零信任安全从入门到精通

本书是零信任认证专家（CZTP）认证教材，由CSA云安全联盟组织编写；

“零信任之父”约翰·金德维格（John Kindervag）、云安全联盟大中华区主席李雨航为本书作序力荐；

腾讯安全副总裁杨光夫、中国电子科技集团公司首席科学家吴巍、IEEE Fellow李颉、安恒信息高级副总裁兼首席安全运营官袁明坤、启明星辰副总裁郭春梅等联袂力荐；

“零信任”（Zero Trust）作为安全行业内的热词正在迅速从“营销”概念向务实转变，从安全范式向落地实践过渡，并在逐渐验证面对新安全威胁时其有效性和前瞻性。本书首先介绍零信任的起源、概念，其次介绍零信任的关键技术及框架，接着列举部分零信任的实践应用，最后对零信任进行总结和展望。同时，本书还对零信任的一些行业应用案例进行梳理，以期对计划实施零信任的企业单位及安全从业人员提供一些参考和启发。

本书适合信息安全从业人员阅读，特别适合对零信任感兴趣或希望对零信任有较深入了解的人员阅读和参考。

“零信任”（Zero Trust），这一安全行业内的热词正在迅速从“营销”概念向务实转变，从安全范式向落地实践过渡，并在逐渐验证面对新安全威胁时其有效性和前瞻性。

本书首先介绍零信任的起源、概念，其次介绍零信任的关键技术及框架，接着列举部分零信任的实践应用，最后对零信任进行总结和展望。另外，本书还对零信任的一些行业应用案例进行梳理，以期对计划实施零信任的企业单位及安全从业人员提供一些参考和启发。安全行业没有“银弹”，零信任也不例外。零信任仍然在不断发展和完善之中，还有很多需要改进的地方，如在落地过程中还存在诸多挑战有待解决。在选择零信任过程中，还需理智对待。零信任是一种战略，实施零信任将是一个漫长的旅程，有待读者和我们一起在未来的零信任之路上，共同探索，共同思考，共同成长。

本书适合信息安全从业人员阅读，特别适合对零信任感兴趣或希望对零信任有较深入了解的人员阅读和参考。

陈本峰，教授、西塞数字安全研究院院长、国家高层次人才特聘专家、零信任SDP国际标准作者之一、CSA GCR Fellow/零信任工作组组长、CCF中国计算机学会零信任网络隐身协议NHP标准工作组组长。曾就职于美国微软总部，专注于互联网基础技术标准研究20余年，主导编著了国内外数十项零信任安全标准、发明专利、技术白皮书，以及《CZTP零信任安全专家认证》教材与电子工业出版社《零信任网络安全――软件定义边界SDP技术架构指南》等图书。

贾良钰，北京理工大学本科及硕士，加拿大博士进修。浙江省外专局A类人才、北京市和浙江省特聘专家；世界500强高管和创业经历，带领公司上市、国际化和并购整合；目前，所带领的公司中有两家公司上市、两家公司在美国被并购；天使投资人、风投机构合伙人和多家公司董事及顾问；联合国WDTA/国际CSA研究院副院长，中科院、浙大等多所大学客座和政府顾问，花园经济发起人。

魏小强，Stanford大学SELP, 北京大学国家发展研究院MBA。现任亚信安全业数产品战略官、CSA大中华区多云工作组组长，曾任360天枢智库首席研究员、360云安全研究院副院长、以色列Trusteer亚太区总经理、IBM大中华区高级专家（Tiger）、Entrust亚太区总经理等， 20余年安全行业经验，致力于创新、行为和组织文化的研究，在数据安全治理、安全运营、零信任、SASE、XDR等领域拥有软著、专利、论文等成果20余项。

董雁超，硕士研究生学历，在网络安全及零信任安全领域工作多年，参与零信任安全、SASE安全、数据安全、区块链等多个行业课题的研究和编撰，基于当前网络现状为多家大型企业设计零信任安全、数据安全框架和实施方案。

