《零信任网络：在不可信网络中构建安全系统》分为10章，从介绍零信任的基本概念开始，描述了管理信任，网络代理，建立设备信任、用户信任、应用信任以及流量信任，零信任网络的实现和攻击者视图等内容。《零信任网络：在不可信网络中构建安全系统》主要展示了零信任如何让读者专注于构建强大的身份认证和加密，同时提供分区访问和更好的操作敏捷性。通过阅读《零信任网络：在不可信网络中构建安全系统》，读者将了解零信任网络的架构，包括如何使用当前可用的技术构建一个架构。
　　《零信任网络：在不可信网络中构建安全系统》适合网络工程师、安全工程师、CTO以及对零信任技术感兴趣的读者阅读。
　　本书适合网络工程师、安全工程师、CTO以及对零信任技术感兴趣的读者阅读。

　　埃文·吉尔曼（Evan Gilman）是一名计算机网络工程师，目前为互联网公共社区工作。Evan的整个职业生涯都致力于研究如何在危险的网络环境中构建和运营安全系统。
　　道格·巴特（Doug Barth）是一名软件工程师，曾服务于Orbitz、PagerDuty等不同规模的公司。他在构建监控系统、无线自组网（Mesh Network）、故障注入等技术方向有丰富的实践经验。

版权声明
内容提要
O'Reilly Media，Inc.介绍
译者简介
译者序
前言
资源与支持
第1章 零信任的基本概念
1.1 什么是零信任网络
零信任的控制平面
1.2 边界安全模型的演进
1.2.1 管理全球IP地址空间
1.2.2 私有IP地址空间的诞生
1.2.3 私有网络连接到公共网络
1.2.4 NAT的诞生
1.2.5 现代边界安全模型
1.3 威胁形势的演进
1.4 边界安全模型的缺陷
1.5 信任在哪里
1.6 自动化系统的赋能
1.7 边界安全模型与零信任模型的对比
1.8 云环境的应用
1.9 总结
第2章 信任管理
2.1 威胁模型
2.1.1 常用的威胁模型
2.1.2 零信任的威胁模型
2.2 强认证
2.3 认证信任
2.3.1 什么是CA
2.3.2 零信任模型中PKI的重要性
2.3.3 私有PKI还是公共PKI
2.3.4 公共PKI有胜于无
2.4 最小特权
2.5 可变的信任
2.6 控制平面和数据平面
2.7 总结
第3章 网络代理
3.1 什么是网络代理
3.1.1 网络代理的数据差异性
3.1.2 网络代理是什么
3.2 如何使用网络代理
网络代理不参与认证
3.3 如何适当地暴露网络代理
3.4 标准的缺失
3.4.1 固化与变化并存
3.4.2 标准化值得考虑
3.4.3 当前的实施建议
3.5 总结
第4章 授权
4.1 授权体系架构
4.2 策略执行组件
4.3 策略引擎
4.3.1 策略存储系统
4.3.2 如何更好地制定策略
4.3.3 由谁定义策略
4.4 信任引擎
4.4.1 哪些实体需要评分
4.4.2 信任评分的暴露存在风险
4.5 数据存储系统
4.6 总结
第5章 建立设备信任
5.1 初始信任
5.1.1 设备证书的生成和保护
5.1.2 静态和动态系统中的身份标识安全
5.2 通过控制平面认证设备
5.2.1 X.509
5.2.2 TPM
5.2.3 基于硬件的零信任附件
5.3 设备清单管理
5.3.1 梳理系统预期
5.3.2 安全介绍
5.4 设备信任续租
5.4.1 本地度量
5.4.2 远程度量
5.5 软件配置管理
5.5.1 基于配置管理的设备清单库
5.5.2 确保数据的真实性
5.6 使用设备数据进行用户授权
5.7 信任信号
5.7.1 上次镜像时间
5.7.2 历史访问
5.7.3 位置
5.7.4 网络通信模式
5.8 总结
第6章 建立用户信任
6.1 身份权威性
6.2 私有系统的身份初始化
6.2.1 政府颁发的身份
6.2.2 人工认证的力量不可忽视
6.2.3 预期信息的确认
6.3 身份的存储
6.3.1 用户目录
