零信任網絡：在不可信網絡中構建安全系統（第2版）

拉齊·賴斯（Razi Rais），網絡安全主管，有20多年構建和運維富有彈性的安全系統的經驗。他在微軟公司工作了10多年，曾擔任軟件工程師、架構師和產品經理等職位，當前專註於打造先進的網絡安全產品和服務。曾與人合著多部著作。他還是GIAC咨詢委員會的活躍成員，經常在RSA等國際會議上發表演講，在O’Reilly和領英等平臺上開展研習會和培訓。

克裏斯蒂娜·莫裏洛（Christina Morillo），企業信息安全和技術主管，擁有20多年領導或參與構建綜合性信息安全和技術項目的實踐經驗。她憑借豐富的技能和專業知識，曾就職於微軟和摩根士丹利等公司，現為美國國家橄欖球聯盟中一支球隊的信息安全主管。在完成企業安全工作之余，擔任發言人。

埃文·吉爾曼（Evan Gilman），SPIRL公司聯合創始人兼CEO。他紮根於學術和計算機網絡運維領域，在其整個職業生涯中，都在危險的環境中構建和運營系統。身兼開源貢獻者、發言人和作者等多種身份，熱衷於設計與網絡配套的系統。

道格·巴斯（Doug Barth），軟件工程師，熱衷於學習和與他人分享知識。他在20多年的職業生涯中，在SPIRL、Stripe、PagerDuty和Orbitz等公司中擔任過基礎設施工程師和產品工程師，擁有豐富的監控系統構建、網狀網構建和故障註入經驗。

