《零信任安全架构设计与实现》从零信任的历史和发展讲起，系统、详尽地介绍零信任的基础零信任安全架构设计与实现概念和基本原则;通过理论和实践描述零信任架构;深入探讨IT和安全技术,以及与零信任的关系;跨越应用程序、数据、身份、运营策略的界限，探索零信任安全的各个方面。通过讨论成功实现零信任的战略和战术方法，分享关于在组织的环境中最合理地实现零信任的想法和建议，引导企业思考如何应用零信任提高组织的安全性和效率。

本书第一作者Jason Garbis 持有CISSP认证，拥有美国康奈尔大学的计算机科学学士学位和美国东北大学的MBA硕士学位，在安全和技术公司拥有30多年的产品管理、工程和咨询经验，担任云安全联盟SDP零信任工作组的联合主席，研究并发布项目提案。本书的另-位作者Jerry W. Chapman是一名经认证的Forrester零信任战略师，拥有DeVry大学计算机信息系统学士学位，具有超过25年的设计和实施身份和访问管理战略的行业经验，活跃于身份定义安全

联盟的技术工作组，是IDSA组织的创始技术架构设计师。两位作者开展了大量的零信任研究，完成这本极具价值的专业书籍，深入浅出地讲解零信任相关知识和实施策略，本书可作为组织及其安全专家实施零信任的权威参考材料。

《零信任安全架构设计与实现》讲述如何集成零信任安全，涵盖企业环境的诸多复杂场景，提供实用的指导，列出安全团队应当精心规划的安全需求，探讨如何从现有企业安全架构中获取更多价值。通过阅读本书，安全专家将能设计一套可信、可防御的零信任安全架构，在循序渐进地实施零信任的旅程中，显著提高安全性并优化运营。

零信任安全已成为主流的行业趋势，但零信任的含义仍不确定。零信任从根本上改变企业安全的基本理念和方法，从过时的、明显无效的、以边界为中心的方法转变为动态的、以身份为中心的、基于策略的方法。

从以边界为中心的方法向零信任方法的转变具有挑战性。组织已部署和运营的企业安全资产(如目录、IAM系统、IDS/IPS和SIEM)可能难以改变。本书全面涵盖企业安全和IT架构，提供实质性的指引和技术分析，帮助企业加快实施零信任安全架构。

本书内容

• 理解零信任安全原则，以及为什么采用这些原则至关重要

• 掌握零信任架构带来的安全和运营效益

• 明智决定在何处、何时以何种方式部署零信任安全架构

• 探索零信任旅程如何影响企业和安全架构

• 确定能为组织带来直接安全收益的项目

Jason Garbis担任Appgate公司产品部门的高级副总裁；Appgate 是一家提供零信任安全访问解决方案的专业供应商。Jason Garbis拥有30多年在安全和技术公司的产品管理、工程和咨询经验，在Appgate公司负责安全产品战略和产品管理。Jason Garbis也是云安全联盟SDP零信任工作组的联合主席，领导研究并发布项目提案。Jason Garbis持有CISSP认证，并获得Cornell大学的计算机科学专业学士学位和Northeastern大学的MBA硕士学位。

Jerry W. Chapman担任Optiv Security公司的身份管理工程师。Jerry W. Chapman凭借超过25年的行业经验，通过满足安全需求和业务目标的方式，成功帮助众多企业客户设计并实施IAM战略。Jerry W. Chapman的工作职责涵盖企业架构设计、解决方案工程和软件架构研发等领域。作为IAM行业专家，Jerry W. Chapman在Optiv Cyber Security实践领域作为思想领袖提供指导和支持，重点关注作为企业安全架构核心组件的身份和数据两个方面。Jerry W. Chapman是Optiv零信任战略的关键发言人，经常在会议和行业活动中发表演讲。Jerry W. Chapman活跃于IDSA技术工作组，是IDSA组织的创始技术架构设计师。Jerry W. Chapman是一名经认证的Forrester零信任战略师，获得DeVry大学计算机信息系统专业学士学位，目前正在Southern New Hampshire大学攻读应用数学学位。

