万本电子书0元读

万本电子书0元读

顶部广告

零信任网络:在不可信网络中构建安全系统电子书 租阅

1.国内首部介绍零信任网络的专业技术图书。 2.内容全面丰富,是学习零信任网络不可或缺的参考资料。 3.全面解析零信任网络技术,系统介绍构建零信任网络的方方面面。 保护网络的边界安全防御措施并不如人们想象中那么牢不可破。防火墙保护之下的网络主机自身的安全防护非常弱,一旦“可信”网络中的某个主机被攻陷,那么攻者很快就能以此为跳板,侵数据中心。为解决传统边界安全模型固有的缺陷,本书为读者介绍了零信任模型,该模型认为整个网络无论内外都是不安全的,“可信”内网中的主机面临着与互联网上的主机相同的安全威胁。

售       价:¥

纸质售价:¥55.00购买纸书

358人正在读 | 0人评论 6.2

作       者:(美) 埃文·吉尔曼(Evan Gilman),道格·巴斯(Doug Barth)

出  版  社:人民邮电出版社有限公司

出版时间:2019-08-01

字       数:15.5万

所属分类: 科技 > 计算机/网络 > 计算机理论与教程

温馨提示:此类商品不支持退换货,不支持下载打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(0条)
  • 读书简介
  • 目录
  • 累计评论(0条)
《零信任网络:在不可信网络中构建安全系统》分为10章,从介绍零信任的基本概念始,描述了管理信任,网络代理,建立设备信任、用户信任、应用信任以及流量信任,零信任网络的实现和攻者视图等内容。《零信任网络:在不可信网络中构建安全系统》主要展示了零信任如何让读者专注于构建强大的身份认证和加密,同时提供分区访问和更好的操作敏捷性。通过阅读《零信任网络:在不可信网络中构建安全系统》,读者将了解零信任网络的架构,包括如何使用当前可用的技术构建一个架构。 《零信任网络:在不可信网络中构建安全系统》适合网络工程师、安全工程师、CTO以及对零信任技术感兴趣的读者阅读。 本书适合网络工程师、安全工程师、CTO以及对零信任技术感兴趣的读者阅读。<br/>【推荐语】<br/>1.国内首部介绍零信任网络的专业技术图书。 2.内容全面丰富,是学习零信任网络不可或缺的参考资料。 3.全面解析零信任网络技术,系统介绍构建零信任网络的方方面面。 保护网络的边界安全防御措施并不如人们想象中那么牢不可破。防火墙保护之下的网络主机自身的安全防护非常弱,一旦“可信”网络中的某个主机被攻陷,那么攻者很快就能以此为跳板,侵数据中心。为解决传统边界安全模型固有的缺陷,本书为读者介绍了零信任模型,该模型认为整个网络无论内外都是不安全的,“可信”内网中的主机面临着与互联网上的主机相同的安全威胁。 作者埃文·吉尔曼(Evan Gilman)和道格·巴特(Doug Barth)揭示了零信任模型如何聚焦于构建覆盖全网的强认证和加密系统,如何实现动态访问控制并保持系统运营的敏捷性。通过阅读学习本书,读者可以掌握零信任网络的体系架构,并学会如何利用现有的技术逐步构建一个零信任网络。 ·理解零信任模型是如何把安全内嵌系统的运营管理,而不是建立在系统之上。 ·掌握零信任网络中主要组件的基本概念,包括网络代理和信任引擎。 ·使用现有的技术在网络参与者之间建立信任。 ·学习如何把基于边界安全模型的网络迁移到零信任网络。 ·分析零信任模型的实践案例,包括Google在客户端的实践和PagerDuty在服务端的实践。 埃文·吉尔曼(Evan Gilman)是一名计算机网络工程师,目前为互联网公共社区工作。Evan的整个职业生涯都致力于研究如何在危险的网络环境中构建和运营安全系统。 道格·巴特(Doug Barth)是一名软件工程师,曾服务于Orbitz、PagerDuty等不同规模的公司。他在构建监控系统、无线自组网(Mesh Network)、故障注等技术方向有丰富的实践经验。 “这本书为我们展示了一个理想的现代安全模型的框架,并包含了大量高价值的实战经验。如果您正在考虑如何在公有云或者办公机构分布全球的环境下构建安全防护措施,那么建议您仔细阅读并遵循这本书中的建议和指导。” ——Bryan Berg,Stripe公司基础设施工程师 “Evan和Doug对于零信任网络有着深刻的理解和丰富的实践经验,这本书是非常出色的实用手册,可以作为各种网络部署实施现代安全架构的参考指南。” ——Ryan Huber,Slack公司安全运营经理<br/>【作者】<br/>埃文·吉尔曼(Evan Gilman)是一名计算机网络工程师,目前为互联网公共社区工作。Evan的整个职业生涯都致力于研究如何在危险的网络环境中构建和运营安全系统。 道格·巴特(Doug Barth)是一名软件工程师,曾服务于Orbitz、PagerDuty等不同规模的公司。他在构建监控系统、无线自组网(Mesh Network)、故障注等技术方向有丰富的实践经验。 译者简介:奇安信身份安全实验室是奇安信集团下属的专注于“零信任身份安全架构”研究的专业实验室。该团队以“零信任安全,新身份边界”为技术思想,探索“企业物理边界正在瓦解、传统边界防护措施正在失效”这一时代背景下的新型安全体系架构,推出“以身份为中心、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信天鉴零信任身份安全解决方案。该团队结合行业现状,大力投对零信任安全架构的研究和产品标准化,积极推动“零信任身份安全架构”在业界的落地实践,其方案已经在部委、央企等得到广泛的落地实施,得到市场和业界的高度认可。同时,为帮助广大读者和技术爱好者更好地理解零信任安全架构及技术体系,奇安信身份安全实验室同步在线上成立零信任安全社区 (微信ID:izerotrust),将定期分享和推送“零信任身份安全架构”在业界的研究和落地实践,欢迎广大读者和业界人士关注。<br/>
目录展开