第 1 章 零信任的基本概念 1

1.1 零信任網絡是什麼 2

1.2 邊界安全模型的演進 4

1.2.1 管理全局 IP 地址空間 4

1.2.2 私有 IP 地址空間的誕生 5

1.2.3 私有網絡連接到公共網絡 6

1.2.4 NAT 的誕生 7

1.2.5 現代邊界安全模型 7

1.3 威脅形勢的演進 8

1.4 邊界安全模型的缺陷 10

1.5 信任從哪裏來 13

1.6 作為使能器的自動化系統 13

1.7 邊界安全模型與零信任模型 14

1.8 在雲環境中應用零信任模型 15

1.9 零信任在美國國家網絡安全中的位置 16

1.10 小結 17

第 2 章 管理信任 18

2.1 威脅模型 19

2.1.1 常用的威脅模型 20

2.1.2 零信任威脅模型 21

2.2 強認證 22

2.3 認證信任 24

2.3.1 CA 是什麼 24

2.3.2 PKI 在零信任模型中的重要性 25

2.3.3 私有 PKI 與公共 PKI 25

2.3.4 使用公共 PKI 勝過根本不使用 PKI 26

2.4 最小權限 26

2.4.1 動態信任 28

2.4.2 信任評分 29

2.4.3 信任評分面臨的挑戰 31

2.4.4 控制平面與數據平面 31

2.5 小結 33

第 3 章 上下文感知代理 35

3.1 代理是什麼 36

3.1.1 代理的易變性 36

3.1.2 代理包含哪些內容 37

3.1.3 如何使用代理 37

3.1.4 代理不用於認證 38

3.2 如何暴露代理 39

3.2.1 兼具剛性和靈活性 40

3.2.2 標準化 40

3.2.3 其他方面的考慮 42

3.3 小結 43

第 4 章 授權決策 44

4.1 授權架構 44

4.2 執行組件 45

4.3 策略引擎 46

4.3.1 策略存儲 47

4.3.2 什麼是好策略 47

4.3.3 誰來定義策略 50

4.3.4 策略審查 50

4.4 信任引擎 51

4.4.1 給哪些實體評分 52

4.4.2 暴露評分存在風險 53

4.5 數據存儲 53

4.6 場景介紹 55

4.7 小結 58

第 5 章 建立設備信任 60

5.1 初始信任 60

5.1.1 生成並保護身份 61

5.1.2 靜態和動態系統中的身份安全 62

5.2 向控制平面認證設備 64

5.2.1 X.509 64

5.2.2 TPM 68

5.2.3 將 TPM 用於設備認證 71

5.2.4 HSM 和 TPM 攻擊向量 71

5.2.5 基於硬件的零信任附件 72

5.3 設備清單管理 73

5.3.1 確定預期 74

5.3.2 安全接入 75

5.4 設備信任更新和度量 76

5.4.1 本地度量 77

5.4.2 遠程度量 77

5.4.3 統一端點管理 78

5.5 軟件配置管理 79

5.5.1 基於配置管理的設備清單 80

5.5.2 可搜索的設備清單 80

5.5.3 確保數據的真實性 81

5.6 將設備數據用於用戶授權 81

5.7 信任信號 82

5.7.1 上次重新做鏡像的時間 82

5.7.2 歷史訪問記錄 82

5.7.3 位置 82

5.7.4 網絡通信模式 83

5.7.5 機器學習 83

5.8 場景介紹 83

5.8.1 用例：Bob 想發送文檔以便打印 86

5.8.2 請求分析 87

5.8.3 用例：Bob 想刪除電子郵件 88

5.8.4 請求分析 88

5.9 小結 89

第 6 章 建立用戶信任 90

6.1 身份的權威性 90

6.2 私有系統中的身份生成 91

6.2.1 政府頒發的身份證明 92

6.2.2 通過人進行認證最可靠 92

6.2.3 預期和實情 93

6.3 存儲身份 93

6.3.1 用戶目錄 93

6.3.2 用戶目錄的維護 94

6.4 何時認證身份 94

6.4.1 為獲取信任而認證 95

6.4.2 信任評分驅動認證 95

6.4.3 使用多種渠道 96

6.4.4 緩存身份和信任等級 96

6.5 如何認證身份 96

6.5.1 用戶知道的-密碼 97

6.5.2 用戶持有的-TOTP 98

6.5.3 用戶持有的-證書 99

6.5.4 用戶持有的-安全令牌 99

6.5.5 用戶固有的-生物特征 99

6.5.6 行為模式 100

6.6 帶外認證 101

6.6.1 單點登錄 101

6.6.2 工作負載身份 102

6.6.3 轉向本地認證解決方案 103

6.7 組認證和組授權 104

6.7.1 Shamir 秘密共享 104

6.7.2 Red October 104

6.8 積極參與，積極報告 105

6.9 信任信號 106

6.10 場景介紹 106

6.10.1 用例：Bob 想要查看敏感的財務報告 108

6.10.2 請求分析 108

6.11 小結 109

第 7 章 建立應用信任 111

7.1 理解應用流水線 112

7.2 確保源代碼可信 114

7.2.1 保護代碼倉庫 114

7.2.2 代碼真實性和審計線索 114

7.2.3 代碼審查 116

7.3 確保構建過程可信 116

7.3.1 軟件物料清單：風險 116

7.3.2 輸出可信的前提是輸入可信 117

7.3.3 可再現構建 118

7.3.4 解耦發行版本和工件版本 118

7.4 確保分發過程可信 119

7.4.1 工件提升 119

7.4.2 分發安全 120

7.4.3 完整性和真實性 120

7.4.4 確保分發網絡可信 122

7.5 人工參與 123

7.6 確保實例可信 124

