SDP 是零信任三大落地技術(shù)之一,主要解決終端到應(yīng)用的訪問(wèn)安全問(wèn)題。本書(shū)提出的 X-SDP 是 SDP 的擴(kuò)展實(shí)現(xiàn),將 SDP 的被動(dòng)防御等級(jí)提升至主動(dòng)防御,真正確保終端到應(yīng)用場(chǎng) 景的訪問(wèn)安全。 本書(shū)介紹了終端到應(yīng)用場(chǎng)景的現(xiàn)狀及典型安全解決方案、零信任網(wǎng)絡(luò)安全架構(gòu)和主要流 派、SDP 與 ZTNA 架構(gòu)的相關(guān)情況及 SDP 的演進(jìn)路徑、X-SDP 的三大核心能力、SPA 的演進(jìn)、 全網(wǎng)終端認(rèn)證、優(yōu)異的接入體驗(yàn)、高可用和分布式多活,同時(shí)給出了 X-SDP 的應(yīng)用案例并對(duì)其 后續(xù)發(fā)展進(jìn)行了展望。
郭炳梁,深圳南山區(qū)領(lǐng)航人才,程序員、產(chǎn)品經(jīng)理,曾任VDI云桌面首席開(kāi)發(fā)架構(gòu)師。擔(dān)任某頭部零信任產(chǎn)品的產(chǎn)品線負(fù)責(zé)人,主導(dǎo)零信任產(chǎn)品從概念到落地的孵化過(guò)程,提出X-SDP主動(dòng)防御理念,致力于零信任在多行業(yè)的落地實(shí)踐。熱愛(ài)總結(jié)分享,公眾號(hào)“非典型產(chǎn)品經(jīng)理”作者。楊志剛,注冊(cè)信息安全專業(yè)人員,云安全聯(lián)盟大中華區(qū)研究專家,零信任認(rèn)證專家、講師。在安全領(lǐng)域擁有十余年從業(yè)經(jīng)驗(yàn),專注于零信任、SDP、移動(dòng)安全等領(lǐng)域,幫助眾多行業(yè)客戶進(jìn)行安全規(guī)劃與建設(shè),擁有豐富的零信任實(shí)戰(zhàn)落地經(jīng)驗(yàn)。
第1章 網(wǎng)絡(luò)安全領(lǐng)域的基本概念 1
1.1 信息安全與網(wǎng)絡(luò)安全 1
1.1.1 信息安全 1
1.1.2 網(wǎng)絡(luò)安全 2
1.1.3 信息安全與網(wǎng)絡(luò)安全的關(guān)系 3
1.2 數(shù)據(jù)安全 4
1.2.1 數(shù)據(jù)安全的兩層含義 4
1.2.2 數(shù)據(jù)隱私與數(shù)據(jù)合規(guī) 5
1.2.3 數(shù)據(jù)防泄露 5
1.2.4 數(shù)據(jù)安全與網(wǎng)絡(luò)安全的關(guān)系 6
1.3 網(wǎng)絡(luò)安全常見(jiàn)分類方式 7
1.3.1 能力類型視角 7
1.3.2 建設(shè)任務(wù)視角 8
1.4 防入侵——網(wǎng)絡(luò)安全最關(guān)鍵的子領(lǐng)域 9
第2章 從E->A場(chǎng)景的網(wǎng)絡(luò)變遷談邊界模糊化 12
2.1 E->A場(chǎng)景下的網(wǎng)絡(luò)變遷 13
2.1.1 職場(chǎng)側(cè)網(wǎng)絡(luò)變遷 14
2.1.2 應(yīng)用側(cè)網(wǎng)絡(luò)變遷 16
2.2 典型的網(wǎng)絡(luò)安全架構(gòu)——安全邊界 19
2.2.1 安全邊界網(wǎng)絡(luò)架構(gòu)的安全標(biāo)準(zhǔn) 19
2.2.2 基于分區(qū)分域的安全邊界 21
2.2.3 大型機(jī)構(gòu)的典型網(wǎng)絡(luò) 22
2.3 網(wǎng)絡(luò)邊界模糊化問(wèn)題及成因 24
第3章 E->A場(chǎng)景下的威脅與挑戰(zhàn) 27
3.1 各環(huán)節(jié)面臨的威脅與挑戰(zhàn) 27
3.1.1 終端面臨的安全威脅與挑戰(zhàn) 29
3.1.2 賬號(hào)面臨的安全威脅與挑戰(zhàn) 30
3.1.3 應(yīng)用面臨的安全威脅與挑戰(zhàn) 32
3.1.4 整體安全態(tài)勢(shì)變化帶來(lái)的宏觀威脅 34
3.2 防入侵和防泄露 36
3.2.1 防入侵和防泄露威脅概覽 36
3.2.2 從另一個(gè)視角理解防入侵和防泄露 39
第4章 E->A場(chǎng)景下典型安全解決方案與零信任 40
4.1 多個(gè)視角理解E->A場(chǎng)景下的安全架構(gòu) 40
4.1.1 安全架構(gòu)全景概覽 40
4.1.2 安全技術(shù)體系架構(gòu) 42
4.2 典型安全方案的困境與零信任 47
4.2.1 典型安全方案的困境 47