第I部分 概述

第1章 介绍 3

第2章 零信任概念 7

2.1 历史与演变 7

2.1.1 Forrester的ZTX模型 9

2.1.2 Gartner的零信任方法 11

2.2 零信任展望 12

2.2.1 核心原则 12

2.2.2 扩展原则 14

2.2.3 定义 15

2.3 零信任平台需求 16

2.4 本章小结 17

第3章 零信任架构 19

3.1 具有代表性的企业架构 20

3.1.1 身份和访问管理 21

3.1.2 网络基础架构(防火墙、DNS和负载均衡器) 22

3.1.3 跳板类设备 23

3.1.4 特权访问管理 23

3.1.5 网络访问控制 23

3.1.6 入侵检测和入侵防御 24

3.1.7 虚拟私有网络 25

3.1.8 下一代防火墙 25

3.1.9 安全信息与事件管理 25

3.1.10 Web服务器与Web应用程序防火墙 26

3.1.11 基础架构即服务 27

3.1.12 软件即服务和云访问安全代理 27

3.2 零信任架构 28

3.2.1 NIST零信任模型 28

3.2.2 概念性零信任架构 29

3.3 零信任部署模型 36

3.3.1 基于资源的部署模型 37

3.3.2 基于飞地的部署模型 39

3.3.3 云路由部署模型 41

3.3.4 微分段部署模型 44

3.4 本章小结 46

第4章 零信任实践 47

4.1 Google的BeyondCorp 47

4.2 PagerDuty的零信任网络 52

4.3 软件定义边界和零信任 53

4.3.1 交互TLS通信 54

4.3.2 单包授权 55

4.4 SDP案例研究 56

4.5 零信任与企业 59

4.6 本章小结 59

第II部分 零信任和企业架构组件

第5章 身份和访问管理 63

5.1 回顾IAM 63

5.1.1 身份存储(目录) 64

5.1.2 身份生命周期 66

5.1.3 身份治理 68

5.1.4 访问管理 69

5.1.5 身份验证 69

5.1.6 授权 73

5.2 零信任与IAM 75

5.2.1 身份验证、授权和零信任集成 76

5.2.2 增强传统系统的身份验证 77

5.2.3 零信任作为改进IAM的催化剂 79

5.3 本章小结 80

第6章 网络基础架构 81

6.1 网络防火墙 82

6.2 域名系统 83

6.2.1 公共DNS服务器 84

6.2.2 私有DNS服务器 84

6.2.3 持续监测DNS的安全态势 85

6.3 广域网 86

6.4 负载均衡器、应用程序交付控制器和API网关 88

6.5 Web应用程序防火墙 89

6.6 本章小结 89

第7章 网络访问控制 91

7.1 网络访问控制简介 91

7.2 零信任与网络访问控制 94

7.2.1 非托管访客网络访问 94

7.2.2 托管访客网络访问 95

7.2.3 关于托管与非托管访客网络的辩论 96

7.2.4 员工自携设备(BYOD) 97

7.2.5 设备态势检查 98

7.2.6 设备探查和访问控制 99

7.3 本章小结 100

第8章 入侵检测和防御系统 101

8.1 IDPS的类型 102

8.1.1 基于主机的系统 103

8.1.2 基于网络的系统 103

8.2 网络流量分析与加密 104

8.3 零信任与IDPS 106

8.4 本章小结 109

第9章 虚拟私有网络 111

9.1 企业VPN和安全 113

9.2 零信任与虚拟私有网络 115

9.3 本章小结 117

第10章 下一代防火墙 119

10.1 历史与演变 119

10.2 零信任与NGFW 120

10.2.1 网络流量加密：影响 120

10.2.2 网络架构 122

10.3 本章小结 124

第11章 安全运营 127

11.1 安全信息与事件管理 128

11.2 安全编排和自动化响应 129

11.3 安全运营中心的零信任 130

11.3.1 丰富的日志数据 130

11.3.2 编排和自动化(触发器和事件) 130

11.4 本章小结 135

第12章 特权访问管理 137

12.1 口令保险库 137

12.2 秘密管理 138

12.3 特权会话管理 139

12.4 零信任与PAM 140

12.5 本章小结 143

第13章 数据保护 145

13.1 数据类型和数据分类分级 145

13.2 数据生命周期 147

13.2.1 数据创建 147

13.2.2 数据使用 148

13.2.3 数据销毁 149

13.3 数据安全 150

13.4 零信任与数据 151

13.5 本章小结 153

第14章 基础架构即服务和平台即服务 155

14.1 定义 156

14.2 零信任和云服务 157

14.3 服务网格 161

14.4 本章小结 163

零信任的出现不是为了配合销售一种新的安全控制措施或解决方案，而是源于期待解决企业现实问题的真实想法。零信任更专注于安全的本质和现状。

——Chase Cunningham博士，又称“零信任博士(Dr. Zero Trust)”

