“零信任”：一次網絡安全架構的認知升級

所有偉大的技術變革都是順應時代發展的潮流而生的。

隨著云計算和移動辦公時代的到來，傳統安全模式已經漸漸失效，“零信任”成為當下最受認可的安全架構。

傳統的安全模式以邊界防御為中心，在邊界處部署防火墻、WAF、IPS等網絡安全產品進行防御，通過建設一層一層的“城墻”，將可信的內網和不可信的外網隔離開。

然而，隨著移動辦公的興起、APT攻擊的泛濫，原本清晰的網絡邊界已經逐漸模糊。

網絡攻擊可能源自內部。黑客通過入侵用戶設備、竊取身份，長期潛伏在企業內部網絡，傳播風險，給企業帶來巨大的安全威脅。

零信任就是在這個背景下應運而生的。

零信任的理念是“持續驗證，永不信任” ，授權不再以網絡邊界為中心，而是以身份和數據為中心，進行動態授權。

零信任網絡中默認拒絕一切。無論什么類型的用戶和資源，無論處于什么位置，在進行嚴格的身份驗證和授權之前，不允許訪問任何資源。

就像防疫政策一樣，當我們面對的是傳播力更強的奧密克戎病毒時，不僅要在大樓的出入口測溫，還要對每個人進行持續的驗證，檢查每個人是否與病毒攜帶者有過時空伴隨，是否去過高風險地區，是否打了疫苗等等。只有做到對每個人的“零信任”，才能有效對抗威脅。

零信任架構已經得到了主流市場的廣泛認可，未來兩年內仍未采用的企業會感到落后的壓力。

谷歌是最早采用零信任架構的公司，目前已有超過10萬名員工都在通過谷歌的零信任系統BeyondCorp進行日常辦公。

著名咨詢機構Gartner認為未來幾年內將有80%的面向生態合作伙伴的新數字業務應用采用零信任網絡訪問。

2021年，美國總統拜登簽署行政令要求政府各級部門落實零信任技術。美國國防部發布了他們的零信任參考架構。

零信任安全架構已經引起了國家相關部門和業界的高度重視。2019年，工信部發布了《關于促進網絡安全產業發展的指導意見》，將零信任安全列為網絡安全需要突破的關鍵技術。中國信通院發布了《中國網絡安全產業白皮書（2019年）》，將零信任安全技術列為我國網絡安全重點細分領域技術。不少政府單位、大中型企業已經開始研究零信任架構的落地問題。國內正在興起一股零信任的建設熱潮。

很多剛接觸零信任的人會感覺“看不懂”零信任。

如果你在網上瀏覽零信任的資料，你就會發現，各個機構的零信任模型不同，各個廠商的解決方案也各不相同。行業內各家自說自話，令人摸不著頭腦，看不明白到底什么才是零信任。

因此，推薦這本《白話零信任》給大家。

本書講了什么

這本書從頭開始，把歷史上零信任的每個流派都梳理了一遍，盤點了各家的行業標準和技術框架。

• 從Forrester的概念模型，到BeyondCorp的最佳實踐。
• 從NIST的技術標準，到國內外各大廠商的特色解決方案
• ……

本書提供了一個全局視角，以便讀者可以俯視百花齊放的市場現狀。

另外，所有人都知道“零信任”是一種整體的網絡安全架構。但實際上，市場上大多數零信任產品只是一個加強版的VPN。很多人只能看到零信任的冰山一角，而看不到 “全貌”。

《白話零信任》書中總結了完整的零信任模型，并且結合很多大型企業的整體建設、改造經驗，試圖展現出零信任架構的全貌，而不止是浮出水面的部分。

零信任有“7大維度”——數據、用戶、設備、工作負載、網絡、可見性與分析、自動化和編排。

就像谷歌的安全實踐中，不只有BeyondCorp替代VPN。還有身份大數據、設備清單庫的建立；有BeyondProd來做“從前置應用、到后置服務、到數據”整個流程前后關聯的訪問控制；有從底層硬件、到操作系統、到代碼構建層層滲透的身份認證……

一個用戶查看Gmail里的日歷信息時，數據服務不僅要考察Gmail服務器是否合法，還要檢查終端用戶是否合法，用戶的操作是否有必要驅動后端服務的調用，調用API的服務器上運行的代碼是否可信等等。

總的來說，本書主要介紹了零信任在國內國外的發展歷史，國內的市場現狀、完整的零信任架構，深入解析8大技術組件，從攻防角度總結了零信任應對各類安全威脅的防御手段，介紹了24種各具特色的應用場景。通過4個典型案例的落地效果和實施經驗，從建設視角、運營視角介紹了如何根據實際情況，規劃、建設零信任網絡，如何使用零信任，利用零信任進行整體安全運營。

本書特色

01. 全面

結合作者多年的實踐經驗，盤點了零信任歷史上的5大流派，梳理了零信任的8大核心組件和24個各具特色的應用場景，通過綜合對比，做出更全面的分析解讀。

02. 實戰

本書不單純剖析技術理論，而是從企業建設的甲方視角思考，從國內實際情況出發，挖掘零信任的價值和作用，總結落地實施的最佳實踐。

03. 白話

通過直白、易懂的語言，深入淺出地介紹零信任架構中的各種新興技術，在實際例子中說明各類技術的原理、用處、限制。

希望《白話零信任》能幫助讀者朋友們快速掌握零信任知識的，幫助讀者朋友們更好地完成零信任的研究和實踐工作。

同時，作者也希望跟大家交流互動，共同探討如何將這么好的架構在更多場景中落地。