7.6.1 只能升級，不能降級 124

7.6.2 被授權實例 124

7.7 運行時安全 126

7.7.1 安全編碼實踐 126

7.7.2 隔離 127

7.7.3 主動監控 128

7.8 安全的軟件開發生命周期 129

7.8.1 需求和設計 130

7.8.2 編碼和實現 130

7.8.3 靜態和動態代碼分析 130

7.8.4 同行評審和代碼審計 130

7.8.5 質量保證和測試 130

7.8.6 部署和維護 130

7.8.7 持續改進 131

7.9 保護應用和數據隱私 131

7.9.1 如何確保托管在公有雲中的應用可信 131

7.9.2 機密計算 131

7.9.3 理解基於硬件的信任根 132

7.9.4 證明的作用 132

7.10 場景介紹 133

7.10.1 用例：Bob 將高度敏感的數據發送給財務應用去計算 134

7.10.2 請求分析 134

7.11 小結 135

第 8 章 建立流量信任 137

8.1 加密與認證 137

8.2 不加密能否保證真實性 138

8.3 建立初始信任的首包 139

8.3.1 fwknop 140

8.3.2 短時例外規則 140

8.3.3 SPA 載荷 140

8.3.4 載荷加密 141

8.3.5 HMAC 141

8.4 零信任應該在網絡模型中的哪個位置 141

8.4.1 客戶端和服務器分離 143

8.4.2 網絡支持問題 143

8.4.3 設備支持問題 144

8.4.4 應用支持問題 144

8.4.5 一種務實的方法 144

8.4.6 微軟服務器隔離 145

8.5 協議 145

8.5.1 IKE 和 IPSec 145

8.5.2 雙向認證 TLS 146

8.6 建立雲流量信任：挑戰和考量 150

8.7 雲訪問安全代理和身份聯盟 151

8.8 過濾 152

8.8.1 主機過濾 153

8.8.2 雙向過濾 155

8.8.3 中間設備過濾 156

8.9 場景介紹 158

8.9.1 用例：Bob 請求通過匿名代理服務器訪問電子郵件服務 159

8.9.2 請求分析 159

8.10 小結 160

第 9 章 實現零信任網絡 162

9.1 通往零信任網絡的入口：了解當前的網絡 162

9.1.1 確定工作範圍 162

9.1.2 評估和規劃 163

9.1.3 實際要求 163

9.1.4 所有流在處理前“必須”經過認證 164

9.1.5 繪制系統框圖 167

9.1.6 了解流 168

9.1.7 微分段 170

9.1.8 軟件定義邊界 170

9.1.9 無控制器架構 171

9.1.10 “欺騙式”配置管理 171

9.2 實施階段：應用認證和授權 172

9.2.1 認證負載均衡器和代理服務器 172

9.2.2 基於關系的策略 173

9.2.3 策略分發 173

9.2.4 定義並實施安全策略 174

9.2.5 零信任代理服務器 175

9.2.6 客戶端遷移和服務器端遷移 176

9.2.7 端點安全 177

9.3 案例研究 178

9.4 案例研究之 Google BeyondCorp 178

9.4.1 BeyondCorp 的主要組件 179

9.4.2 使用並擴展 GFE 182

9.4.3 多平臺認證面臨的挑戰 183

9.4.4 遷移到 BeyondCorp 184

9.4.5 經驗和教訓 186

9.4.6 結語 188

9.5 案例研究之 PagerDuty 雲平臺無關網絡 188

9.5.1 將配置管理系統用作自動化平臺 189

9.5.2 動態地配置本地防火墻 190

9.5.3 分布式流量加密 190

9.5.4 分散式用戶管理 192

9.5.5 部署上線 192

9.5.6 提供商無關系統的價值 193

9.6 小結 193

第 10 章 攻擊者視圖 195

10.1 潛在的陷阱和風險 195

10.2 攻擊向量 196

10.3 身份和訪問權限 197

10.3.1 憑證盜竊 197

10.3.2 提權和橫向移動 198

10.4 基礎設施和網絡 199

10.4.1 控制平面安全 199

10.4.2 端點枚舉 201

10.4.3 不可信計算平臺 201

10.4.4 分布式拒絕服務攻擊 202

10.4.5 中間人攻擊 202

10.4.6 失效性 203

10.4.7 網絡釣魚 204

10.4.8 人身脅迫 204

10.5 網絡安全保險的作用 205

10.6 小結 205

第 11 章 零信任架構標準、框架和指南 207

11.1 政府機構 208

11.1.1 美國政府組織 208

11.1.2 英國 225

11.1.3 歐盟 226

11.2 民間組織和公共組織 226

11.2.1 雲安全聯盟 226

11.2.2 The Open Group 227

11.2.3 Gartner 228

11.2.4 Forrester 228

11.2.5 國際標準化組織 229

11.3 商業供應商 229

11.4 小結 231

第 12 章 挑戰和未來之路 232

12.1 挑戰 232

12.1.1 轉變思維方式 232

12.1.2 影子 IT 233

12.1.3 各自為政 233

12.1.4 缺乏整合性零信任產品 234

12.1.5 可伸縮性和性能 234

12.1.6 重要啟示 235

12.2 技術進步 235

12.2.1 量子計算 235

12.2.2 人工智能 237

12.2.3 隱私增強技術 238

12.3 小結 240

附錄 A 網絡模型簡介 241