SDP 是零信任三大落地技術(shù)之一����,主要解決終端到應(yīng)用的訪問安全問題����。本書提出的 X-SDP 是 SDP 的擴展實現(xiàn),將 SDP 的被動防御等級提升至主動防御,真正確保終端到應(yīng)用場 景的訪問安全���。 本書介紹了終端到應(yīng)用場景的現(xiàn)狀及典型安全解決方案���、零信任網(wǎng)絡(luò)安全架構(gòu)和主要流 派、SDP 與 ZTNA 架構(gòu)的相關(guān)情況及 SDP 的演進路徑�、X-SDP 的三大核心能力、SPA 的演進����、 全網(wǎng)終端認證、優(yōu)異的接入體驗�����、高可用和分布式多活����,同時給出了 X-SDP 的應(yīng)用案例并對其 后續(xù)發(fā)展進行了展望。
郭炳梁�����,深圳南山區(qū)領(lǐng)航人才�,程序員��、產(chǎn)品經(jīng)理���,曾任VDI云桌面首席開發(fā)架構(gòu)師。擔任某頭部零信任產(chǎn)品的產(chǎn)品線負責(zé)人�,主導(dǎo)零信任產(chǎn)品從概念到落地的孵化過程,提出X-SDP主動防御理念���,致力于零信任在多行業(yè)的落地實踐。熱愛總結(jié)分享���,公眾號“非典型產(chǎn)品經(jīng)理”作者����。楊志剛�����,注冊信息安全專業(yè)人員���,云安全聯(lián)盟大中華區(qū)研究專家�����,零信任認證專家��、講師�。在安全領(lǐng)域擁有十余年從業(yè)經(jīng)驗,專注于零信任�、SDP、移動安全等領(lǐng)域�����,幫助眾多行業(yè)客戶進行安全規(guī)劃與建設(shè)����,擁有豐富的零信任實戰(zhàn)落地經(jīng)驗。
第1章 網(wǎng)絡(luò)安全領(lǐng)域的基本概念 1
1.1 信息安全與網(wǎng)絡(luò)安全 1
1.1.1 信息安全 1
1.1.2 網(wǎng)絡(luò)安全 2
1.1.3 信息安全與網(wǎng)絡(luò)安全的關(guān)系 3
1.2 數(shù)據(jù)安全 4
1.2.1 數(shù)據(jù)安全的兩層含義 4
1.2.2 數(shù)據(jù)隱私與數(shù)據(jù)合規(guī) 5
1.2.3 數(shù)據(jù)防泄露 5
1.2.4 數(shù)據(jù)安全與網(wǎng)絡(luò)安全的關(guān)系 6
1.3 網(wǎng)絡(luò)安全常見分類方式 7
1.3.1 能力類型視角 7
1.3.2 建設(shè)任務(wù)視角 8
1.4 防入侵——網(wǎng)絡(luò)安全最關(guān)鍵的子領(lǐng)域 9
第2章 從E->A場景的網(wǎng)絡(luò)變遷談邊界模糊化 12
2.1 E->A場景下的網(wǎng)絡(luò)變遷 13
2.1.1 職場側(cè)網(wǎng)絡(luò)變遷 14
2.1.2 應(yīng)用側(cè)網(wǎng)絡(luò)變遷 16
2.2 典型的網(wǎng)絡(luò)安全架構(gòu)——安全邊界 19
2.2.1 安全邊界網(wǎng)絡(luò)架構(gòu)的安全標準 19
2.2.2 基于分區(qū)分域的安全邊界 21
2.2.3 大型機構(gòu)的典型網(wǎng)絡(luò) 22
2.3 網(wǎng)絡(luò)邊界模糊化問題及成因 24
第3章 E->A場景下的威脅與挑戰(zhàn) 27
3.1 各環(huán)節(jié)面臨的威脅與挑戰(zhàn) 27
3.1.1 終端面臨的安全威脅與挑戰(zhàn) 29
3.1.2 賬號面臨的安全威脅與挑戰(zhàn) 30
3.1.3 應(yīng)用面臨的安全威脅與挑戰(zhàn) 32
3.1.4 整體安全態(tài)勢變化帶來的宏觀威脅 34
3.2 防入侵和防泄露 36
3.2.1 防入侵和防泄露威脅概覽 36
3.2.2 從另一個視角理解防入侵和防泄露 39
第4章 E->A場景下典型安全解決方案與零信任 40
4.1 多個視角理解E->A場景下的安全架構(gòu) 40
4.1.1 安全架構(gòu)全景概覽 40
4.1.2 安全技術(shù)體系架構(gòu) 42