目 录

第1章 为什么是零信任 1
1．1 网络安全不断演进 2
1．1．1 网络安全的定义 2
1．1．2 网络安全经典事件回顾 2
1．1．3 我国网络安全发展阶段回顾 4
1．2 传统安全防御体系面临挑战 5
1．2．1 远程办公导致网络安全风险急剧增加 5
1．2．2 物联网设备越来越多 5
1．2．3 传统安全防御体系的安全盲点 5
1．3 零信任安全是网络安全的新选择 6
1．3．1 数字化正在改变安全 6
1．3．2 零信任是新的安全范式 6
1．3．3 零信任的商业模式 7
1．4 本章小结 7
第2章 零信任概述 9
2．1 零信任的发展现状 9
2．1．1 零信任概念的提出 9
2．1．2 零信任的早期践行者 10
2．1．3 零信任相关技术发展概述 10
2．1．4 零信任产业联盟介绍 11
2．1．5 零信任相关技术标准化进展 11
2．2 国家层面对零信任的关注 13
2．2．1 中国 13
2．2．2 美国 14
2．2．3 其他国家 15
2．3 零信任的基本概念 16
2．3．1 零信任的定义 16
2．3．2 零信任抽象架构 16
2．3．3 零信任的核心关键能力 17
2．3．4 零信任三大实践技术综述 17
2．3．5 信任评估算法 19
第3章 身份管理与访问控制（IAM） 20
3．1 身份管理与访问控制现状 21
3．1．1 身份管理现状 21
3．1．2 身份认证现状 22
3．1．3 系统访问权限控制现状 24
3．1．4 用户访问行为审计现状 25
3．2 身份管理与访问控制的基本概念 26
3．2．1 IAM的定义与总体架构 26
3．2．2 IAM的应用领域 28
3．2．3 IAM产品形态及部署模式 28
3．3 身份管理 30
3．3．1 身份管理主体对象 31
3．3．2 身份管理实体内容 32
3．3．3 身份管理客体对象 34
3．3．4 身份识别服务 36
3．3．5 身份全生命周期管理 36
3．3．6 特权账号管理 38
3．3．7 身份信息同步模式 42
3．4 身份认证 44
3．4．1 身份认证的类型 44
3．4．2 常见身份认证方式 45
3．4．3 多维度联合认证 50
3．4．4 单点登录（SSO） 51
3．4．5 CAS协议 53
3．4．6 SAML协议 55
3．4．7 OAuth协议 56
3．4．8 OpenID协议 58
3．4．9 其他协议 60
3．5 访问控制 62
3．5．1 访问控制框架与模型 62
3．5．2 访问控制过程 64
3．6 审计风控 77
3．6．1 全方位审计机制 77
3．6．2 用户行为风险分析 78
3．6．3 UEBA简介 81
3．7 IAM发展趋势展望 84
3．7．1 IAM发展预测 85
3．7．2 CIAM发展漫谈 86
3．7．3 物联网IAM发展漫谈 88
第4章 软件定义边界（SDP） 90
4．1 SDP的基本概念 90
4．1．1 SDP技术的由来 91
4．1．2 SDP技术的定义 93
4．1．3 SDP与零信任网络 95
4．1．4 SDP技术商业与技术优势 97
4．1．5 SDP技术主要功能 99
4．1．6 SDP与十二大安全威胁 100
4．1．7 SDP标准规范《SDP 2．0》与《SDP 1．0》 101
4．2 SDP技术架构与通信协议 103
4．2．1 SDP架构概述 103
4．2．2 SDP组件介绍 104
4．2．3 SDP的工作原理与流程 106
4．2．4 SDP与访问控制 108
4．2．5 单包授权（SPA） 109
4．2．6 mTLS通信协议 113
4．2．7 AH-控制器协议 113
4．2．8 IH-控制器协议 116
4．2．9 动态隧道模式（DTM）下的IH-AH协议 118
4．2．10 SDP审计日志 120
4．3 SDP技术架构部署模型 123
4．3．1 客户端?服务器模式 123
4．3．2 服务器?服务器模式 124
4．3．3 客户端?服务器?客户端模式 125
4．3．4 客户端?网关?客户端模式 126
4．3．5 网关?网关模式 126
4．4 SDP与传统网络安全产品的关系 127
4．4．1 企业信息安全架构全景图 127
4．4．2 SDP与现有设备管理系统 128
4．4．3 SDP与SIEM系统 128
4．4．4 SDP与IDS/IPS 129
4．4．5 SDP与VPN 130
4．4．6 SDP与NGFW 131
4．4．7 SDP与IAM 131
4．4．8 SDP与NAC 132
4．4．9 SDP与WAF 132
