须防范内部威胁

7.5.5　零信任体系与外部系统对接

7.5.6　微隔离实施面临的问题

7.5.7　云原生改造面临的问题

7.6　本章小结

第8章　零信任落地部署模式——SASE

8.1　SASE简介

8.1.1　SASE背景现状

8.1.2　SASE的定义

8.1.3　SASE的价值

8.2　SASE的系统架构

8.3　SASE的核心特征

8.3.1　身份驱动

8.3.2　云原生架构

8.3.3　近源部署

8.3.4　分布互联

8.4　SASE的核心技术

8.4.1　身份认证

8.4.2　SD-WAN

8.4.3　云原生技术

8.4.4　边缘计算

8.4.5　安全即服务（SECaaS）

8.5　SASE的现状与应用

8.5.1　标准化进展

8.5.2　产业情况

8.5.3　应用场景

8.6　SASE技术总结

第9章　零信任行业评估标准

9.1　零信任专家认证

9.1.1　CZTP概述

9.1.2　CZTP核心课程内容

9.1.3　CZTP考核方式

9.1.4　具备CZTP资质的企业

9.2　零信任能力成熟度模型

9.2.1　零信任能力成熟度模型概述

9.2.2　零信任能力成熟度矩阵

9.2.3　零信任能力成熟度模型评估方法

第10章　零信任实践案例

10.1　Google BeyondCorp实践案例

10.1.1　项目背景

10.1.2　解决方案

10.1.3　实施效果

10.1.4　挑战与经验

10.2　政企行业的零信任实践案例

10.2.1　行业特点

10.2.2　解决方案

10.2.3　优点

10.3　金融行业的零信任实践案例

10.3.1　行业特点

10.3.2　解决方案

10.3.3　优点

10.4　运营商行业的零信任实践案例

10.4.1　行业特点

10.4.2　解决方案

10.4.3　优点

10.5　制造业的零信任实践案例

10.5.1　行业特点

10.5.2　解决方案

10.5.3　优点

10.6　能源行业的零信任实践案例

10.6.1　行业特点

10.6.2　解决方案

10.6.3　优点

10.7　医疗行业的零信任实践案例

10.7.1　行业特点

10.7.2　解决方案

10.7.3　优点

10.8　互联网行业的零信任实践案例

10.8.1　行业特点

10.8.2　解决方案

10.8.3　优点

第11章　零信任总结与展望

11.1　网络安全技术的演进历程

11.2　零信任理念及技术

11.2.1　零信任理念及架构

11.2.2　零信任与IAM

11.2.3　零信任与SDP

11.2.4　零信任与微隔离

11.2.5　零信任的应用场景与部署实施

11.3　零信任架构的潜在威胁

11.3.1　零信任架构决策过程被破坏

11.3.2　拒绝服务或网络中断

11.3.3　凭证被盗或者内部威胁

11.3.4　网络的可见性

11.3.5　系统和网络信息的存储

11.3.6　在零信任架构管理中使用非人类实体

11.4　网络安全技术发展展望

11.4.1　SASE

11.4.2　扩展检测和响应

11.4.3　AI驱动的安全

附录A　缩略语