6.3.2 目录的维护
6.4 何时进行身份认证
6.4.1 通过认证机制获取信任
6.4.2 通过信任驱动认证机制
6.4.3 使用多通道通信
6.4.4 缓存身份及其信任等级
6.5 如何认证身份
6.5.1 用户所知道的信息——密码
6.5.2 用户所持有的凭证——TOTP
6.5.3 用户所持有的凭证——证书
6.5.4 用户所持有的凭证——安全令牌
6.5.5 用户所固有的凭证——生物特征
6.5.6 带外认证
6.5.7 单点登录
6.5.8 向本地认证解决方案转移
6.6 用户组的认证和授权
Shamir 秘密共享机制
6.7 积极参与、积极报告
6.8 信任信号
6.9 总结
第7章 建立应用信任
7.1 理解应用流水线
7.2 信任源代码
7.2.1 保护代码库
7.2.2 验证代码和审计跟踪
7.2.3 代码审查
7.3 构建系统的信任
7.3.1 风险
7.3.2 对输入输出建立信任
7.3.3 构建的可重现性
7.3.4 解耦发布版本和工件（Artifact）版本
7.4 建立分发系统的信任
7.4.1 工件发布
7.4.2 分发安全
7.4.3 完整性和真实性
7.4.4 建立分发网络的信任
7.5 人工参与
7.6 信任实例
7.6.1 单向升级策略
7.6.2 授权实例
7.7 运行时安全
7.7.1 安全编码实践
7.7.2 隔离
7.7.3 主动监控
7.8 总结
第8章 建立流量信任
8.1 加密和认证
不加密可以保证消息的真实性吗
8.2 首包认证建立初始信任
fwknop
8.3 网络模型简介
8.3.1 网络分层图示
8.3.2 OSI网络模型
8.3.3 TCP/IP 网络模型
8.4 零信任应该在网络模型中的哪个位置
客户端和服务端拆分
8.5 协议
8.5.1 IKE/ IPSec
8.5.2 双向认证TLS
8.6 过滤
8.6.1 主机过滤
8.6.2 双向过滤
8.6.3 中间节点过滤
8.7 总结
第9章 零信任网络的实现
9.1 确定实现范围
实际需求
9.2 建立系统框图
9.3 理解网络流量
9.4 无控制器架构
9.4.1 从配置管理系统着手
9.4.2 应用认证和授权
9.4.3 认证负载均衡和代理
9.4.4 基于关系的策略
9.4.5 策略分发
9.5 定义和安装策略
9.6 零信任代理
9.7 客户端与服务端迁移
9.8 案例研究
9.9 案例：Google BeyondCorp
9.9.1 BeyondCorp 的主要组件
9.9.2 使用和扩展GFE（Google前端）
9.9.3 多平台设备认证面临的挑战
9.9.4 迁移到BeyondCorp
9.9.5 经验教训
9.9.6 收尾
9.10 案例研究：PagerDuty的云平台无关网络
9.10.1 配置管理系统作为自动化平台
9.10.2 动态配置本地防火墙
9.10.3 分布式流量加密
9.10.4 用户管理的去中心化
9.10.5 部署上线
9.10.6 供应商无关系统的价值
9.11 总结
第10章 攻击者视图
10.1 身份窃取
10.2 分布式拒绝服务攻击（DDoS）
10.3 枚举终端
10.4 不可信的计算平台
10.5 社会工程学
10.6 人身威胁
10.7 无效性
10.8 控制平面安全
10.9 总结

　　译者序
　　零信任（或零信任网络、零信任模型等）这个概念最早是由John Kindervag于2010年提出的，他当时是Forrester的分析师。John Kindervag非常敏锐地发现传统的基于边界的网络安全架构存在缺陷，通常被认为“可信”的内部网络充满威胁，“信任”被过度滥用，并指出“信任是安全的致命弱点”。因此，他创造出了零信任（Zero Trust）这个概念。“从来不信任，始终在校验”（Never Trust，Always Verify）是零信任的核心思想。