4.2 典型安全方案的困境與零信任 47
4.2.1 典型安全方案的困境 47
4.2.2 網(wǎng)絡(luò)邊界模糊化帶來的問題 48
4.2.3 應(yīng)運而生的零信任 50
4.2.4 零信任的邏輯架構(gòu) 52
4.2.5 國際零信任發(fā)展簡史 54
4.2.6 國內(nèi)零信任發(fā)展簡史 56
第5章 零信任典型方案盤點 57
5.1 E->A場景的網(wǎng)絡(luò)組成 57
5.1.1 企業(yè)網(wǎng) 58
5.1.2 企業(yè)網(wǎng)的典型網(wǎng)絡(luò)分區(qū) 58
5.1.3 關(guān)聯(lián)網(wǎng)絡(luò)區(qū)域 59
5.1.4 零信任的保護范圍 60
5.2 零信任方案子場景 61
5.3 零信任的關(guān)鍵特征 62
5.4 產(chǎn)品型流派之SDP 64
5.4.1 從VPN到SDP 65
5.4.2 SDP的子流派 69
5.5 增強型IAM 72
5.5.1 增強型IAM與SDP的關(guān)鍵區(qū)別 72
5.5.2 增強型IAM的典型適用場景 73
5.5.3 增強型IAM產(chǎn)品特性 73
5.6 微隔離 74
5.7 零信任API網(wǎng)關(guān) 75
5.8 終端數(shù)據(jù)沙箱 75
5.9 遠程瀏覽器 77
5.10 零信任方案的補充技術(shù) 78
5.10.1 E->A場景下的補充技術(shù) 78
5.10.2 E->E場景下的典型安全技術(shù) 81
5.10.3 終端安全 82
5.10.4 終端防泄露 84
5.11 云管端綜合型方案 88
5.12 終端All In One方案 90
5.13 安全訪問服務(wù)邊緣 92
5.13.1 IA和PA 93
5.13.2 優(yōu)勢與劣勢 93
第6章 深入了解SDP與ZTNA 95
6.1 端點啟動和服務(wù)啟動 95
6.1.1 端點啟動 95
6.1.2 服務(wù)啟動 97
6.2 深入了解SDP 100
6.2.1 SDP和云安全聯(lián)盟 100
6.2.2 SPA 101
6.2.3 SPA的代際之爭 109
6.2.4 5層防御與4層認證 115
6.2.5 SDP其他場景設(shè)想 117
6.3 部署模式 118
6.3.1 飛地網(wǎng)關(guān) 118
6.3.2 資源門戶 119
6.3.3 其他 120
第7章 從SDP到X-SDP的演進 122
7.1 SDP與SSL VPN 122
7.1.1 SDP產(chǎn)品與基于SDP的多組件方案 123
7.1.2 特性能力 123
7.1.3 安全防御效果 128
7.2 什么是X-SDP 131
7.2.1 SDP面臨的挑戰(zhàn) 131
7.2.2 X-SDP應(yīng)運而“升” 135
第8章 原生零誤報實時鑒黑及響應(yīng)能力 137
8.1 鑒黑的發(fā)展歷程 138
8.1.1 防病毒:靜態(tài)特征+定期更新 139
8.1.2 端點保護平臺:靜態(tài)特征+云端協(xié)同 140
8.1.3 端點檢測與響應(yīng):從靜態(tài)特征到動態(tài)行為特征 146
8.1.4 擴展檢測和響應(yīng):多源遙測特征+人工智能 146
8.2 從特征檢測到欺騙防御 148
8.2.1 攻防不對稱 149
8.2.2 欺騙技術(shù):從大數(shù)據(jù)到正確數(shù)據(jù) 150
8.3 典型欺騙技術(shù) 151
8.3.1 概述 151
8.3.2 部署形式 152
8.3.3 優(yōu)勢與不足 153
8.3.4 適用場景 156
8.3.5 基于應(yīng)用代理的嵌入式蜜罐 157
8.3.6 X-SDP和賬號蜜罐 159
8.4 X-SDP鑒黑的關(guān)鍵特征 160
8.4.1 原生鑒黑 161
8.4.2 零誤報鑒黑 164
8.4.3 實時鑒黑 164
8.5 X-SDP融合欺騙的優(yōu)勢 165
8.5.1 與典型欺騙對比 165
8.5.2 與典型DR檢測對比 167
8.6 X-SDP鑒黑完全態(tài) 167