4.2.2 網(wǎng)絡(luò)邊界模糊化帶來(lái)的問(wèn)題 48
4.2.3 應(yīng)運(yùn)而生的零信任 50
4.2.4 零信任的邏輯架構(gòu) 52
4.2.5 國(guó)際零信任發(fā)展簡(jiǎn)史 54
4.2.6 國(guó)內(nèi)零信任發(fā)展簡(jiǎn)史 56
第5章 零信任典型方案盤(pán)點(diǎn) 57
5.1 E->A場(chǎng)景的網(wǎng)絡(luò)組成 57
5.1.1 企業(yè)網(wǎng) 58
5.1.2 企業(yè)網(wǎng)的典型網(wǎng)絡(luò)分區(qū) 58
5.1.3 關(guān)聯(lián)網(wǎng)絡(luò)區(qū)域 59
5.1.4 零信任的保護(hù)范圍 60
5.2 零信任方案子場(chǎng)景 61
5.3 零信任的關(guān)鍵特征 62
5.4 產(chǎn)品型流派之SDP 64
5.4.1 從VPN到SDP 65
5.4.2 SDP的子流派 69
5.5 增強(qiáng)型IAM 72
5.5.1 增強(qiáng)型IAM與SDP的關(guān)鍵區(qū)別 72
5.5.2 增強(qiáng)型IAM的典型適用場(chǎng)景 73
5.5.3 增強(qiáng)型IAM產(chǎn)品特性 73
5.6 微隔離 74
5.7 零信任API網(wǎng)關(guān) 75
5.8 終端數(shù)據(jù)沙箱 75
5.9 遠(yuǎn)程瀏覽器 77
5.10 零信任方案的補(bǔ)充技術(shù) 78
5.10.1 E->A場(chǎng)景下的補(bǔ)充技術(shù) 78
5.10.2 E->E場(chǎng)景下的典型安全技術(shù) 81
5.10.3 終端安全 82
5.10.4 終端防泄露 84
5.11 云管端綜合型方案 88
5.12 終端All In One方案 90
5.13 安全訪問(wèn)服務(wù)邊緣 92
5.13.1 IA和PA 93
5.13.2 優(yōu)勢(shì)與劣勢(shì) 93
第6章 深入了解SDP與ZTNA 95
6.1 端點(diǎn)啟動(dòng)和服務(wù)啟動(dòng) 95
6.1.1 端點(diǎn)啟動(dòng) 95
6.1.2 服務(wù)啟動(dòng) 97
6.2 深入了解SDP 100
6.2.1 SDP和云安全聯(lián)盟 100
6.2.2 SPA 101
6.2.3 SPA的代際之爭(zhēng) 109
6.2.4 5層防御與4層認(rèn)證 115
6.2.5 SDP其他場(chǎng)景設(shè)想 117
6.3 部署模式 118
6.3.1 飛地網(wǎng)關(guān) 118
6.3.2 資源門(mén)戶 119
6.3.3 其他 120
第7章 從SDP到X-SDP的演進(jìn) 122
7.1 SDP與SSL VPN 122
7.1.1 SDP產(chǎn)品與基于SDP的多組件方案 123
7.1.2 特性能力 123
7.1.3 安全防御效果 128
7.2 什么是X-SDP 131
7.2.1 SDP面臨的挑戰(zhàn) 131
7.2.2 X-SDP應(yīng)運(yùn)而“升” 135
第8章 原生零誤報(bào)實(shí)時(shí)鑒黑及響應(yīng)能力 137
8.1 鑒黑的發(fā)展歷程 138
8.1.1 防病毒:靜態(tài)特征+定期更新 139
8.1.2 端點(diǎn)保護(hù)平臺(tái):靜態(tài)特征+云端協(xié)同 140
8.1.3 端點(diǎn)檢測(cè)與響應(yīng):從靜態(tài)特征到動(dòng)態(tài)行為特征 146
8.1.4 擴(kuò)展檢測(cè)和響應(yīng):多源遙測(cè)特征+人工智能 146
8.2 從特征檢測(cè)到欺騙防御 148
8.2.1 攻防不對(duì)稱 149
8.2.2 欺騙技術(shù):從大數(shù)據(jù)到正確數(shù)據(jù) 150
8.3 典型欺騙技術(shù) 151
8.3.1 概述 151
8.3.2 部署形式 152
8.3.3 優(yōu)勢(shì)與不足 153
8.3.4 適用場(chǎng)景 156
8.3.5 基于應(yīng)用代理的嵌入式蜜罐 157
8.3.6 X-SDP和賬號(hào)蜜罐 159
8.4 X-SDP鑒黑的關(guān)鍵特征 160
8.4.1 原生鑒黑 161
8.4.2 零誤報(bào)鑒黑 164
8.4.3 實(shí)時(shí)鑒黑 164
8.5 X-SDP融合欺騙的優(yōu)勢(shì) 165
8.5.1 與典型欺騙對(duì)比 165
8.5.2 與典型DR檢測(cè)對(duì)比 167