　　传统的网络安全架构基于网络边界防护。企业构建网络安全体系时，首先把网络划分为外网、内网和DMZ区等不同的安全区域，然后在网络边界上通过部署防火墙、WAF和IPS等网络安全技术手段进行重重防护，构筑企业业务的数字护城河。这种网络安全架构假设或默认了内网比外网更安全，在某种程度上预设了对内网中的人、设备、系统和应用的信任，从而忽视内网安全措施的加强。美国Verizon公司的《2017年数据泄露调查报告》指出，造成企业数据泄露的原因主要有两类：一是外部攻击，二是内部威胁。随着网络攻防技术的发展，新型的网络攻击手段层出不穷，攻击者面对层层设防的网络边界，往往会放弃代价高昂的强攻手段，转而针对企业内部网络中的计算机，采用钓鱼邮件、水坑攻击等方法渗透到企业网络内部，轻松绕过网络边界安全防护措施。由于人们往往认为内网是可信任的，因此攻击者一旦突破企业的网络安全边界进入内网，就会如入无人之境。此外，企业员工、外包人员等内部用户通常拥有特定业务和数据的合法访问权限，一旦出现凭证丢失、权限滥用或恶意非授权访问等问题，同样会导致企业的数据泄露。
　　基于这样的认知，零信任针对传统边界安全架构思想重新进行了评估和审视，并对安全架构思路给出了新的建议：默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用，而是应该基于认证和授权重构访问控制的信任基础，并且这种授权和信任不是静态的，它需要基于对访问主体的风险度量进行动态调整。
　　零信任对网络安全架构进行了范式上的颠覆，引导安全体系架构从网络中心化走向身份中心化，其本质诉求是以身份为中心进行细粒度的自适应访问控制。零信任所依赖的身份认证与访问控制能力通常由身份与访问管理系统（IAM）提供，现代身份管理技术是零信任安全的技术根基，因此，从技术方案层面来看，零信任是借助现代身份管理技术实现对人、设备、系统和应用的全面、动态、智能的访问控制。
　　客观地说，John Kindervag提出零信任架构的开始几年，这一理念并没有获得网络安全行业的普遍关注，只是在一些社区有着小范围的讨论和实践，本书的作者Evan Gilman和Doug Barth就是早期实践者之一。然而，2015年前后，情况发生了明显的变化。层出不穷的高级威胁和内部风险，以及监管机构对企业网络安全的监督力度逐渐加强，使得零信任架构变革的外部驱动力越来越强。随着企业数字化转型的逐渐深入，以云计算、微服务、大数据、移动计算为代表的新一代信息化建设浪潮愈演愈烈，IT基础设施的技术架构发生了剧烈的变革，导致传统的内外网络边界变得模糊，很难找到物理上的网络安全边界，企业自然无法基于传统的边界安全架构理念构筑安全基础设施。安全架构如果不能随需应变，自然会成为木桶最短的那块木板，零信任架构变革的内生驱动力也在持续加强。
　　2017年，Google对外宣布其基于零信任架构实践的新一代企业网络安全架构——BeyondCorp项目成功完成，为零信任在大型、新型企业网络的实践提供了参考架构。这一最佳实践成为零信任理念的助推剂，各大安全厂商、分析机构和大型企业快速跟进，对零信任的推广和宣传也持续升温，在RSAC 2019展会上达到高潮，零信任俨然成为网络安全界的新宠。
　　当然，任何一种新生事物都难免受到人们的质疑，零信任架构也不例外。在过去一年多时间推广和实践零信任的过程中，我们遇到最多的质疑是，零信任听起来并没有什么新技术，是不是“新瓶装旧酒”？的确，零信任是一种全新的安全架构，但其核心组件基于身份与访问管理技术、终端设备环境风险评估技术、基于属性的访问控制模型、基于机器学习的身份分析技术等构建，听上去并没有太多激动人心的新技术。并且，零信任的最佳实践反倒是推荐使用现有的成熟技术，根据具体的应用场景，按照全新的逻辑进行组合，就能起到完全不同的安全效果。