4．4．10 SDP与CASB 133
4．4．11 SDP与PKI 133
4．4．12 SDP与SDN/NFV 133
4．5 SDP应用实践 134
4．5．1 采用SDP需考虑的问题 134
4．5．2 SDP应用场景总结 135
4．6 SDP安全远程接入（替代VPN） 140
4．6．1 现有VPN存在的问题 140
4．6．2 SDP替代VPN的优势 140
4．7 SDP帮助企业安全上云 141
4．7．1 IaaS安全概述 141
4．7．2 IaaS技术原理 142
4．7．3 混合云及多云环境 149
4．7．4 替代计算模型 149
4．7．5 容器和SDP 150
4．8 SDP防御分布式拒绝服务（DDoS）攻击 150
4．8．1 DDoS和DoS攻击的定义 150
4．8．2 SDP防御DDoS攻击 152
4．8．3 SDP防御HTTP泛洪攻击 153
4．8．4 SDP防御TCP SYN泛洪攻击 154
4．8．5 SDP防御UDP反射攻击 155
4．8．6 网络层次结构与DDoS攻击 156
4．8．7 针对Memcached的大规模攻击 158
第5章 微隔离（MSG） 159
5．1 网络安全挑战 159
5．1．1 东西向流量安全面临的挑战 160
5．1．2 东西向流量常见安全问题 160
5．1．3 传统安全模型的弊端 161
5．1．4 微隔离顺势出现 162
5．2 微隔离的基本概念及其技术的发展趋势 163
5．2．1 微隔离的基本概念 163
5．2．2 微隔离技术的发展趋势 165
5．3 微隔离的价值 166
5．3．1 微隔离正改变网络安全架构 167
5．3．2 微隔离助力云计算走向零信任 168
5．3．3 微隔离的价值总结 170
5．4 微隔离的4种技术路线 171
5．4．1 云自身控制 171
5．4．2 第三方防火墙 172
5．4．3 代理模式 173
5．4．4 混合模式 174
5．5 微隔离的技术趋势 174
5．5．1 面向业务的策略模型 175
5．5．2 自适应的执行策略 175
5．5．3 软件定义的策略管理 175
5．6 微隔离的部署实施 176
5．6．1 微隔离的五步法实施过程 176
5．6．2 微隔离实施过程的实例解析 181
5．6．3 微隔离的实施过程小结 182
5．7 微隔离最佳实践 182
5．7．1 云原生控制 183
5．7．2 第三方防火墙 185
5．7．3 基于代理的模式 186
5．7．4 混合模式 187
5．7．5 微隔离最佳实践小结 189
第6章 零信任应用场景 190
6．1 应用场景概述 190
6．1．1 员工远程访问 191
6．1．2 外部人员远程访问 192
6．1．3 服务器间数据交换 192
6．1．4 物联网组网 193
6．1．5 安全合规要求的满足 193
6．1．6 保护敏感数据 193
6．2 企业内部的安全访问场景 194
6．2．1 分支机构的远程接入 194
6．2．2 出差员工的远程办公 196
6．2．3 基于C/S应用的远程接入 199
6．2．4 开发人员从企业内部访问后端系统 200
6．2．5 从外部访问企业后端系统 201
6．2．6 同时访问企业内部与云上资源 202
6．2．7 启动云端服务实例 204
6．2．8 启动服务实例并访问云上后端系统 205
6．2．9 访问服务商提供的硬件管理平台 206
6．2．10 移动端远程办公 207
6．3 企业与外部的协作场景 209
6．3．1 外包人员/访客对企业资源的访问 209
6．3．2 跨企业边界的协作 212
6．3．3 抗DDoS攻击 215
6．4 系统间的安全访问 218
6．4．1 多云管理 218
6．4．2 微隔离防止内网横向攻击 221
6．4．3 API数据交换 222
6．5 物联网安全连接 226
6．5．1 物联网安全面临的挑战 227
6．5．2 物联网的零信任安全组网 230
6．6 安全与合规要求 233
6．6．1 SDP助力满足等保2．0 234
6．6．2 IAM助力满足等保2．0 264
6．6．3 微隔离助力满足等保2．0 265
6．7 敏感数据的零信任方案 266
6．7．1 敏感数据安全防护的挑战 266
6．7．2 基于零信任的敏感数据保护方案 267
第7章 零信任的战略规划与实施 269
7．1 零信任战略综述 269
7．1．1 零信任战略的意义 269
7．1．2 零信任战略实施的关键基础 270
7．1．3 零信任战略的实施线路 271