版权

版权声明

内容提要

O'Reilly Media,Inc.介绍

业界评论

译者简介

译者序

前言

本书的目标读者

本书的写作目的

零信任网络现状

本书的主要内容

排版约定

Safari® 在线图书

联系方式

致谢

资源与支持

提交勘误

与我们联系

关于异步社区和异步图书

第1章 零信任的基本概念

1.1 什么是零信任网络

零信任的控制平面

1.2 边界安全模型的演进

1.2.1 管理全球IP地址空间

1.2.2 私有IP地址空间的诞生

1.2.3 私有网络连接到公共网络

1.2.4 NAT的诞生

1.2.5 现代边界安全模型

1.3 威胁形势的演进

1.4 边界安全模型的缺陷

1.5 信任在哪里

1.6 自动化系统的赋能

1.7 边界安全模型与零信任模型的对比

1.8 云环境的应用

1.9 总结

第2章 信任管理

2.1 威胁模型

2.1.1 常用的威胁模型

2.1.2 零信任的威胁模型

2.2 强认证

2.3 认证信任

2.3.1 什么是CA

2.3.2 零信任模型中PKI的重要性

2.3.3 私有PKI还是公共PKI

2.3.4 公共PKI有胜于无

2.4 最小特权

2.5 可变的信任

2.6 控制平面和数据平面

2.7 总结

第3章 网络代理

3.1 什么是网络代理

3.1.1 网络代理的数据差异性

3.1.2 网络代理是什么

3.2 如何使用网络代理

网络代理不参与认证

3.3 如何适当地暴露网络代理

3.4 标准的缺失

3.4.1 固化与变化并存

3.4.2 标准化值得考虑

3.4.3 当前的实施建议

3.5 总结

第4章 授权

4.1 授权体系架构

4.2 策略执行组件

4.3 策略引擎

4.3.1 策略存储系统

4.3.2 如何更好地制定策略

4.3.3 由谁定义策略

4.4 信任引擎

4.4.1 哪些实体需要评分

4.4.2 信任评分的暴露存在风险

4.5 数据存储系统

4.6 总结

第5章 建立设备信任

5.1 初始信任

5.1.1 设备证书的生成和保护

5.1.2 静态和动态系统中的身份标识安全

5.2 通过控制平面认证设备

5.2.1 X.509

5.2.2 TPM

5.2.3 基于硬件的零信任附件

5.3 设备清单管理

5.3.1 梳理系统预期

5.3.2 安全介绍

5.4 设备信任续租

5.4.1 本地度量

5.4.2 远程度量

5.5 软件配置管理

5.5.1 基于配置管理的设备清单库

5.5.2 确保数据的真实性

5.6 使用设备数据进行用户授权

5.7 信任信号

5.7.1 上次镜像时间

5.7.2 历史访问

5.7.3 位置

5.7.4 网络通信模式

5.8 总结

第6章 建立用户信任

6.1 身份权威性

6.2 私有系统的身份初始化

6.2.1 政府颁发的身份

6.2.2 人工认证的力量不可忽视

6.2.3 预期信息的确认

6.3 身份的存储

6.3.1 用户目录

6.3.2 目录的维护

6.4 何时进行身份认证

6.4.1 通过认证机制获取信任

6.4.2 通过信任驱动认证机制

6.4.3 使用多通道通信

6.4.4 缓存身份及其信任等级

6.5 如何认证身份

6.5.1 用户所知道的信息——密码