　　我们认为零信任的创新和价值恰恰不在于具体的组件技术本身，而在于架构理念和安全逻辑层面。零信任架构与传统的边界安全架构、传统的安全防护理念最大的不同之处在于以下几点。第一，在网络安全边界瓦解、攻击面难以穷尽的情形下，与传统的安全理念不同，零信任架构引导人们更加关注“保护面”而不是“攻击面”。首先识别需要重点保护的资源对象，然后穷举分析该资源对象的访问路径，最后采用恰当的技术手段做好每条路径的访问控制措施。第二，零信任架构认为网络是不可信任的，因此不再寄希望于在传统的网络层面增强防护措施，而是把防护措施建立在应用层面，构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制，极大地收缩了攻击面；采用智能身份分析技术，提升了内外部攻击和身份欺诈的发现和响应能力。第三，零信任架构在实践机制上拥抱灰度哲学，以安全与易用平衡的持续认证改进固化的一次性强认证，以基于风险和信任持续度量的动态授权替代简单的二值判定静态授权，以开放智能的身份治理优化封闭僵化的身份管理。因此，灰度哲学是零信任安全的内生逻辑，也是零信任安全实践的指导原则。
　　零信任是一种全新的安全理念，它并不是严格定义的技术术语，这个概念的内涵和外延仍然处于变化之中。我们也不认为本书是一本零信任的教科书或者“圣经”，本书作者为我们揭示了零信任的基本概念和体系架构，并且通过实例介绍了如何利用现有的技术逐步构建一个零信任网络。我们希望通过翻译成中文的方式，可以把零信任的理念系统完整地介绍给国内的网络安全业界同仁，供大家讨论、实践和探索，甚至批判。希望能够通过这种方式，让更多的人理解和实践零信任理念，推动企业网络安全架构的转型和变革，为云计算和大数据时代的业务应用及数据保驾护航，并在此过程中不断丰富甚至修正零信任的内涵和外延，让零信任架构更加成熟，更加实用。
　　本书的主要译者还有奇安信集团身份安全实验室的张泽洲、蔡冉、沈韵、张丽婷等人，他们既是零信任架构理念的倡导者，也是零信任架构技术方案在国内大型企业落地部署的实践者。在实践过程中，他们对于零信任架构有了更加深刻的理解和认识，特别是针对国内大型部委和企业的IT技术架构，零信任架构落地部署需要更多特殊的安全视角和权衡。因此，本书关于零信任架构的某些技术实践细节并不一定完全适用于国内的IT技术环境，需要根据实际情况加以修正和补充。幸运的是，零信任架构本就是一个抽象、开放并不断发展的安全框架，对零信任架构的内涵和外延有不同的理解和认知无伤大雅。但是，为了尽可能准确、系统、完整地介绍本书作者对零信任的认知和实践，我们在繁忙的工作之余通读了本书英文原作，在忠于原著的基础上尽最大努力将其翻译成通俗易懂的中文。即便如此，碍于技术理解，以及文字表达能力有限，本书在翻译过程中难免有疏漏和谬误之处，也欢迎读者朋友们批评指正。
　　此外，在零信任架构理念和技术方案在国内推广实践过程中，奇安信集团的邬怡、韩永刚、张聪、韩笑等人给予了我们非常大的支持和帮助，在此一并致谢！
　　左英男
　　2019年3月15日

　　在网络监控无处不在的时代，很难确定谁是值得信任的。我们能相信互联网流量没有被监听吗？当然不能！我们既无法信任提供光纤租用的互联网服务商，也无法信任昨天在数据中心布线的合同工。
　　“数据中心内部的系统和网络流量是可信的”这一假设是不正确的。现代的网络设计和应用模式，已经使得传统的、基于网络边界的安全防护模式逐渐失去原有的价值。因此，网络边界的安全防护一旦被突破，即使只有一台计算机被攻陷，攻击者也能够在“安全的”数据中心内部自由移动。
　　零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型没有基于网络位置建立信任，而是在不依赖网络传输层物理安全机制的前提下，有效地保护网络通信和业务访问。零信任模型并不是不切实际的设想，利用已经成熟的加密技术和自动化系统，这一愿景完全可以实现。