1.国内介绍零信任网络的专业技术图书。 2.内容全面丰富,是学习零信任网络不可或缺的参考资料。 3.全面解析零信任网络技术,系统介绍构建零信任网络的方方面面。 保护网络的边界安全防御措施并不如人们想象中那么牢不可破。防火墙保护之下的网络主机自身的安全防护非常弱,一旦“可信”网络中的某个主机被攻陷,那么攻者很快就能以此为跳板,侵数据中心。为解决传统边界安全模型固有的缺陷,本书为读者介绍了零信任模型,该模型认为整个网络无论内外都是不安全的,“可信”内网中的主机面临着与互联网上的主机相同的安全威胁。
售 价:¥
纸质售价:¥28.30购买纸书
6.4
温馨提示:数字商品不支持退换货,不提供源文件,不支持导出打印
为你推荐
版权
版权声明
内容提要
O'Reilly Media,Inc.介绍
业界评论
译者简介
译者序
前言
本书的目标读者
本书的写作目的
零信任网络现状
本书的主要内容
排版约定
Safari® 在线图书
联系方式
致谢
资源与支持
提交勘误
与我们联系
关于异步社区和异步图书
第1章 零信任的基本概念
1.1 什么是零信任网络
零信任的控制平面
1.2 边界安全模型的演进
1.2.1 管理全球IP地址空间
1.2.2 私有IP地址空间的诞生
1.2.3 私有网络连接到公共网络
1.2.4 NAT的诞生
1.2.5 现代边界安全模型
1.3 威胁形势的演进
1.4 边界安全模型的缺陷
1.5 信任在哪里
1.6 自动化系统的赋能
1.7 边界安全模型与零信任模型的对比
1.8 云环境的应用
1.9 总结
第2章 信任管理
2.1 威胁模型
2.1.1 常用的威胁模型
2.1.2 零信任的威胁模型
2.2 强认证
2.3 认证信任
2.3.1 什么是CA
2.3.2 零信任模型中PKI的重要性
2.3.3 私有PKI还是公共PKI
2.3.4 公共PKI有胜于无
2.4 最小特权
2.5 可变的信任
2.6 控制平面和数据平面
2.7 总结
第3章 网络代理
3.1 什么是网络代理
3.1.1 网络代理的数据差异性
3.1.2 网络代理是什么
3.2 如何使用网络代理
网络代理不参与认证
3.3 如何适当地暴露网络代理
3.4 标准的缺失
3.4.1 固化与变化并存
3.4.2 标准化值得考虑
3.4.3 当前的实施建议
3.5 总结
第4章 授权
4.1 授权体系架构
4.2 策略执行组件
4.3 策略引擎
4.3.1 策略存储系统
4.3.2 如何更好地制定策略
4.3.3 由谁定义策略
4.4 信任引擎
4.4.1 哪些实体需要评分
4.4.2 信任评分的暴露存在风险
4.5 数据存储系统
4.6 总结
第5章 建立设备信任
5.1 初始信任
5.1.1 设备证书的生成和保护
5.1.2 静态和动态系统中的身份标识安全
5.2 通过控制平面认证设备
5.2.1 X.509
5.2.2 TPM
5.2.3 基于硬件的零信任附件
5.3 设备清单管理
5.3.1 梳理系统预期
5.3.2 安全介绍
5.4 设备信任续租
5.4.1 本地度量
5.4.2 远程度量
5.5 软件配置管理
5.5.1 基于配置管理的设备清单库
5.5.2 确保数据的真实性
5.6 使用设备数据进行用户授权
5.7 信任信号
5.7.1 上次镜像时间
5.7.2 历史访问
5.7.3 位置
5.7.4 网络通信模式
5.8 总结
第6章 建立用户信任
6.1 身份权威性
6.2 私有系统的身份初始化
6.2.1 政府颁发的身份
6.2.2 人工认证的力量不可忽视
6.2.3 预期信息的确认
6.3 身份的存储
6.3.1 用户目录
6.3.2 目录的维护
6.4 何时进行身份认证
6.4.1 通过认证机制获取信任
6.4.2 通过信任驱动认证机制
6.4.3 使用多通道通信
6.4.4 缓存身份及其信任等级
6.5 如何认证身份
6.5.1 用户所知道的信息——密码
6.5.2 用户所持有的凭证——TOTP
6.5.3 用户所持有的凭证——证书
6.5.4 用户所持有的凭证——安全令牌
6.5.5 用户所固有的凭证——生物特征
6.5.6 带外认证
6.5.7 单点登录
6.5.8 向本地认证解决方案转移
6.6 用户组的认证和授权
Shamir 秘密共享机制
6.7 积极参与、积极报告
6.8 信任信号
6.9 总结
第7章 建立应用信任
7.1 理解应用流水线
7.2 信任源代码
7.2.1 保护代码库
7.2.2 验证代码和审计跟踪
7.2.3 代码审查
7.3 构建系统的信任
7.3.1 风险
7.3.2 对输入输出建立信任
7.3.3 构建的可重现性
7.3.4 解耦发布版本和工件(Artifact)版本
7.4 建立分发系统的信任
7.4.1 工件发布
7.4.2 分发安全
7.4.3 完整性和真实性
7.4.4 建立分发网络的信任
7.5 人工参与
7.6 信任实例
7.6.1 单向升级策略
7.6.2 授权实例
7.7 运行时安全
7.7.1 安全编码实践
7.7.2 隔离
7.7.3 主动监控
7.8 总结
第8章 建立流量信任
8.1 加密和认证
不加密可以保证消息的真实性吗
8.2 首包认证建立初始信任
fwknop
8.3 网络模型简介
8.3.1 网络分层图示
8.3.2 OSI网络模型
8.3.3 TCP/IP 网络模型
8.4 零信任应该在网络模型中的哪个位置
客户端和服务端拆分
8.5 协议
8.5.1 IKE/ IPSec
8.5.2 双向认证TLS
8.6 过滤
8.6.1 主机过滤
8.6.2 双向过滤
8.6.3 中间节点过滤
8.7 总结
第9章 零信任网络的实现
9.1 确定实现范围
实际需求
9.2 建立系统框图
9.3 理解网络流量
9.4 无控制器架构
9.4.1 从配置管理系统着手
9.4.2 应用认证和授权
9.4.3 认证负载均衡和代理
9.4.4 基于关系的策略
9.4.5 策略分发
9.5 定义和安装策略
9.6 零信任代理
9.7 客户端与服务端迁移
9.8 案例研究
9.9 案例:Google BeyondCorp
9.9.1 BeyondCorp 的主要组件
9.9.2 使用和扩展GFE(Google前端)
9.9.3 多平台设备认证面临的挑战
9.9.4 迁移到BeyondCorp
9.9.5 经验教训
9.9.6 收尾
9.10 案例研究:PagerDuty的云平台无关网络
9.10.1 配置管理系统作为自动化平台
9.10.2 动态配置本地防火墙
9.10.3 分布式流量加密
9.10.4 用户管理的去中心化
9.10.5 部署上线
9.10.6 供应商无关系统的价值
9.11 总结
第10章 攻击者视图
10.1 身份窃取
10.2 分布式拒绝服务攻击(DDoS)
10.3 枚举终端
10.4 不可信的计算平台
10.5 社会工程学
10.6 人身威胁
10.7 无效性
10.8 控制平面安全
10.9 总结
买过这本书的人还买过
读了这本书的人还在读
同类图书排行榜
购物车
个人中心
