零信任网络：在不可信网络中构建安全系统（第2版）

图书目录:

第 1 章 零信任的基本概念 ...................................................................................... 1

1.1 零信任网络是什么 .......................................................................................... 2

1.2 边界安全模型的演进 ...................................................................................... 4

1.2.1 管理全局 IP 地址空间 ........................................................................ 4

1.2.2 私有 IP 地址空间的诞生 .................................................................... 5

1.2.3 私有网络连接到公共网络 .................................................................. 6

1.2.4 NAT 的诞生 ......................................................................................... 7

1.2.5 现代边界安全模型 .............................................................................. 7

1.3 威胁形势的演进 .............................................................................................. 8

1.4 边界安全模型的缺陷 .................................................................................... 10

1.5 信任从哪里来 ................................................................................................ 13

1.6 作为使能器的自动化系统 ............................................................................ 13

1.7 边界安全模型与零信任模型 ........................................................................ 14

1.8 在云环境中应用零信任模型 ........................................................................ 15

1.9 零信任在美国国家网络安全中的位置 ........................................................ 16

1.10 小结 .............................................................................................................. 17

第 2 章 管理信任 ....................................................................................................... 18

2.1 威胁模型 ........................................................................................................ 19

2.1.1 常用的威胁模型 ................................................................................ 20

2.1.2 零信任威胁模型 ................................................................................ 21

2.2 强认证 ............................................................................................................ 22

2.3 认证信任 ........................................................................................................ 24

2.3.1 CA 是什么 ......................................................................................... 24

2.3.2 PKI 在零信任模型中的重要性 ........................................................ 25

2.3.3 私有 PKI 与公共 PKI ........................................................................ 25

2.3.4 使用公共 PKI 胜过根本不使用 PKI ................................................ 26

2.4 最小权限 ........................................................................................................ 26

2.4.1 动态信任 ............................................................................................ 28

2.4.2 信任评分 ............................................................................................ 29

2.4.3 信任评分面临的挑战 ........................................................................ 31

2.4.4 控制平面与数据平面 ........................................................................ 31

2.5 小结 ................................................................................................................ 33

第 3 章 上下文感知代理 ........................................................................................... 35

3.1 代理是什么 .................................................................................................... 36

3.1.1 代理的易变性 .................................................................................... 36

3.1.2 代理包含哪些内容 ............................................................................ 37

3.1.3 如何使用代理 .................................................................................... 37

3.1.4 代理不用于认证 ................................................................................ 38

3.2 如何暴露代理 ................................................................................................ 39

3.2.1 兼具刚性和灵活性 ............................................................................ 40

3.2.2 标准化 ................................................................................................ 40

3.2.3 其他方面的考虑 ................................................................................ 42

3.3 小结 ................................................................................................................ 43

第 4 章 授权决策 ....................................................................................................... 44

4.1 授权架构 ........................................................................................................ 44

4.2 执行组件 ........................................................................................................ 45

4.3 策略引擎 ........................................................................................................ 46

4.3.1 策略存储 ............................................................................................ 47

4.3.2 什么是好策略 .................................................................................... 47

4.3.3 谁来定义策略 .................................................................................... 50

4.3.4 策略审查 ............................................................................................ 50

4.4 信任引擎 ........................................................................................................ 51

4.4.1 给哪些实体评分 ................................................................................ 52

4.4.2 暴露评分存在风险 ............................................................................ 53

4.5 数据存储 ........................................................................................................ 53

4.6 场景介绍 ........................................................................................................ 55

4.7 小结 ................................................................................................................ 58

第 5 章 建立设备信任 ............................................................................................... 60

5.1 初始信任 ........................................................................................................ 60

5.1.1 生成并保护身份 ................................................................................ 61

5.1.2 静态和动态系统中的身份安全 ........................................................ 62

5.2 向控制平面认证设备 .................................................................................... 64

5.2.1 X.509 .................................................................................................. 64

5.2.2 TPM .................................................................................................... 68

5.2.3 将 TPM 用于设备认证 ...................................................................... 71

5.2.4 HSM 和 TPM 攻击向量 .................................................................... 71

5.2.5 基于硬件的零信任附件 .................................................................... 72