7．2 确立零信任战略愿景 272
7．2．1 建立零信任安全思维 273
7．2．2 认识零信任关键能力 274
7．3 编制零信任战略行动计划 277
7．3．1 规划先行的意义 277
7．3．2 零信任成熟度模型 277
7．3．3 编制阶段性行动计划 281
7．4 零信任建设成效评估 283
7．4．1 基本原则 284
7．4．2 制定评估指标框架 284
7．4．3 评估内容分析 285
7．5 零信任实施问题及解决思路 285
7．5．1 保护账户凭证等身份标识 286
7．5．2 减轻加密流量的安全风险 286
7．5．3 零信任架构涉及的数据安全保护 286
7．5．4 零信任必须防范内部威胁 286
7．5．5 零信任体系与外部系统对接 287
7．5．6 微隔离实施面临的问题 287
7．5．7 云原生改造面临的问题 288
7．6 本章小结 289
第8章 零信任落地部署模式――SASE 290
8．1 SASE简介 290
8．1．1 SASE背景现状 290
8．1．2 SASE的定义 291
8．1．3 SASE的价值 292
8．2 SASE的系统架构 293
8．3 SASE的核心特征 294
8．3．1 身份驱动 294
8．3．2 云原生架构 295
8．3．3 近源部署 295
8．3．4 分布互联 295
8．4 SASE的核心技术 295
8．4．1 身份认证 296
8．4．2 SD-WAN 297
8．4．3 云原生技术 299
8．4．4 边缘计算 302
8．4．5 安全即服务（SECaaS） 303
8．5 SASE的现状与应用 307
8．5．1 标准化进展 307
8．5．2 产业情况 308
8．5．3 应用场景 308
8．6 SASE技术总结 311
第9章 零信任行业评估标准 312
9．1 零信任专家认证 312
9．1．1 CZTP概述 312
9．1．2 CZTP核心课程内容 313
9．1．3 CZTP考核方式 314
9．1．4 具备CZTP资质的企业 314
9．2 零信任能力成熟度模型 314
9．2．1 零信任能力成熟度模型概述 315
9．2．2 零信任能力成熟度矩阵 315
9．2．3 零信任能力成熟度模型评估方法 323
第10章 零信任实践案例 324
10．1 Google BeyondCorp实践案例 324
10．1．1 项目背景 324
10．1．2 解决方案 325
10．1．3 实施效果 328
10．1．4 挑战与经验 328
10．2 政企行业的零信任实践案例 329
10．2．1 行业特点 330
10．2．2 解决方案 331
10．2．3 优点 332
10．3 金融行业的零信任实践案例 334
10．3．1 行业特点 334
10．3．2 解决方案 336
10．3．3 优点 337
10．4 运营商行业的零信任实践案例 338
10．4．1 行业特点 338
10．4．2 解决方案 339
10．4．3 优点 340
10．5 制造业的零信任实践案例 341
10．5．1 行业特点 341
10．5．2 解决方案 341
10．5．3 优点 344
10．6 能源行业的零信任实践案例 345
10．6．1 行业特点 345
10．6．2 解决方案 345
10．6．3 优点 347
10．7 医疗行业的零信任实践案例 348
10．7．1 行业特点 348
10．7．2 解决方案 349
10．7．3 优点 352
10．8 互联网行业的零信任实践案例 353
10．8．1 行业特点 353
10．8．2 解决方案 353
10．8．3 优点 354
第11章 零信任总结与展望 355
11．1 网络安全技术的演进历程 355
11．2 零信任理念及技术 357
11．2．1 零信任理念及架构 357
11．2．2 零信任与IAM 359
11．2．3 零信任与SDP 360
11．2．4 零信任与微隔离 361
11．2．5 零信任的应用场景与部署实施 362
11．3 零信任架构的潜在威胁 362
11．3．1 零信任架构决策过程被破坏 363
11．3．2 拒绝服务或网络中断 364
11．3．3 凭证被盗或者内部威胁 364
11．3．4 网络的可见性 365
11．3．5 系统和网络信息的存储 366
11．3．6 在零信任架构管理中使用非人类实体 366
11．4 网络安全技术发展展望 367
11．4．1 SASE 367
11．4．2 扩展检测和响应 369
11．4．3 AI驱动的安全 371
附录A 缩略语 374

