新書推薦:
《
大陆银行(全两册)(上海市档案馆藏近代中国金融变迁档案史料续编(机构卷))
》
售價:HK$
624.8
《
断头王后:玛丽·安托奈特传(裸脊锁线版,德语直译新译本,内文附多张传主彩插)
》
售價:HK$
61.6
《
东南亚华人宗祠建筑艺术研究
》
售價:HK$
97.9
《
甲骨文字综理表
》
售價:HK$
217.8
《
礼法融通:中国传统离婚制度及观念
》
售價:HK$
86.9
《
城市群交通系统风险与应急管理
》
售價:HK$
204.6
《
华南主要观赏树木图鉴
》
售價:HK$
173.8
《
努斯:希腊罗马哲学研究(第8辑)--宇宙与自然:古希腊自然哲学诸面向
》
售價:HK$
85.8
|
| 編輯推薦: |
|
国内外多位院士、专家一致推荐;业界资深安全架构师和工程师的经典之作;一本讲述安全领域零信任架构的全面、实用性指南。
|
| 內容簡介: |
|
这是一本关于零信任的全面、实用性指南。零信任是一种能够更有效地应对现代环境的复杂性和风险的新的安全模型。本书共11章,首先介绍了零信任的发展历史和零信任能力;接着介绍了零信任参考架构;然后讨论了将零信任模型应用于架构时,其在网络的不同层次(包括分支、园区、WAN、数据中心和云)上的结构变化;最后介绍了实施零信任时遇到的一些常见挑战,以帮助网络安全工程师和架构师更好地了解和学习零信任架构。本书对于希望从零信任理论转向实施和成功持续运营的架构师、工程师和其他技术专业人士来说,是一本优秀的参考书。
|
| 關於作者: |
辛迪·格林-奥尔蒂斯(Cindy Green-Ortiz)是思科的高级安全架构师、网络安全策略师和企业家。她在思科负责客户体验工作,持有CISSP、CISM、CSSLP、CRISC、PMP和CSM等认证证书。她在网络安全领域有40年工作经验。在此期间,她曾担任首席信息官(D-CIO)、首席信息安全官(D-CISO)和企业安全架构负责人等。
布兰登·福勒 (Brandon Fowler)于2018年加入思科,在网络安全领域有12年工作经验。在过去的8年中,他主要专注于身份认证、访问管理和隔离领域的研究,具有多个行业的专业知识,包括零售和分销、酒店和娱乐、金融服务和医疗保健。此外,他协助开发了思科的一些零信任产品。
大卫·霍克(David Houck)是一名安全架构师。他领导团队在全球范围内为金融、能源、零售、医疗和制造组织提供解决方案,在服务提供商的语音、基础设施、ISP运营以及数据中心设计和运营方面积累了丰富的经验。
汉克·亨塞尔(Hank Hensel)是思科网络安全高级架构师,为思科的全美和国际客户提供安全咨询、评估和设计咨询服务。他在IT系统、网络安全、设计和集成领域工作了30多年(其中7年在思科),具有多方面的工作经验,包括安全和基础设施、项目管理、灾难恢复、业务连续性、风险分析和减轻、数据映射、数据分类和网络安全基础设施设计。
帕特里克·劳埃德(Patrick Lloyd)是思科客户体验安全服务团队的高级解决方案架构师。他专注于身份和访问管理,包括网络访问控制、身份交换和身份集成。他在将身份集成到各种行业中有着丰富的经验,包括医疗保健、制造、金融和国防。利用思科的技术和本书中涵盖的方法论来构建分层的安全模型,他已经为超过100名客户设计了细分架构,包括智能建筑架构。
安德鲁·麦克唐纳 (Andrew McDonald)是思科的网络安全架构师。他在思科负责客户体验、安全咨询工作。他在思科工作超22年,曾担任技术支持工程师、网络咨询工程师、系统集成架构师和安全架构师。他与全球多个行业客户进行合作,合作伙伴从一线支持工程师到跨多个技术领域的企业核心高管。
杰森·弗雷泽 (Jason Frazier) 是思科IT网络服务组的首席工程师。他专注于零信任技术、思科 DNA、卓越运营、自动化和安全性。他对网络技术有深入的了解,包括可编程性、网络架构和身份。
|
| 目錄:
|
译者序
推荐序一
推荐序二
序
前言
致谢
第1章 零信任概述1
1.1 零信任的起源和发展1
1.2 零信任计划3
1.3 零信任组织动态11
1.3.1 “我们有一个计划”11
1.3.2 竞争团队11
1.3.3 “问题?什么问题?”12
1.3.4 “我们将转向云端,而云端默认实现了零信任”12
1.4 思科的零信任支柱12
1.4.1 策略与治理13