5.3 设备清单管理 ................................................................................................ 73

5.3.1 确定预期 ............................................................................................ 74

5.3.2 安全接入 ............................................................................................ 75

5.4 设备信任更新和度量 .................................................................................... 76

5.4.1 本地度量 ............................................................................................ 77

5.4.2 远程度量 ............................................................................................ 77

5.4.3 统一端点管理 .................................................................................... 78

5.5 软件配置管理 ................................................................................................ 79

5.5.1 基于配置管理的设备清单 ................................................................ 80

5.5.2 可搜索的设备清单 ............................................................................ 80

5.5.3 确保数据的真实性 ............................................................................ 81

5.6 将设备数据用于用户授权 ............................................................................ 81

5.7 信任信号 ........................................................................................................ 82

5.7.1 上次重新做镜像的时间 .................................................................... 82

5.7.2 历史访问记录 .................................................................................... 82

5.7.3 位置 .................................................................................................... 82

5.7.4 网络通信模式 .................................................................................... 83

5.7.5 机器学习 ............................................................................................ 83

5.8 场景介绍 ........................................................................................................ 83

5.8.1 用例：Bob 想发送文档以便打印 .................................................... 86

5.8.2 请求分析 ............................................................................................ 87

5.8.3 用例：Bob 想删除电子邮件 ............................................................ 88

5.8.4 请求分析 ............................................................................................ 88

5.9 小结 ................................................................................................................ 89

第 6 章 建立用户信任 ............................................................................................... 90

6.1 身份的权威性 ................................................................................................ 90

6.2 私有系统中的身份生成 ................................................................................ 91

6.2.1 政府颁发的身份证明 ........................................................................ 92

6.2.2 通过人进行认证最可靠 .................................................................... 92

6.2.3 预期和实情 ........................................................................................ 93

6.3 存储身份 ........................................................................................................ 93

6.3.1 用户目录 ............................................................................................ 93

6.3.2 用户目录的维护 ................................................................................ 94

6.4 何时认证身份 ................................................................................................ 94

6.4.1 为获取信任而认证 ............................................................................ 95

6.4.2 信任评分驱动认证 ............................................................................ 95

6.4.3 使用多种渠道 .................................................................................... 96

6.4.4 缓存身份和信任等级 ........................................................................ 96

6.5 如何认证身份 ................................................................................................ 96

6.5.1 用户知道的—密码 ........................................................................ 97

6.5.2 用户持有的—TOTP ...................................................................... 98

6.5.3 用户持有的—证书 ........................................................................ 99

6.5.4 用户持有的—安全令牌 ................................................................ 99

6.5.5 用户固有的—生物特征 ................................................................ 99

6.5.6 行为模式 .......................................................................................... 100

6.6 带外认证 ...................................................................................................... 101

6.6.1 单点登录 .......................................................................................... 101

6.6.2 工作负载身份 .................................................................................. 102

6.6.3 转向本地认证解决方案 .................................................................. 103

6.7 组认证和组授权 .......................................................................................... 104

6.7.1 Shamir 秘密共享 .............................................................................. 104

6.7.2 Red October ...................................................................................... 104

6.8 积极参与，积极报告 .................................................................................. 105

6.9 信任信号 ...................................................................................................... 106

6.10 场景介绍 .................................................................................................... 106

6.10.1 用例：Bob 想要查看敏感的财务报告 ......................................... 108

6.10.2 请求分析 ........................................................................................ 108

6.11 小结 ............................................................................................................ 109

第 7 章 建立应用信任 ............................................................................................. 111

7.1 理解应用流水线 .......................................................................................... 112

7.2 确保源代码可信 .......................................................................................... 114

7.2.1 保护代码仓库 .................................................................................. 114

7.2.2 代码真实性和审计线索 .................................................................. 114

7.2.3 代码审查 .......................................................................................... 116

7.3 确保构建过程可信 ...................................................................................... 116

7.3.1 软件物料清单：风险 ...................................................................... 116

7.3.2 输出可信的前提是输入可信 .......................................................... 117

7.3.3 可再现构建 ...................................................................................... 118

7.3.4 解耦发行版本和工件版本 .............................................................. 118