序 一

零信任不是一种产品，而是一种战略，旨在防止数据泄露和阻止其他类型网络攻击。当前的网络和安全设计模型是有缺陷的，其中内置了一个有缺陷的信任模型，因此才会有信任与不信任的系统区分。数据泄露和成功入侵都因黑客有效利用了这种有缺陷的信任模型，并把这部分作为他们攻击计划的组成部分。信任是一种人类情感，却被毫无理由地植入数字系统中。这就是为什么我们必须（在数字系统中）摆脱“信任”这个词。因为我们将人类社会的一些东西放入数字世界中是不起作用的。

“零信任”想法诞生于我早年的工作经历。21 世纪初，我正在安装防火墙，而防火墙有信任和非信任的体系。它的工作原理是，如果一个数据包从不受信任的网络移动到另一个受信任的网络，它就需要被防火墙规则校验；但是如果一个数据包从一个受信任的网络移动到另一个不受信任的网络，它就不需要被任何防火墙规则校验。我发现这是错误的，因为这意味着，如果攻击者进入我们的网络，他们就可以轻松获取数据并将其发送到外部网络。当我试图提出增加“站”的约束规则时，遇到了麻烦，人们会说系统不是这样工作的，信任模型也不是这样工作的。我意识到防火墙中每个接口的信任级别、网络中每个系统的信任等级最终都需要为零，所以需要消除数字系统中“信任”的概念。“零信任”这个术语因此诞生。

如果你踏上零信任之旅，那么你需要一个框架。正如你要去旅行，首先需要一张地图一样。零信任之旅的地图被称为“零信任五步法”模型，即定义保护面、定义业务流、部署零信任环境、创建零信任策略，以及持续监控和维护环境。因此，如果你想要部署零信任，则首先需要了解你的保护面，然后从内向外设计，而不是从外向内设计。我们通常都从外向内设计网络（安全），那是行不通的。从内向外设计很重要。如果你使用“零信任五步法”模型，你就会成功；否则，你就不会成功。其实就是这么简单。

云安全联盟（CSA）在零信任领域发挥着重要的作用。CSA促进了组织机构间的对话交流，并向未曾接触零信任的组织机构宣传零信任理念。此外，CSA在帮助人们更好地理解零信任理念方面做了许多出色的工作。这本书是CSA大中华区零信任/SDP 工作组为实现这个目标所做的又一项伟大工作。2022年11月，由CSA大中华区组织的第三届国际零信任峰会暨首届西塞论坛在浙江湖州西塞科学谷成功举办，我很高兴地看到，零信任在中国和世界各地的影响力越来越大。事实上，零信任的应用和普及已经是一场全球的运动。这对我来说是一个惊喜，它给了我很大的信心。随着时间的推移，我们将能够对各种各样的环境进行大规模的零信任部署，通过共同努力，将使世界变得越来越安全。