1.4.2 身份13
1.4.3 漏洞管理15
1.4.4 执行17
1.4.5 分析17
1.5 总结18
参考文献19
第2章 零信任能力20
2.1 思科的零信任能力20
2.2 策略与治理支柱21
2.2.1 变更控制22
2.2.2 数据治理22
2.2.3 数据保留22
2.2.4 服务质量22
2.2.5 冗余22
2.2.6 复制23
2.2.7 业务连续性23
2.2.8 灾难恢复23
2.2.9 风险分类24
2.3 身份支柱24
2.3.1 认证、授权和审计24
2.3.2 证书授权25
2.3.3 网络访问控制26
2.3.4 置备26
2.3.5 特权访问28
2.3.6 多因素认证28
2.3.7 资产身份28
2.3.8 配置管理数据库29
2.3.9 互联网协议体系结构29
2.4 漏洞管理支柱 31
2.4.1 终端防护31
2.4.2 恶意软件预防和检测32
2.4.3 漏洞管理32
2.4.4 经过身份认证的漏洞扫描33
2.4.5 数据库变更34
2.5 执行支柱34
2.5.1 云访问安全代理34
2.5.2 分布式拒绝服务35
2.5.3 数据泄漏防护35
2.5.4 域名系统安全35
2.5.5 电子邮件安全36
2.5.6 防火墙36
2.5.7 入侵防御系统37
2.5.8 代理37
2.5.9 虚拟专用网络38
2.5.10 安全编排、自动化和响应38
2.5.11 文件完整性监视器39
2.5.12 隔离39
2.6 分析支柱 39
2.6.1 应用程序性能监控39
2.6.2 审计、日志记录和监控40
2.6.3 变更检测41
2.6.4 网络威胁行为分析41
2.6.5 安全信息和事件管理42
2.6.6 威胁情报43
2.6.7 流量可见性44
2.6.8 资产监控与发现45
2.7 总结45
参考文献46
第3章 零信任参考架构47
3.1 零信任参考架构:探索的概念49
3.1.1 分支49
3.1.2 园区52
3.1.3 核心网络53
3.1.4 广域网55
3.1.5 数据中心57
3.1.6 云61
3.2 总结62
参考文献62
第4章 零信任飞地设计64
4.1 用户层64
4.1.1 公司工作站65
4.1.2 访客66
4.1.3 BYOD:员工个人设备67
4.1.4 物联网67
4.1.5 协作68
4.1.6 实验室和演示69
4.2 邻近网络70
4.3 云72
4.3.1 公有云72
4.3.2 私有云74
4.3.3 混合云74
4.3.4 云安全74
4.3.5 云计算中的零信任75
4.4 企业75
4.5 企业服务76
4.5.1 非军事区76
4.5.2 通用服务77
4.5.3 支付卡行业业务服务77
4.5.4 设施服务78
4.5.5 大型主机服务78
4.5.6 遗留系统和基础设施服务79
4.6 总结79
第5章 飞地探索与思考80
5.1 解决业务问题80
5.2 识别“皇冠上的宝石”81
5.3 识别和保护共享飞地83
5.3.1 隔离策略制定84
5.3.2 隔离策略的建模与测试86
5.4 让模糊的边界重新聚焦87
5.4.1 监测网络隔离定义88
5.4.2 减少安全漏洞以克服运营挑战88
5.5 纳入新的服务和飞地89
5.5.1 入网:合并活动的挑战89
5.5.2 入网:独立采购决策的挑战91
5.5.3 规划新设备入网91
5.6 在飞地中使用自动化92
5.7 关于飞地实体的考虑因素92
5.8 总结93
参考文献93
第6章 隔离94
6.1 OSI模型的简要概述94
6.2 上层隔离模型96
6.3 常见的以网络为中心的隔离模型97
6.4 南北方向隔离98
6.5 东西方向隔离99
6.6 确定最佳隔离模型100
6.6.1 隔离的章程100
6.6.2 成功的架构模型101
6.6.3 组织是否理解设备行为103
6.7 在整个网络功能中应用隔离104
6.7.1 VLAN 隔离104
6.7.2 访问控制列表隔离105
6.7.3 TrustSec隔离106
6.7.4 分层隔离功能107
6.7.5 分支或园区外108
6.8 如何操作:理想世界中用于隔离的方法和注意事项108
6.8.1 基线:理想世界109
6.8.2 了解上下文身份109
6.8.3 了解设备的外部资源消耗110