本人已经期待本书二十多年，非常荣幸能为本书的出版发行写作前言。

早在Jericho论坛于2004年发表以“去边界化(De-perimeterization)”为特征的新安全战略宣言之前，国内安全界的许多专家已经认识到，边界安全模型(Perimeter Security Model)不再是Internet连接系统和企业的可行安全战略。将所有事物连接到Internet的期望很难得到充分满足，不断上涨的安全工具成本及其复杂性，以及技术变革的快速，在破坏已经形成的边界安全模型。如果将组织的深度防御(Defense-in-depth)安全防线比作一道堤坝，当堤坝上存在太多缺口时，无论再投入多少资金都将毫无意义。Jericho论坛宣言指明了不同的方向，给予安全行业新的希望。

然而，可悲的是，就像死星上的莫夫塔金(Grand Moff Tarkin)一样，许多安全从业人士和专家对现状感到满意，而且对于采用新方法确保现代企业安全的想法嗤之以鼻。甚至，曾有安全评论家表示，Jericho论坛宣言是“方向错误”，并以极尽嘲讽的方式预测：Jericho论坛的工作很可能“将以未实现的想法和徒劳的努力而告终”。希望这位安全评论家在阅读本书时能怀有一丝愧疚和遗憾。

事实上，Jericho论坛的工作成果并未浪费，但的确也未立即产生成效。在提出“去边界化”概念5年多之后，当时的西方研究分析人士John Kindervag在2010年创造性地提出“零信任(Zero Trust)”一词，用于描述这一新的安全模型：组织不应自动(默认)地信任其边界之外或之内的任何事物，与之相反，将所有事物连接到系统并授予对数据的访问权限之前，应验证所有访问要素。

对于军队而言，零信任并不是一场安全模型的革命。军人在整个职业生涯中一直在践行物理安全。例如，所有人都需要在门口接受安全人员的检查，在进入基地之前出示合法的身份证件。一般而言，军队会划分A、B和C级资源周围的保护区。航线区域是A级优先资源的所在地，并由武装警卫严格控制进出。基于角色的访问受到严格控制，并授权武装警卫对“越过红线”的攻击方使用致命武力。作为中尉，在进入办公室之前，应经过四级安全检查。安全已经在军队的文化、流程和预期中根深蒂固。

遗憾的是，在逐步建立国防部信息网络且同时采用“零信任”物理安全模型保护最具价值的基础设施(Facility)和武器系统的过程中，由于缺乏实施“零信任”的技术手段，以至于很难保护连接到Internet的数字资产。可用的商业化安全工具极其复杂且价格昂贵。例如，应与知名的供应商签订合同，创建“技术学院”并培训已掌握高级技能的员工正确使用供应商所提供的复杂网络产品。随着组织持续努力将所有业务职能转变为数字生态系统，安全成本亦随之飙升，但边界的安全防线仍很难控制陆续出现的缺漏。当Gregory J. Touhill从联邦政府退休，担任美国政府首席信息安全官时，业界已经可以得出结论，零信任安全战略(Zero Trust Security Strategy)是保护数字生态系统的唯一希望。

COVID-19的流行促使企业从传统的办公环境转向居家办公模式(Work-From-Home Model)，从而加速了企业期待已久的、向零信任安全战略的转变。大规模移动、云计算、软件即服务(SaaS)以及无可替代的自携设备(Bring Your Own Device，BYOD)打破了安全边界的幻视感，世界各地的组织都开始由传统企业环境转向今天更加现代化的数字生态。随着数字化技术的逐步实现，传统的网络安全边界已经消亡；再也没有“外部(Outside)”或“内部(Inside)”之分。

遗憾的是，许多安全专家和组织，包括那些曾经嘲笑Jericho论坛的反对方，都已经加入了零信任的行列。一些安全专家虽然号称支持“零信任”，但实际上并不清楚零信任的真正含义，也不清楚践行零信任的方法。某些组织的传统网络设备和方法已证明是极其复杂且脆弱的，但其市场营销团队竟然“奇迹般地”宣布组织脆弱的防护能力就是“零信任”实践。尽管Forrester的Chase Cunningham博士和Gartner的Neil MacDonald开展了大量的零信任研究，但直到本书出版之前，仍缺少一本真正实用的零信任权威指南。

幸运的是，本书作者Jason Garbis和Jerry W. Chapman拥有丰富的经验，是零信任、企业网络运营、网络安全和商业运营领域公认的专家。本书鼓励安全专家们多多阅读Jason和Jerry的传记，Jason和Jerry的资历令人印象深刻且毫无修饰。

