前言
零信任是近年来安全领域的热门话题,不同人对零信任的理解各不相同。许多刚接触这个领域的人都会觉得“看不懂”。在行业内,各家自说自话,令人摸不着头脑,大家看不明白到底什么才是零信任。本书希望能为读者提供一个全局视角,以便俯视百花齐放的零信任市场,同时为读者提供一个完善的架构基础,以便把握各家的技术脉络。本书将循着时间的脉络,厘清零信任各个流派的发展过程,盘点各个行业的标准和技术框架。从 Forrester 的概念模型,到BeyondCorp的最佳实践;从NIST的技术标准,到国内外各大厂商的解决方案,各家其实都遵循了同一个零信任理念,不同的技术可以纳入同一个架构。各家以不同的视角,为零信任理论做出贡献,并在各自擅长的领域推出新的技术,丰富零信任的架构。
了解零信任的人应该知道,零信任系统可以实现安全的远程访问,但零信任能做的其实远远不止于此。在美国国防部的参考框架中,零信任方案可以实现深入数据库、表、行列级的访问控制。在谷歌的案例中,零信任方案可以渗透到网络基础设施中,对硬件、容器、代码进行可信评估。国内不少企业都在进行网络架构的零信任改造。未来的零信任方案可能不仅可以保障业务运行,还可以参与业务建设。
经过多年的发展,零信任已经在多个行业进入落地阶段。从哪些场景入手,如何有条不紊地建设,如何安全稳定地过渡,建成后如何使用、运营,都是我们需要面对的重要挑战。本书将对这些问题进行探讨,并总结实践中的经验,为企业网络的实际建设规划提供参考。
本书共9章。第1章讲述了零信任的历史,介绍现有的模型、标准、方案,以及未来的发展趋势。第2章介绍了零信任的概念,探讨了零信任是什么、不是什么。第3章和第4章分别详解了零信任的架构和组件。第5章介绍了零信任在实战中的作用,总结了零信任应对各类安全威胁的防御手段。第6章总结了零信任的十余种应用场景,介绍了零信任在各类场景下的架构和特色。第7章介绍了几个典型案例的落地效果和实践经验。第8章介绍了如何根据实际情况规划、建设零信任网络。第9章介绍了如何使用零信任,利用零信任进行整体安全运营。
在本书的撰写过程中,我得到了相当多朋友的支持、鼓励。感谢魏小强、吕波、苏昊明、吴满等几位老师对我的帮助和指导。
由于作者水平有限,本书或多或少存在不足之处,欢迎广大读者批评指正。
冀托
2022年3月