零信任发明人、云安全联盟（CSA）安全顾问

约翰·金德维格（John Kindervag）

序 二

零信任代表新一代的网络安全防护理念，零信任思想的起源可以追溯到1994年由Jericho Forum提出的“去边界化”网络安全概念，而“零信任”这个词则是由国际知名IT技术和市场咨询公司Forrester原首席分析师John Kindervag于2010年首次提出的。零信任思想摒弃了“信任但验证”的传统方法，将“从不信任、始终验证”（Never Trust，Always Verify）作为其指导方针，默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。零信任正在快速地发展，全球越来越多的组织都在拥抱零信任。2021年，工业和信息化部发布的《网络安全产业高质量发展三年行动计划（2021―2023年）》提出要发展创新安全技术，加快开展零信任框架等安全体系研发。2021年，美国第14028号总统行政令要求在整个政府范围内启动零信任框架迁移，借此帮助美国实现增强对网络攻击活动的现代化防御能力。2022年美国白宫发布编号为M-22-09的零信任战略，要求联邦政府能在未来两年内逐步采用零信任安全架构，以抵御现有威胁并增强整个联邦层面的网络防御能力。

产业界将零信任在各组织与业务场景中落地，需要大批拥有零信任专业知识的安全从业人员，本书是一本从信息安全基础知识开始，使安全从业人员迅速掌握零信任专业知识的教科书和参考书，也是云安全联盟（CSA）的零信任专家认证（CZTP）课程的官方教材。CSA是业界领先的零信任倡导者和实践者，率先提出了零信任解决方案软件定义边界（SDP）, CSA大中华区的专家为SDP的发展做出了积极贡献，并在此基础上，通过CZTP课程和本书全面阐释了零信任的理念、架构、技术、应用场景等，希望本书的读者不仅能顺利通过CZTP考试，也能把所学的专业知识用于工作实践。

云安全联盟（CSA）大中华区主席兼研究院院长

李雨航（Yale Li）

前 言

纵观历史，安全是一个不断演化的范式。零信任安全就是数字化时代下的产物，企业或机构通过零信任理念框架来建立数字化时代下的数据安全与共享体系，让数据更好地发挥出生产要素的价值。

安全范式的演化往往是和生产力的演化相辅相成的。生产力的发展促进了安全范式的变革，而更先进的安全范式同时也保障了生产力的进一步发展。无论是网络空间还是物理空间都时刻按照这个演化规律运行。石器时代，人类为了抵御暴雨、猛兽的侵扰，依靠山洞或大树搭建庇护场所，后来逐渐演变成房子。进入人类文明时代，人们开始修建栅栏围墙，后来逐渐演变成城墙、城堡与护城河。资料表明，中国的长城总长超过10000千米，欧洲历史上建设的城堡也超过10000个。因此，长城和城堡可以说是人类历史上耗时最长、规模最庞大的安全项目。然而，到了今天，长城或城堡已经变成了一个历史文化景点，不再是安全防御工事。为什么它们的作用会发生变化呢？答案很简单：时代变了，安全模式也要跟着变！首先，攻击武器升级了，城墙和城堡显然抵挡不住飞机、坦克和导弹等新型武器。其次，随着人口数量的增加及人口流动越来越频繁，修城墙这件事情变得越来越难以操作了。因为人口数量剧增，城内空间饱和，只能拆墙扩建，导致成本巨增；人口流动规模越来越大，城门的关卡哨站逐渐成为商业贸易的瓶颈。因此，我们看到在人类社会生产力不断进步的同时，安全范式也在不断更新迭代。

类似于物理空间安全，网络空间安全的演化方向也必然是朝着数字化生产力不断进步的方向前进。数据是数字化时代的核心生产要素，数据只有在流通中才能产生更高的价值，才能赋予机器更高的智能。零信任安全的出现就是为了让数据更安全、更高效地流通，实现“数据在哪里安全就到哪里”的终极目标。

