前言

感謝閱讀本書！在充斥著威脅的網絡中構建可信的系統，是網絡安全從業者多少年來孜孜以求的目標。在設計和構建可信系統的過程中，人們在解決一些根本性安全問題時遇到了挫折，而這些安全問題一直困擾和折磨著網絡安全從業者。因此，我們非常希望業界同仁直面這些根本性的安全問題，更加積極主動地推進能夠解決這些問題的安全系統的建設。

為了實現這個目標，建議在建設和維護安全的計算機網絡時采取全新的立場：安全應當與系統的運營管理從根本上融為一體，而不是建立在系統之上；安全應當自始至終與系統并存，要為系統賦能而不能成為其運行的障礙。正因為如此，本書提出了一系列在系統設計時需要考慮的安全設計模式和注意事項，以使得系統具備足夠的安全彈性，能夠應對現今主流的攻擊。

將這一系列設計模式和注意事項作為一個整體，得到的就是零信任模型。在這個模型中，默認的信任是不存在的，每一個訪問請求，無論是來自咖啡館里的一臺個人終端電腦，還是來自數據中心的一臺服務器，都需要經過嚴格的檢查，并確認其擁有合法的授權。采用零信任模型，可以從根本上解決外部攻擊者在網絡中的橫向移動問題、令人頭痛的VPN配置管理問題，以及防火墻集中式安全策略管理帶來的管理開銷問題等。零信任模型與傳統安全模型存在根本性的差別，我們深信它代表著網絡和基礎設施安全架構的未來。

網絡安全是一個技術復雜且快速變化的工程領域。網絡安全從業者需要深入理解系統多個層面的技術，并明確系統各個層面的漏洞和缺陷，因為攻擊者往往正是利用這些漏洞和缺陷來破壞系統的訪問控制和保護措施。安全的復雜性與多變性給系統的安全防護帶來極大的挑戰，但同時也給我們帶來極大的成就感，并使我們享受不斷學習、應對挑戰的樂趣！

本書的目標讀者

你是否已經發現，采用集中式安全策略管理的防火墻在實際應用中存在很多限制，甚至遇到過在某些特定情況下無法有效地管理、運營防火墻的情形？你是否在VPN管理上遇到過令人頭疼的問題，如多應用和多語言情形下的TLS配置問題、合規審計問題等？這些問題僅僅是零信任模型試圖解決的一小部分問題。如果你正在思考有沒有更好的辦法來解決這些問題，那么你很幸運——這本書適合你。

網絡工程師、安全工程師、CTO等，每個人都可以從零信任模型的學習中受益。即便沒有相關的專業背景知識，也可以很容易地理解本書描述的許多原則。本書能夠幫助領導者理解零信任模型的基本概念，在零信任模型的實踐中做出正確的決策，從而逐步改善組織的整體安全狀況。

此外，如果具有配置管理系統（Configuration Management System, CMS）使用經驗，會發現可以使用與CMS類似的想法構建更加安全、更容易運營的網絡，使得網絡中的資源在默認情況下得到很好的安全防護。在這種全新的網絡設計中，自動化系統如何助力細粒度訪問控制的廣泛應用，也是一個備受關注的問題。

最后，本書還探討了零信任網絡成熟應用的設計要點，以幫助那些已經采納零信任理念的組織進一步增強其安全系統的魯棒性。

本書的寫作目的

2014年，我們開始在行業會議上談論我們在系統和網絡設計中采用的新方法。當時，我們使用CMS嚴格定義系統的狀態，以編程方式處理網絡拓撲的變更。結果，在使用自動化工具的過程中，我們發現可以用編程的方式處理網絡執行的細節，來代替人工管理這類配置。同時還發現，用這種方式自動化獲取系統的設計，能夠讓我們比過去更加輕松地部署和管理安全特性，比如訪問控制、加密等。此外，這樣做還有更大的好處：在構建安全系統時極大地降低了對網絡信任的依賴，這是在公有云或混合云場景下設計安全系統時需要考慮的關鍵因素。

大約在同一時期，Google發布了BeyondCorp項目的第一篇論文，闡述了Google在系統和網絡安全設計方面的重新思考，目的是消除對網絡信任的依賴性。從這篇論文中發現，Google試圖解決的安全問題、設計安全架構的理念等，在許多方面與我們自己設計的安全系統非常相似。很顯然，降低對網絡信任的依賴性，不只是我們自己的設計偏好，也是整個安全行業的發展方向。通過比較BeyondCorp論文和我們自己的工作，我們的理解也更加深刻，并開始在各種會議上分享這種安全架構和安全理念。與會者都對我們正在做的事情非常感興趣，但我們也經常聽到這樣的問題：“我也想在系統中實踐這種安全理念和架構，在哪里可以學習和了解詳細內容？”遺憾的是，我們的回答通常是“嗯，好像渠道不是很多……這樣吧，可以來找我們討論。”缺乏公開的信息和指導漸漸成為這一安全理念和安全架構推廣的障礙，于是，我們決定撰寫這本書來改變這種局面。

在本書的撰寫過程中，我們訪談了數十家企業的相關人員，了解他們對網絡安全設計的看法。我們發現，其中不少企業已經采取了大量的措施，努力減少對其內部網絡的信任。不同的公司在設計安全系統時采用的方法不盡相同，但是很明顯，他們的工作都是在類似的威脅模型下展開的，因此構建出的解決方案有許多共同之處。