6.8.4 验证外部站点的漏洞111
6.8.5 了解组织内的沟通111
6.8.6 验证组织内的漏洞112
6.8.7 了解广播域或 VLAN 内的通信112
6.9 限制点对点或跳转点112
6.10 总结114
参考文献114
第7章 零信任的常见挑战115
7.1 挑战:获取未知(终端)的可见性116
7.2 克服挑战:使用上下文身份116
7.2.1 NMAP117
7.2.2 操作系统检测118
7.2.3 漏洞管理集成系统118
7.2.4 Sneakernet118
7.2.5 剖析118
7.2.6 系统集成121
7.3 挑战:了解终端的预期行为122
7.4 克服挑战:聚焦终端122
7.5 挑战:了解外部访问要求126
7.6 克服挑战:了解外部通信要求126
7.6.1 网络抓取设备128
7.6.2 NetFlow 128
7.6.3 封装远程交换机端口分析器128
7.6.4 代理数据128
7.6.5 事实来源129
7.6.6 配置管理数据库129
7.6.7 应用程序性能管理129
7.7 挑战:网络的宏观隔离与微观隔离129
7.8 克服挑战:决定哪种隔离方法适合组织130
7.9 挑战:新终端接入131
7.10 克服挑战:一致的入网流程131
7.11 挑战:应用于边缘网络的策略132
7.12 克服挑战:无处不在的策略应用132
7.13 挑战:组织相信防火墙就足够了134
7.14 克服挑战:纵深防御和以访问为重点的安全134
7.14.1 漏洞扫描器136
7.14.2 设备管理系统136
7.14.3 恶意软件预防和检查136
7.14.4 基于终端的分析策略137
7.15 克服挑战:保护应用程序而不是网络137
7.16 总结138
参考文献139
第8章 制定成功的隔离计划140
8.1 规划:定义目标和目的141
8.1.1 风险评估和合规性141
8.1.2 威胁映射143
8.1.3 数据保护143
8.1.4 减少攻击面144
8.2 规划:隔离设计144
8.2.1 自上而下的设计过程145
8.2.2 自下而上的设计过程147
8.3 实施:部署隔离设计147
8.3.1 按站点类型创建隔离计划147
8.3.2 按终端类型创建隔离计划149
8.3.3 按服务类型创建隔离计划151
8.4 实施:隔离模型155
8.5 总结155
参考文献156
第9章 零信任执行157
9.1 实施隔离的切实计划158
9.2 终端监控模式158
9.3 终端流量监控160
9.4 执行163
9.5 网络访问控制164
9.6 环境考虑165
9.6.1 绿地166
9.6.2 棕地166
9.7 上下文身份中的实际考虑167
9.7.1 身份认证168
9.7.2 授权169
9.7.3 隔离170
9.7.4 绿地171
9.7.5 棕地171
9.7.6 统一通信171
9.7.7 数据交换172
9.8 总结172
第10章 零信任运营173
10.1 零信任组织:实施后运营174
10.1.1 采用零信任的障碍175
10.1.2 应用所有者和服务团队177
10.1.3 运营和帮助台177
10.1.4 网络和安全团队177
10.2 零信任策略的生命周期178
10.2.1 零信任策略管理179
10.2.2 实践中的考虑因素:思科网络架构179
10.3 零信任组织中的移动、添加和更改183
10.4 总结184
参考文献184
第11章 结 论185
11.1 零信任运营:持续改进186
11.1.1 策略与治理186
11.1.2 身份187
11.1.3 漏洞管理187
11.1.4 执行187
11.1.5 分析187
11.2 总结188
附录A 零信任原则的应用案例189
|
| 內容試閱:
|
本书基于参与本书编写的所有作者85年的安全和架构经验,为读者提供了可实施零信任架构的经过验证的方法。本书作者是来自数十个机构的架构师和工程师,他们在各自的职业生涯中都完成过数百个项目,帮助全球范围内的组织实现了一致且可复制的零信任架构。根据他们对零信任架构应用的经验和设计,本书对在组织中成功应用零信任架构的方法进行了介绍。除此以外,本书还对常见的错误和错误的假设进行了详细讨论。