8.6.1 輕量級IoC 167
8.6.2 輕量級IoA 168
8.6.3 漏報率 168
8.6.4 性能與穩(wěn)定性 169
第9章 基于三道防線的體系化縱深防御能力 171
9.1 SDP的三道防線 171
9.1.1 邊界接入網(wǎng)關(guān)的核心原理 172
9.1.2 關(guān)鍵環(huán)節(jié)分析 173
9.2 賬號防線的縱深防御 175
9.3 終端防線的縱深防御 177
9.4 設(shè)備防線的縱深防御 178
9.5 從攻擊視角解讀 180
9.5.1 滲透和后滲透 180
9.5.2 網(wǎng)絡(luò)殺傷鏈 180
9.5.3 ATT&CK 182
9.5.4 賬號防線面臨的攻擊 193
9.5.5 終端防線面臨的攻擊 196
9.5.6 設(shè)備防線面臨的攻擊 198
9.6 3+X攻防一體化縱深防御架構(gòu) 201
9.6.1 D3FEND框架 202
9.6.2 其他防御框架 207
第10章 主動威脅預(yù)警能力 211
10.1 X-SDP全鏈路可視 211
10.1.1 縱深防線可視 212
10.1.2 會話級溯源可視 216
10.2 主動威脅預(yù)警 217
第11章 SPA的持續(xù)演進 218
11.1 優(yōu)秀的SDP產(chǎn)品應(yīng)具備的內(nèi)核能力 218
11.2 SPA的演進 223
11.2.1 SPA認證因子的主要形式 223
11.2.2 第3.5代SPA 227
11.2.3 第4代SPA 228
11.2.4 一次一碼的典型實現(xiàn) 229
11.3 后續(xù)演進與展望 232
11.3.1 高安全新一代SPA:基于硬件的SPA 232
11.3.2 SPA技術(shù)的體驗影響 233
第12章 全網(wǎng)終端認證 234
12.1 終端認證 234
12.1.1 典型方案 235
12.1.2 優(yōu)劣勢分析 236
12.1.3 落地障礙 238
12.2 什么是全網(wǎng)終端認證 238
12.2.1 認證的基本因素 239
12.2.2 典型的雙因素認證舉例 239
12.2.3 認證的本質(zhì) 239
12.2.4 信任傳遞 240
12.2.5 適用場景 241
12.2.6 典型流程 242
第13章 優(yōu)異的接入體驗 247
13.1 SDP登錄耗時 247
13.2 新建連接耗時 249
13.3 應(yīng)用訪問吞吐量 256
第14章 高可用和分布式多活 259
14.1 CISSP中的業(yè)務(wù)連續(xù)性計劃與災(zāi)難恢復(fù)計劃 259
14.2 技術(shù)視角的高可用和災(zāi)難恢復(fù) 260
14.2.1 RTO和RPO 260
14.2.2 可用性目標 261
14.2.3 HA的典型模式 262
14.2.4 DR的典型模式 265
14.2.5 SDP的HA與DR 268
14.3 SDP能力評估 271
14.3.1 SDP控制器的HA能力評估 271
14.3.2 SDP控制器的DR能力評估 274
14.3.3 SDP代理網(wǎng)關(guān)的HA與DR能力評估 275
第15章 X-SDP典型應(yīng)用案例 278
15.1 金融領(lǐng)域典型應(yīng)用案例 278
15.1.1 案例背景 278
15.1.2 應(yīng)用場景 280
15.1.3 解決方案 282
15.1.4 效果及價值 285
15.2 大型企業(yè)典型應(yīng)用案例 286
15.2.1 案例背景 286
15.2.2 應(yīng)用場景 287
15.2.3 解決方案 288
15.2.4 效果及價值 289
第16章 X-SDP展望 291
16.1 X-SDP和防入侵 291
16.1.1 X-SDP的安全等級 292
16.1.2 X-SDP的防入侵效果展望 293
16.2 X-SDP和防泄露 295
16.3 走向E->A場景下的全網(wǎng)零信任 296
16.3.1 E->A場景下的全網(wǎng)零信任 297
16.3.2 未來已來 299
參考文獻 301
書單推薦