Jason和Jerry展示了一本极具价值的专业书籍，深入浅出地讲解了零信任相关知识，本书应作为各地学生和安全专家的权威参考素材。

本书内容翔实，结构合理紧凑。无论安全专家是否熟悉零信任相关概念，都能从前四章获益，前四章阐述了零信任旅程的整体战略。其中，第1章深刻地讨论并回答了“为什么需要零信任？”这一疑问。而那些刚刚开始零信任旅程的安全专家则会发现第2章更具价值，因为第2章提供了完整的技术发展编年史，阐述了行业如何发展至当今的零信任，并清晰地定义了零信任的概念和范围。需要了解如何将零信任整合到自身运营架构中的组织，需要深入学习第3章中列出的实用建议和生动形象的描述。许多组织在开展重要投资或重大战略变革之前，更愿意尝试和体验“飞行测试(Flight Test)”的经历。本书第4章详细讨论了Google等组织如何将零信任纳入其运营活动的案例。

本书的第Ⅱ部分，从第5章开始讨论关于身份的概念，充分阐述了零信任的基础组成部分。本书认为身份是成功实施零信任的核心组件，很高兴看到Jason和Jerry从本书的这一章开始的相关讨论。接下来的三章论述了零信任对网络基础架构(Network Infrastructure)、网络访问控制措施(Network Access Control)以及入侵检测和防御系统的影响。如果安全专家们觉得这三章很有启发性，那么第9章关于零信任世界中虚拟私有网络(Virtual Private Network，VPN)的讨论可能改变安全专家对当今环境，以及对未来随处工作(Work-from-anywhere)的看法。

第10章对于下一代防火墙(Next-Generation Firewall，NGFW)的讨论具有同样的挑战，讨论了下一代防火墙功能的历史和演变，并预测了下一代防火墙在零信任世界中的未来场景。第11章讨论了零信任模型中的安全信息与事件管理(Security Information and Event Management，SIEM)以及安全编排和自动化响应(Security Orchestration, Automation and Response，SOAR)，对专注于识别、管理和控制风险的安全专家们而言，第10章是必读的内容。阅读过第5章与身份相关讨论内容的安全专家，应不会对第12章关于特权访问管理的讨论感到失望。致力于降低内部威胁风险的组织也需要密切关注这部分内容！

接下来的四章对许多组织正在努力解决的技术问题开展了实践分析和指导。第13章是关于数据保护的讨论。第14章对于云计算资源的讨论就如何在基于云的环境中合理运用零信任提出了实用建议。由于许多组织都采用软件即服务(Software as a Service，SaaS)、安全Web网关和云访问安全代理等技术，第15章讨论了如何将云计算相关技术集成到零信任战略中，并就如何“合理实施”提供了切实可行的建议。最后，很高兴看到Jason和Jerry在第16章纳入物联网设备和相关事项的讨论。大多数网络安全人员专注于IT设备，却忽视了与组织运营技术、工业控制系统和“物联网(Internet of Things，IoT)”设备相关的风险。无论处于哪一类组织角色，都需要关注本章内容，并认识到运用零信任技术保护关键系统的重要性。

本书的最后三章，对于所有致力于在组织内部合理实施零信任的组织而言都至关重要。第17章对于如何创建和实现有效的零信任策略模型展开了必要的讨论。第18章讨论了组织在实施零信任时，最可能需要解决的用例(Use Case)。第19章是对前一章的必要补充，讨论了组织应如何着手实施零信任，以获得成功的最大可能性。相信秉承“大处着眼，小处入手，快速推进”这一理念的安全专家们不会对Jason和Jerry的实践建议感到失望。最后，第20章完整地总结了本书的零信任旅程，并提醒机构、企业和组织，安全的目标是保障组织能够实现其业务使命。零信任不应仅是一句时髦的术语，而是能够成功实施的安全解决方案，在需要的场景中顺利实施。本书将帮助组织快速且精准地实现零信任目标。国家背景的参与方和网络犯罪案例已经证明基于边界(Perimeter-based)的安全模型不再有效。迅速且有意识地转向零信任安全模型的时机已成熟。值得庆幸的是，由于Jason和Jerry富有成效的工作，现在业界有了如何实现目标的实用指南。

自孙子兵法开始，军事将领们实施了一系列基于边界的安全模型用于保护资产(Asset)。但是，从前的军事将领并未接触过Internet、移动设备、云计算和现代技术。Jericho论坛的判断是正确的；边界已经正在成为过去。现在就是全面接受和实施零信任的时代。

——Gregory J. Touhill，CISSP，CISM，美国空军退役准将