May 2025
Beginner to intermediate
240 pages
2h 31m
Chinese
Content preview from 零信任网络
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
序言
本作品已使用人工智能进行翻译。欢迎您提供反馈和意见:translation-feedback@oreilly.com
感谢您选择阅读《零信任网络》!多年来,我们一直热衷于在充满敌意的 Network+ 中构建可信系统。在构建和设计此类系统的过程中,我们发现,在解决困扰我们行业的一些更基本的安全问题方面,我们的进展速度令人沮丧。我们非常希望看到整个行业能够更加积极地构建各类系统,努力解决这些问题。
为此,我们建议全世界对建设和维护安全的计算机网络采取新的态度。安全必须从根本上渗透到系统本身的运行中,而不是层层叠加,只有在建立了一定的价值之后才考虑安全问题。它必须无时不在,使操作成为可能,而不是限制操作。因此,本书提出了一系列设计模式和注意事项,只要加以注意,就能使系统能够抵御当今绝大多数的攻击载体。
从整体上看,这一系列被称为零信任模式。在这种模式下,没有任何事情是理所当然的,每一个访问请求--无论是咖啡店里的客户端还是数据中心的服务器--都要经过严格检查,并证明是经过授权的。采用这种模式实际上消除了横向移动、令人头疼的 VPN 和集中防火墙管理开销。这的确是一种非常不同的模式,我们相信它代表了网络和基础设施安全设计的未来。
安全是一个复杂多变的工程领域。从事这项工作需要深入了解系统的多个层次,以及这些层次中的漏洞或弱点如何让攻击者颠覆访问控制和保护措施。虽然这使得系统防御具有挑战性,但学习起来也非常有趣!我们希望您能和我们一样享受学习的乐趣!
谁应该阅读这本书
您是否发现集中式防火墙的开销太大?也许你甚至发现它们的运行效果不佳?您是否曾为 VPN 头疼不已、在无数应用程序和语言中进行 TLS 配置,或在合规性和审计方面遇到困难?这些问题只是零信任模式所解决的问题中的一小部分。如果你觉得一定有更好的办法,那么你很幸运,这本书就是为你准备的。
网络工程师、安全工程师、首席技术官以及介于两者之间的每个人都能从零信任学习中受益。即使没有专业技能,也可以清楚地理解其中包含的许多原则,帮助领导者做出更接近实现零信任模式的决策,逐步改善整体安全态势。
此外,有使用配置管理系统经验的读者会发现,利用这些相同的想法来构建一个更安全、可操作的网络系统--其中的资源默认是安全的。他们会对自动化系统如何实现新的网络设计,从而能够更轻松地应用细粒度安全控制感兴趣。
最后,本书还探讨了成熟的零信任设计,使那些已经融入基本理念的人能够进一步提高其安全系统的稳健性。
我们为什么写这本书
我们从 2014 年开始在行业会议上介绍我们的系统和 Network+ 设计方法。当时,我们使用配置管理系统来严格定义系统状态,并根据拓扑变化以编程方式进行更改。由于为此利用了自动化工具,我们自然而然地发现自己以编程方式计算网络执行细节,而不是手工管理此类配置。我们发现,通过这种方式使用自动化来捕捉系统设计,使我们能够比过去更轻松地部署和管理安全功能,包括访问控制和加密。更妙的是,这样做让我们对 Network+ 的信任度大大低于其他系统,这是在公共云中和跨公共云运行时的一个关键安全考虑因素。
大约在同一时间,,谷歌的第一篇 BeyondCorp 论文发表,描述了他们如何重新思考系统和网络设计,以消除网络中的信任。我们发现,谷歌处理网络安全问题的方式与我们处理自己系统中类似问题的方式在哲学上有很多相似之处。很明显,降低网络信任度不仅是我们自己的设计偏好/观点,也是整个行业的大方向。将 BeyondCorp 的论文与我们自己的工作进行比较后,我们意识到,我们开始在各种会议上分享对这种架构和理念的更广泛理解。 ...