早期的计算机不联网，只要通过杀毒软件保障自己的计算机不中毒，计算机上的数据就是安全的，这类似早年人类的房子，只要保障自己家庭的安全就可以了；后来进入信息化时代并产生了网络，企业有一定数量的计算机和服务器可以通过网络连接在一起，但黑客也可以通过网络发起攻击，因此需要通过防火墙来建立一个物理边界，通常称为“内网”，它类似城墙及城堡，可以保障一定规模人数的安全；当前进入以云计算、大数据、人工智能（AI）、物联网（IoT）等新兴技术代表的数字化时代，数据量爆炸式增长，数据存储走向多样化、分布式，分散在IaaS、SaaS等不同的云上。再加上新型冠状病毒疫情催生了大规模的远程办公，导致企业或机构已经很难用一个明确的物理边界来把所有数据“围起来”。因此，每个企业或机构的未来发展趋势必然是“数据无处不在”。尽管企业的业务系统大部分都有账号保护或虚拟专用网络（VPN）隧道保护，但是黑客的攻击手段也在利用新技术（如大数据、AI）不断演进。例如，国外有一个网站HaveIBeenPwned收集了暗网中共享的用户账号和密码数据库，网站显示账号和密码样本数已经累积到117亿，而且还在不断累积更新中，加上越来越丰富的社会工程学攻击手段，基于账号和密码的保护已经变得越来越容易被突破了。

除了企业上云、远程办公的行业趋势，还需要我们关注的趋势是由开源软件的崛起而导致的软件供应链漏洞攻击。国外安全公司Sonatype发布的最新研究报告表明，2021年与2020年相比，软件供应链的攻击数量暴增了650%。2021年最有名的软件供应链安全事件当属开源软件Log4j漏洞。根据以色列安全公司CheckPoint安全实验室的报告，在Log4j漏洞被发现的24～74小时内，利用该漏洞进行攻击的数量呈现爆发式的增长。Log4j的漏洞之所以会造成这么大的影响，主要是因为其在开源社区的广泛接受度，数以万计的开源软件都引用了Log4j的代码库，而这些开源软件可能又被其他成千上万个商业软件或开源软件引用，这样一层嵌套引用一层，形成了一条长长的软件供应链，也形成了直接依赖关系或间接依赖关系。谷歌（Google）的官方博客上展示了Log4j的嵌套层级数量的统计，我们可以看到，最常见的Log4j引用情况是被嵌套了5层，最深超过10层。如此多层的嵌套直接带来一个严峻的软件供应链安全问题，一旦供应链中的某个模块出了0day漏洞，就会导致整个软件被攻陷。更严峻的是，由于软件之间对某个特定版本的依赖关系非常复杂，导致这些被依赖嵌套的问题模块还不容易被升级修复。

许多传统网络安全方法都是基于特征的概念，即安全工具寻找已知的不良行为“特征”，但根据定义，0day威胁并没有已知特征。基于零信任思想，实际的数据和功能无论何时被实例化，安全控制都将无处不在，并且会正确地趋向于更接近它们。因此，基于零信任思想可以较好地解决开源软件模式带来的软件供应链漏洞攻击问题。

综上所述，在数字化时代的大背景下，安全基础设施将从传统的杀毒、防火墙转向零信任安全理念和技术架构，从而保障让安全无处不在，数据到哪里安全就应该到哪里。同时，零信任概念和技术还在不断演化中，未来的网络空间会逐渐演化出更强大的、一体化的安全体系。

基于以上考虑，学习、理解并实践零信任安全是今天数字化时代每个行业从业者的必备功课。由2020年中央提出的“新基建”政策以及2022年国务院发布的《“十四五”数字经济发展规划》可知，我们已经进入数字化时代，未来各行各业都会与数字化有关。同时，网络安全和信息化是一体之两翼，驱动之双轮。安全是发展的前提，发展是安全的保障。因此，我们在做好数字化系统建设的同时要做好数字安全的建设。理解零信任安全的理念以及相关技术有助于每个从业者在数字化建设的一开始就把安全考虑融合进去，实现“内生安全”，而不是“先建设后安全”。这样无论从时间、成本及安全性考虑，都是更优的路线，有助于我们更好地进行数字化建设。本书编写的目的之一就是希望帮助行业每位从业者更好地实现这个目标。