7.4 确保分发过程可信 ...................................................................................... 119

7.4.1 工件提升 .......................................................................................... 119

7.4.2 分发安全 .......................................................................................... 120

7.4.3 完整性和真实性 .............................................................................. 120

7.4.4 确保分发网络可信 .......................................................................... 122

7.5 人工参与 ...................................................................................................... 123

7.6 确保实例可信 .............................................................................................. 124

7.6.1 只能升级，不能降级 ...................................................................... 124

7.6.2 被授权实例 ...................................................................................... 124

7.7 运行时安全 .................................................................................................. 126

7.7.1 安全编码实践 .................................................................................. 126

7.7.2 隔离 .................................................................................................. 127

7.7.3 主动监控 .......................................................................................... 128

7.8 安全的软件开发生命周期 .......................................................................... 129

7.8.1 需求和设计 ...................................................................................... 130

7.8.2 编码和实现 ...................................................................................... 130

7.8.3 静态和动态代码分析 ...................................................................... 130

7.8.4 同行评审和代码审计 ...................................................................... 130

7.8.5 质量保证和测试 .............................................................................. 130

7.8.6 部署和维护 ...................................................................................... 130

7.8.7 持续改进 .......................................................................................... 131

7.9 保护应用和数据隐私 .................................................................................. 131

7.9.1 如何确保托管在公有云中的应用可信 .......................................... 131

7.9.2 机密计算 .......................................................................................... 131

7.9.3 理解基于硬件的信任根 .................................................................. 132

7.9.4 证明的作用 ...................................................................................... 132

7.10 场景介绍 .................................................................................................... 133

7.10.1 用例：Bob 将高度敏感的数据发送给财务应用去计算............. 134

7.10.2 请求分析 ........................................................................................ 134

7.11 小结 ............................................................................................................ 135

第 8 章 建立流量信任 ............................................................................................. 137

8.1 加密与认证 .................................................................................................. 137

8.2 不加密能否保证真实性 .............................................................................. 138

8.3 建立初始信任的首包 .................................................................................. 139

8.3.1 fwknop .............................................................................................. 140

8.3.2 短时例外规则 .................................................................................. 140

8.3.3 SPA 载荷 .......................................................................................... 140

8.3.4 载荷加密 .......................................................................................... 141

8.3.5 HMAC .............................................................................................. 141

8.4 零信任应该在网络模型中的哪个位置 ...................................................... 141

8.4.1 客户端和服务器分离 ...................................................................... 143

8.4.2 网络支持问题 .................................................................................. 143

8.4.3 设备支持问题 .................................................................................. 144

8.4.4 应用支持问题 .................................................................................. 144

8.4.5 一种务实的方法 .............................................................................. 144

8.4.6 微软服务器隔离 .............................................................................. 145

8.5 协议 .............................................................................................................. 145

8.5.1 IKE 和 IPSec .................................................................................... 145

8.5.2 双向认证 TLS .................................................................................. 146

8.6 建立云流量信任：挑战和考量 .................................................................. 150

8.7 云访问安全代理和身份联盟 ...................................................................... 151

8.8 过滤 .............................................................................................................. 152

8.8.1 主机过滤 .......................................................................................... 153

8.8.2 双向过滤 .......................................................................................... 155

8.8.3 中间设备过滤 .................................................................................. 156

8.9 场景介绍 ...................................................................................................... 158

8.9.1 用例：Bob 请求通过匿名代理服务器访问电子邮件服务 ............. 159

8.9.2 请求分析 .......................................................................................... 159

8.10 小结 ............................................................................................................ 160

第 9 章 实现零信任网络 ......................................................................................... 162

9.1 通往零信任网络的入口：了解当前的网络 .............................................. 162

9.1.1 确定工作范围 .................................................................................. 162

9.1.2 评估和规划 ...................................................................................... 163

9.1.3 实际要求 .......................................................................................... 163

9.1.4 所有流在处理前“必须”经过认证 .............................................. 164

9.1.5 绘制系统框图 .................................................................................. 167

9.1.6 了解流 .............................................................................................. 168

9.1.7 微分段 .............................................................................................. 170

9.1.8 软件定义边界 .................................................................................. 170