6.5.2 用户所持有的凭证——TOTP

6.5.3 用户所持有的凭证——证书

6.5.4 用户所持有的凭证——安全令牌

6.5.5 用户所固有的凭证——生物特征

6.5.6 带外认证

6.5.7 单点登录

6.5.8 向本地认证解决方案转移

6.6 用户组的认证和授权

Shamir 秘密共享机制

6.7 积极参与、积极报告

6.8 信任信号

6.9 总结

第7章 建立应用信任

7.1 理解应用流水线

7.2 信任源代码

7.2.1 保护代码库

7.2.2 验证代码和审计跟踪

7.2.3 代码审查

7.3 构建系统的信任

7.3.1 风险

7.3.2 对输入输出建立信任

7.3.3 构建的可重现性

7.3.4 解耦发布版本和工件(Artifact)版本

7.4 建立分发系统的信任

7.4.1 工件发布

7.4.2 分发安全

7.4.3 完整性和真实性

7.4.4 建立分发网络的信任

7.5 人工参与

7.6 信任实例

7.6.1 单向升级策略

7.6.2 授权实例

7.7 运行时安全

7.7.1 安全编码实践

7.7.2 隔离

7.7.3 主动监控

7.8 总结

第8章 建立流量信任

8.1 加密和认证

不加密可以保证消息的真实性吗

8.2 首包认证建立初始信任

fwknop

8.3 网络模型简介

8.3.1 网络分层图示

8.3.2 OSI网络模型

8.3.3 TCP/IP 网络模型

8.4 零信任应该在网络模型中的哪个位置

客户端和服务端拆分

8.5 协议

8.5.1 IKE/ IPSec

8.5.2 双向认证TLS

8.6 过滤

8.6.1 主机过滤

8.6.2 双向过滤

8.6.3 中间节点过滤

8.7 总结

第9章 零信任网络的实现

9.1 确定实现范围

实际需求

9.2 建立系统框图

9.3 理解网络流量

9.4 无控制器架构

9.4.1 从配置管理系统着手

9.4.2 应用认证和授权

9.4.3 认证负载均衡和代理

9.4.4 基于关系的策略

9.4.5 策略分发

9.5 定义和安装策略

9.6 零信任代理

9.7 客户端与服务端迁移

9.8 案例研究

9.9 案例:Google BeyondCorp

9.9.1 BeyondCorp 的主要组件

9.9.2 使用和扩展GFE(Google前端)

9.9.3 多平台设备认证面临的挑战

9.9.4 迁移到BeyondCorp

9.9.5 经验教训

9.9.6 收尾

9.10 案例研究:PagerDuty的云平台无关网络

9.10.1 配置管理系统作为自动化平台

9.10.2 动态配置本地防火墙

9.10.3 分布式流量加密

9.10.4 用户管理的去中心化

9.10.5 部署上线

9.10.6 供应商无关系统的价值

9.11 总结

第10章 攻击者视图

10.1 身份窃取

10.2 分布式拒绝服务攻击(DDoS)

10.3 枚举终端

10.4 不可信的计算平台

10.5 社会工程学

10.6 人身威胁

10.7 无效性

10.8 控制平面安全

10.9 总结

累计评论(0条) 0个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部