需要指出的是，零信任并不是万能的。首先，零信任只是目前一个被时代广泛采纳的主流理念框架，网络空间仍然存在零信任覆盖不到的问题，整体的安全方案需要在零信任之外做补充。其次，零信任本身也在不断演化中，虽然从2010年由Forrester原首席分析师John Kindervag提出“零信任”这个概念以来已经经历了10多年，但我们可以看到，每隔一段时间会有对零信任技术架构的补充和改进。2014年，云安全联盟（CSA）提出了零信任《软件定义边界（SDP）标准规范1.0》标准，在业界引起了广泛的关注和采用，成为全球零信任标志性的技术架构之一。2022年，《软件定义边界（SDP）标准规范2.0》发布。《软件定义边界（SDP）标准规范2.0》汲取了过去的8年间行业最前沿的实践和技术创新，对《软件定义边界（SDP）标准规范1.0》做了比较大的补充和改进。相信零信任的相关技术创新还会不断继续，但是只有我们学好、用好现在的技术，才能在目前的基础上做出更多的创新。尤其是我国现在已经进入一个数字经济的快车道，急需在数字安全技术方面能够领先于全球。本书编写的另一个目的是希望大家能够多实践零信任，在实践中总结经验，力求创新。

综上所述，本书的编写的目的是希望帮助数字化建设的相关从业者能够由浅入深、全面地了解零信任的理念及相关技术架构，以帮助他们做好数字安全保障，更高效、更安全地进行数字化建设。同时，也希望通过详细介绍零信任的应用场景、实施部署过程、行业评估标准及具体的行业实践案例，帮助IT行业从业者能够更快、更低成本地部署零信任，促进广泛的零信任实践应用不仅能改善数字经济的安全态势，还能促进整个行业的数字安全的技术创新。正是基于这样的考虑，本书内容可分为4个部分，共11章，按照“入门→ 精通→实践→展望”的顺序排列。

第1部分：基本概念，共2章。

 第 1 章 为什么是零信任，首先，对网络安全的历史演进进行简单回顾；其次，结合经典的网络安全历史事件，分析传统安全防御体系所面临的挑战；最后，提出关于零信任可能成为未来新安全范式的思考。

 第 2 章 零信任概述，包括零信任基本概念、各个国家对零信任的关注情况、零信任的抽象架构，以及零信任的典型访问场景简介。

第2部分：技术详解，共3章。

 第 3 章 身份管理与访问控制（IAM），详细介绍零信任的基础身份组件、现状、基本概念、身份管理、身份认证、访问控制、审计风险，以及未来的发展趋势。

 第 4 章 软件定义边界（SDP），详细介绍零信任的第二大基础组件、软件定义边界、基本概念、技术架构和通信协议、部署模型，以及与传统安全产品的关系、应用实践、典型应用场景，如远程接入、企业上云保护、防止拒绝服务攻击、 合规要求等。

 第 5 章 微隔离（MSG），介绍网络微隔离的基本概念、微隔离的价值、技术路线和趋势，以及部署和实施场景及最佳实践。

第3部分：应用实践，共5章。

 第 6 章 零信任应用场景，重点介绍零信任安全的应用场景。

 第 7 章 零信任的战略规划与实施，介绍零信任的战略规划方法、意义以及行动计划。

 第 8 章 零信任落地部署模式——SASE，介绍安全访问服务边缘（Secure Access Service，SASE）。

 第 9 章 零信任行业评估标准，从合规的角度出发，介绍行业评估标准及零信任成熟度模型。

 第10章 零信任实践案例，介绍行业的典型成功案例，解决方案和效果分析。

第4部分：总结展望，共1章。

 第11章 零信任总结与展望，对零信任进行总结并对未来进行展望。

本书凝聚了编委会所有专家的工作成果。再次感谢编委会以及审校组所有专家成员的辛勤付出！此外，在本书编写过程中，西塞数字安全研究院的智库专家及电子工业出版社的编辑老师们给予了许多宝贵的意见和建议，大家无私奉献和兢兢业业的精神让这本书精益求精！希望我们共同努力可以为读者提供有价值的帮助，以及对行业发展做出一点点贡献。

陈本峰

云安全联盟（CSA）大中华Fellow、零信任工作组组长

西塞数字安全研究院院长