8.6 X-SDP鑒黑完全態(tài) 167
8.6.1 輕量級(jí)IoC 167
8.6.2 輕量級(jí)IoA 168
8.6.3 漏報(bào)率 168
8.6.4 性能與穩(wěn)定性 169
第9章 基于三道防線的體系化縱深防御能力 171
9.1 SDP的三道防線 171
9.1.1 邊界接入網(wǎng)關(guān)的核心原理 172
9.1.2 關(guān)鍵環(huán)節(jié)分析 173
9.2 賬號(hào)防線的縱深防御 175
9.3 終端防線的縱深防御 177
9.4 設(shè)備防線的縱深防御 178
9.5 從攻擊視角解讀 180
9.5.1 滲透和后滲透 180
9.5.2 網(wǎng)絡(luò)殺傷鏈 180
9.5.3 ATT&CK 182
9.5.4 賬號(hào)防線面臨的攻擊 193
9.5.5 終端防線面臨的攻擊 196
9.5.6 設(shè)備防線面臨的攻擊 198
9.6 3+X攻防一體化縱深防御架構(gòu) 201
9.6.1 D3FEND框架 202
9.6.2 其他防御框架 207
第10章 主動(dòng)威脅預(yù)警能力 211
10.1 X-SDP全鏈路可視 211
10.1.1 縱深防線可視 212
10.1.2 會(huì)話級(jí)溯源可視 216
10.2 主動(dòng)威脅預(yù)警 217
第11章 SPA的持續(xù)演進(jìn) 218
11.1 優(yōu)秀的SDP產(chǎn)品應(yīng)具備的內(nèi)核能力 218
11.2 SPA的演進(jìn) 223
11.2.1 SPA認(rèn)證因子的主要形式 223
11.2.2 第3.5代SPA 227
11.2.3 第4代SPA 228
11.2.4 一次一碼的典型實(shí)現(xiàn) 229
11.3 后續(xù)演進(jìn)與展望 232
11.3.1 高安全新一代SPA:基于硬件的SPA 232
11.3.2 SPA技術(shù)的體驗(yàn)影響 233
第12章 全網(wǎng)終端認(rèn)證 234
12.1 終端認(rèn)證 234
12.1.1 典型方案 235
12.1.2 優(yōu)劣勢(shì)分析 236
12.1.3 落地障礙 238
12.2 什么是全網(wǎng)終端認(rèn)證 238
12.2.1 認(rèn)證的基本因素 239
12.2.2 典型的雙因素認(rèn)證舉例 239
12.2.3 認(rèn)證的本質(zhì) 239
12.2.4 信任傳遞 240
12.2.5 適用場(chǎng)景 241
12.2.6 典型流程 242
第13章 優(yōu)異的接入體驗(yàn) 247
13.1 SDP登錄耗時(shí) 247
13.2 新建連接耗時(shí) 249
13.3 應(yīng)用訪問(wèn)吞吐量 256
第14章 高可用和分布式多活 259
14.1 CISSP中的業(yè)務(wù)連續(xù)性計(jì)劃與災(zāi)難恢復(fù)計(jì)劃 259
14.2 技術(shù)視角的高可用和災(zāi)難恢復(fù) 260
14.2.1 RTO和RPO 260
14.2.2 可用性目標(biāo) 261
14.2.3 HA的典型模式 262
14.2.4 DR的典型模式 265
14.2.5 SDP的HA與DR 268
14.3 SDP能力評(píng)估 271
14.3.1 SDP控制器的HA能力評(píng)估 271
14.3.2 SDP控制器的DR能力評(píng)估 274
14.3.3 SDP代理網(wǎng)關(guān)的HA與DR能力評(píng)估 275
第15章 X-SDP典型應(yīng)用案例 278
15.1 金融領(lǐng)域典型應(yīng)用案例 278
15.1.1 案例背景 278
15.1.2 應(yīng)用場(chǎng)景 280
15.1.3 解決方案 282
15.1.4 效果及價(jià)值 285
15.2 大型企業(yè)典型應(yīng)用案例 286
15.2.1 案例背景 286
15.2.2 應(yīng)用場(chǎng)景 287
15.2.3 解決方案 288
15.2.4 效果及價(jià)值 289
第16章 X-SDP展望 291
16.1 X-SDP和防入侵 291
16.1.1 X-SDP的安全等級(jí) 292
16.1.2 X-SDP的防入侵效果展望 293
16.2 X-SDP和防泄露 295
16.3 走向E->A場(chǎng)景下的全網(wǎng)零信任 296
16.3.1 E->A場(chǎng)景下的全網(wǎng)零信任 297
16.3.2 未來(lái)已來(lái) 299
參考文獻(xiàn) 301