本書的目標不是闡述一兩個特定場景的安全設計方案，而是試圖定義一個建立在“不可信網絡”基礎上的安全模型。因此，本書的側重點不是介紹具體的軟件或實現方式，而是探討零信任網絡的理念和基本概念。通過閱讀本書，希望你能夠理解零信任模型的基本概念，建立清晰的思維模型并利用這一思維模型設計和建設安全系統，甚至構建針對這類問題的可重用的解決方案。

零信任網絡現狀

零信任模型這個概念最初是由Forrester的分析師John Kindervag于2010年提出的。多年來，他一直致力于建立零信任網絡的架構模型和指導原則，并為許多大型企業提供咨詢，幫助它們從當前的安全狀態逐步演進到零信任網絡。John一直是這個領域的重要參與者，他的工作極大地促進了我們對零信任網絡的理解。非常感謝John在零信任模型形成初期的大力普及和推廣。

目前零信任網絡主要是利用現有的軟件組件和定制化軟件，以全新的方式集成在一起構建起來的。因此，部署零信任網絡并不像安裝和配置現成的軟/硬件那么容易。希望你在學習零信任網絡時意識到這一點。

從另一方面來說，缺少易于部署且能夠很好地協同工作的組件也是一個機會，一套開源工具可以推動零信任網絡的廣泛采用。

本書的主要內容

本書的內容組織如下。

? 第1章和第2章討論了零信任網絡的基本概念。

? 第3章和第4章探討了成熟的零信任網絡中常用的兩個新概念——網絡代理和信任引擎。

? 第5章～第8章詳細描述了如何在網絡的各個參與方之間建立信任。這些章節探討的大多數內容都聚焦在現有的技術上，即使是傳統的網絡安全模型也可以使用。

? 第9章將之前討論的技術集成在一起，探討如何構建零信任網絡，并給出了兩個案例分析。

? 第10章則從攻擊者的視角審視零信任模型，探討如何解決網絡安全問題。

排版約定

本書采用下列排版約定。

斜體

表示新詞、E-mail地址、文件名，以及文件擴展名。

等寬

用于程序列印，以及在文字中表示命令、模塊和程序元素，如變量或函數名、數據庫、數據類型、環境變量、語句和關鍵字。

等寬加粗

表示命令或其他需要用戶原封不動輸入的文字。

等寬斜體

表示需要被替換成用戶指定的值或根據上下文決定的值。

表示提示或建議。

表示一般附注。

表示警告或注意。

Safari? 在線圖書

Safari在線圖書（Safari Books Online）是一個面向企業、政府、教育工作者和個人的會員制培訓和參考平臺。

會員可以訪問來自250多家出版商的數千本圖書、培訓視頻、學習路徑、互動教程以及策劃列表，出版商包括O'Reilly Media、Harvard Business Review、Prentice Hall Professional、Addison-Wesley Professional、Microsoft Press、Sams、Que、Peachpit Press、Adobe、Focal Press、Cisco Press、John Wiley & Sons、Syngress, Morgan Kaufmann、IBM Redbooks、Packt、Adobe Press、FT Press、Apress, Manning、 New Riders、McGraw-Hill, Jones & Bartlett和Course Technology等。欲獲得有關Safari Books Online的更多信息，請登錄其網站查詢。

聯系方式

如果你想就本書發表評論或有任何疑問，敬請聯系出版社：

O'Reilly Media, Inc.

1005 Gravenstein Highway North

Sebastopol, CA 95472

800-998-9938 （美國或加拿大）

707-829-0515 （國際或本地）

707-829-0104 （傳真）

關于本書的勘誤、示例和其他信息，請訪問官方頁面。

關于本書的技術性問題或建議，請發郵件到：bookquestions@oreilly.com。了解更多有關我們的圖書、課程、會議的信息以及最新動態，請訪問我們的官方推特，也可以在Youtube上觀看。

致謝

感謝本書的編輯Courtney Allen，謝謝她在本書寫作過程中給予的指導和幫助。還要感謝Virginia Wilson、Nan Barber和Maureen Spencer在本書審校過程中的努力和付出。

在撰寫本書的過程中，我們有機會和許多人一起討論其中的內容，感謝他們提出建議并把該領域其他人的工作情況介紹給我們。感謝Rory Ward、Junaid Islam、Stephen Woodrow、John Kindervag、Arup Chakrabarti、Julia Evans、Ed Bellis、Andrew Dunham、Bryan Berg、Richo Healey、Cedric Staub、Jesse Endahl、Andrew Miklas、Peter Smith、Dimitri Stiliadis、Jason Chan和David Cheney。

特別感謝Betsy Beyer為本書編寫了Google BeyondCorp的案例分析部分！

感謝我們的技術審稿人Ryan Huber、Kevin Babcock和Pat Cable，你們的意見非常有價值。再次感謝你們抽出寶貴的時間仔細閱讀本書的初稿。

Doug在本書的寫作過程中花費了大量的時間，因此要感謝他的妻子Erin、女兒Persephone和Daphne，感謝她們的理解與支持。

Evan要感謝他的伴侶Kristen在本書寫作過程中的支持和幫助，還要感謝Kareem Ali和Kenrick Thomas，沒有他們的支持與幫助，本書不可能問世。