9.1.9 无控制器架构 .................................................................................. 171

9.1.10 “欺骗式”配置管理 ...................................................................... 171

9.2 实施阶段：应用认证和授权 ...................................................................... 172

9.2.1 认证负载均衡器和代理服务器 ...................................................... 172

9.2.2 基于关系的策略 .............................................................................. 173

9.2.3 策略分发 .......................................................................................... 173

9.2.4 定义并实施安全策略 ...................................................................... 174

9.2.5 零信任代理服务器 .......................................................................... 175

9.2.6 客户端迁移和服务器端迁移 .......................................................... 176

9.2.7 端点安全 .......................................................................................... 177

9.3 案例研究 ...................................................................................................... 178

9.4 案例研究之 Google BeyondCorp ................................................................ 178

9.4.1 BeyondCorp 的主要组件 ................................................................ 179

9.4.2 使用并扩展 GFE ............................................................................. 182

9.4.3 多平台认证面临的挑战 .................................................................. 183

9.4.4 迁移到 BeyondCorp ........................................................................ 184

9.4.5 经验和教训 ...................................................................................... 186

9.4.6 结语 .................................................................................................. 188

9.5 案例研究之 PagerDuty 云平台无关网络 ................................................... 188

9.5.1 将配置管理系统用作自动化平台 .................................................. 189

9.5.2 动态地配置本地防火墙 .................................................................. 190

9.5.3 分布式流量加密 .............................................................................. 190

9.5.4 分散式用户管理 .............................................................................. 192

9.5.5 部署上线 .......................................................................................... 192

9.5.6 提供商无关系统的价值 .................................................................. 193

9.6 小结 .............................................................................................................. 193

第 10 章 攻击者视图 ............................................................................................... 195

10.1 潜在的陷阱和风险 .................................................................................... 195

10.2 攻击向量 .................................................................................................... 196

10.3 身份和访问权限 ........................................................................................ 197

10.3.1 凭证盗窃 ...................................................................................... 197

10.3.2 提权和横向移动 .......................................................................... 198

10.4 基础设施和网络 ........................................................................................ 199

10.4.1 控制平面安全 .............................................................................. 199

10.4.2 端点枚举 ...................................................................................... 201

10.4.3 不可信计算平台 .......................................................................... 201

10.4.4 分布式拒绝服务攻击 ................................................................... 202

10.4.5 中间人攻击 .................................................................................. 202

10.4.6 失效性 .......................................................................................... 203

10.4.7 网络钓鱼 ...................................................................................... 204

10.4.8 人身胁迫 ...................................................................................... 204

10.5 网络安全保险的作用 ................................................................................ 205

10.6 小结 ............................................................................................................ 205

第 11 章 零信任架构标准、框架和指南 .............................................................. 207

11.1 政府机构 .................................................................................................... 208

11.1.1 美国政府组织 ............................................................................... 208

11.1.2 英国............................................................................................... 225

11.1.3 欧盟............................................................................................... 226

11.2 民间组织和公共组织 ................................................................................ 226

11.2.1 云安全联盟 ................................................................................... 226

11.2.2 The Open Group............................................................................ 227

11.2.3 Gartner .......................................................................................... 228

11.2.4 Forrester ........................................................................................ 228

11.2.5 国际标准化组织 ........................................................................... 229

11.3 商业供应商 ................................................................................................ 229

11.4 小结 ............................................................................................................ 231

第 12 章 挑战和未来之路 ....................................................................................... 232

12.1 挑战 ............................................................................................................ 232

12.1.1 转变思维方式 .............................................................................. 232

12.1.2 影子 IT .......................................................................................... 233

12.1.3 各自为政 ...................................................................................... 233

12.1.4 缺乏整合性零信任产品 ............................................................... 234

12.1.5 可伸缩性和性能 .......................................................................... 234

12.1.6 重要启示 ...................................................................................... 235

12.2 技术进步 .................................................................................................... 235

12.2.1 量子计算 ...................................................................................... 235

12.2.2 人工智能 ...................................................................................... 237

12.2.3 隐私增强技术 .............................................................................. 238

12.3 小结 ............................................................................................................ 240

附录 A 网络模型简介 .............................................................................................. 241