尽管在安全领域对零信任的有效性存在争议,并且零信任架构在不同组织之间也会存在差异且呈现出不同的特性,但本书旨在为组织、架构师和工程师实现零信任提供广泛的建议和指导。在评估这些假设和错误时,通常需要考虑组织所处行业、实力、商业模式等因素。此外,还需要考虑降低该组织特有风险的最佳方案,并结合该组织内部的具体情况进行分析。这种分析必须根据组织的具体需求,结合该组织特有的实际情况和深入洞察,在零信任方法论的框架下提出适当的建议。
目标和方法
本书是所有作者多年来在实践零信任架构中的经验总结。随着与零信任相关行业以及构成零信任架构组件的不断发展和变化,我们认为本书非常及时地为大多数客户提供了一些最佳实践的参考。
本书追求的目标是,书中提供的方法能够帮助80%的客户实现零信任目标而不需要做太多变化,对于那些在追求零信任方面已经取得一定成效的20%的客户,本书中的许多内容对其达成目标提供了更多的辅助,即遵循二八法则。希望本书可以在如何持续改进或运行零信任架构方面提供有益的参考。
在本书中,我们使用了一个虚拟的客户,包括来自各行各业的使用案例。为了更好地阐述与零信任解决方案相关的问题,我们对组织名称和业务场景进行了更改,以保护那些已经做出类似决策或犯过类似错误的客户的隐私。
本书中使用了较为宽泛的概念,并在一定程度上避免声称为实现某个目标或里程碑而必须使用某种技术。这里我们是有意为之的。随着零信任的发展和不断演变,产品会发生变化,但它们的功能和业务目标将保持不变,并且会一直持续下去。
本书读者
本书适用于网络安全工程师和架构师,他们负责按照相关原则创建安全框架,以确保监控和管理最小权限的访问安全控制,并减轻高级网络安全威胁。本书也适用于其他网络人员,他们对所在企业业务环境的最小权限网络安全的访问策略比较感兴趣。
本书中介绍的各种方法也可以供行业专家参考。
实施零信任的策略
使团队凝聚在一起的关键是要有一位执行发起人,他在业务部门和组织内等任何可能会受到零信任应用影响的领域都有广泛监督权的执行发起人。执行发起人应该有能力影响项目所需的不同团队的积极参与,并直接对结果负责。他可能是董事会授权的首席执行官,也可能是一个由执行经理组成的团队,或者是一个具有广泛影响力和权威的高级经理。对于正在进行的操作、配置和不同访问权限的更改,执行发起人(无论是个人还是团队)必须有决策权,并在保护正常业务运营的同时阻止非法个人访问。同时,执行发起人必须在企业内部具备影响力和人脉,以获得各方面的支持。准备和推动零信任的实施,还需要组织内部各个团队的广泛支持与参与。此外,还应该开展工作来帮助运营人员理解零信任。这包括对将要使用的技术、工具和平台的培训,以及关于如何应用这些工具的明确指导。对零信任的目标和方法的清晰理解,对于零信任框架的成功实施和持续维护至关重要。
本书结构
尽管本书可以从头到尾地阅读,但它设计的初衷是非常灵活的,读者可以轻松地在章和章之间进行切换,只阅读想深入了解的部分。
本书共有11章和1个附录,涵盖了以下主题。
第1章首先对零信任的发展历史进行了概述;接着介绍了思科的五大零信任支柱,以展示零信任安全基础架构的范围;最后引入了一个案例,后续每章的讨论主题中也会用到该案例。
第2章进一步定义和探讨了第1章中介绍的思科的五大零信任支柱。
第3章介绍了零信任参考架构,然后将整体架构细分为不同的实际服务场景与位置,并进一步详细探讨了典型的服务场景,包括园区、分支机构、核心网络、WAN和云。
第4章讨论了将零信任模型应用于网络架构时,网络的不同分层(包括分支机构、园区、WAN、数据中心和云)之间的构建会如何变化。
第5章讨论和分析了一些所谓的“陷阱”或组织和行业垂直领域的独特属性,并提出了相应建议。
第6章论述了在尝试限制对象之前应检察的通信的各个方面,这是成功部署零信任网络隔离的关键。
第7章介绍了实施零信任时遇到的常见挑战。
第8章介绍了当一个组织致力于制订一个对终端进行分类和隔离的计划,并同时保持正常业务运行时,组织应如何规划零信任的未来。
第9章探讨了一个实际的计划,介绍一个组织如何通过分步执行的方式确保在实现基于安全思维的实施模式时,组织可以确信已经尽职尽责以确保取得成功。
第10章涵盖了当零信任环境进入稳定的运营状态时应考虑的情况,包括监控网络和资产、记录和审计流量。
第11章介绍了利用零信任的五大核
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
