文章总结: 《零信任安全架构实践指南》系统阐述零信任架构落地实践,覆盖从理念到实施的全流程。全书分六个阶段,包括观念对齐、指标制定、团队组建、架构开发、策略展示及实施监控。采用人物对话形式,结合NIST等框架,指导企业构建身份与访问管理、网络与多云安全等核心能力,打造具备韧性的零信任技术体系。 综合评分: 73 文章分类: 安全建设,解决方案,技术标准,软文广告
从零开始学习零信任安全
新书速递→ 新书速递→
Z2O安全攻防
2026年7月17日 09:05 北京
在小说阅读器读本章
去阅读
面对日益复杂的网络攻击面,传统的安全架构已独木难支。《零信任安全架构实践指南:以零信任重构数字信任》一书直击企业安全建设的痛点与难点,带你系统掌握零信任架构从理念到实施的全流程。这些方法经过多家企业验证,一旦掌握即可应用于多云环境、远程办公、供应链安全等复杂场景。你将学习如何从业务出发设计零信任策略、构建绩效与风险指标、组建跨职能团队,并以系统化方式推动架构落地。
相较传统安全书籍,本书创新性地采用人物对话形式,生动展现了从高管到工程师在零信任旅程中的真实思考与协作路径。随着学习的深入,你还将掌握NIST等主流框架的应用技巧,并学习如何根据企业成熟度定制专属实施路线图。
通过阅读,你将获得为企业构建身份与访问管理、网络与多云安全、工作负载与数据防护等核心能力所需的基础架构能力。这些技能既能满足当前安全需求,也具备面向未来的延展性,并能助力企业打造具备韧性的零信任技术体系。
内容结构
《零信任安全架构实践指南》是一部系统阐述零信任安全架构落地实践的权威指南,旨在帮助各类组织在数字化转型浪潮中重构网络安全防御体系。全书内容层层递进,覆盖了零信任旅程的核心阶段:
本书分为六个阶段。
第一阶段:观念
第1章 一切从何开始:本章将引入零信任这一主题,并介绍本书的结构。由于本书叙述的故事包含一个背景,在这一章将介绍主要角色及其相关历史,以便整个故事更加连贯、合理。
第2章 零信任视角:本章向读者介绍了对零信任的常见认知,以及各类企业如何调整零信任的基本概念以满足自身的需求。另外,本章还将探讨为什么零信任花了这么长的时间才在安全领域获得关注。在本章的最后,将提示相关论述中的共同点。
第3章 定义零信任:在这一章中,读者将深入了解零信任标准,最终掌握零信任的核心理念。像NIST这样的框架将在本章中被讨论。这是所有零信任实践中的一个重要步骤,旨在让相关人员了解他们正在参与的内容。本章将涵盖零信任的基本原则以及一些加速采纳过程的催化因素。
第二阶段:与愿景和使命保持一致,并制定成功指标
第4章 始终从“为什么”开始:本章的目的是引导读者了解大多数企业的领导者的常见业务和技术驱动因素。核心在于展示零信任的推行离不开领导层的支持,且推行始终是自上而下的。除了常见的商业和技术驱动因素,读者还将了解一些采用零信任架构的具体案例。
第5章 衡量零信任成功:本章深入探讨了读者如何根据相关人员的反馈,构建绩效和风险指标,从而衡量零信任策略的成功与否。本章还将探讨可用于创建定制化零信任指标的各种方法。这些方法包括战略、战术和运营方面的测量方法,以及定性和定量
指标。
第6章 理解零信任成熟度:一旦指标被确定,就需要深入企业内部,从人员、流程和技术的角度来了解目前的情况。本章采用一个既定的成熟度模型来展示如何衡量企业的零信任成熟度、识别差距。
第三阶段:识别关键利益相关者并组建零信任团队
第7章 零信任,集结:“没有人是一座孤岛”,任何策略都不可能仅凭一个团队成功实施。零信任的多面性要求我们创建一个高度活跃的敏捷团队来支持整体策略。本章列出了构建和管理零信任架构所需的关键人员,包括领导层和专家。
第四阶段:开发零信任架构
第8章 构建零信任架构:如果你已经和领导交流过,并且建立了一个团队和框架来衡量零信任策略的效果,那么现在是时候开始动手设计架构了。这一章将介绍零信任架构的关键术语,讨论零信任架构如何覆盖现有的网络和安全流程,以及零信任策略的概念。本章还将介绍零信任架构的基本流程,这将成为扩展到多个业务流程的关键基础。最后,讨论软件定义边界(SDP)。
第9章 零信任架构的关键安全机制:本章将介绍零信任架构正常运行所需的关键安全机制,如身份与访问管理、分段、应用程序等主题。
第五阶段:展示零信任策略和指标
第10章 展示零信任策略:一旦架构到位并设计了衡量指标,零信任团队将向董事会展示其策略。他们的主要目的是向董事会证明投资的回报和风险的降低。本章列出了展示策略和指标的方法,读者需要根据提供的各种策略来定制他们的演示内容。
第六阶段:实施、监控、反馈、重复
第11章 实施与持续监控:现在,你已经得到了领导层的支持,建立了一支强大的零信任团队,并拥有了一个可行的架构蓝图,本章将介绍下一步实施步骤,以实现零信任架构的有效运营。基于与多家企业的合作经验,这里将重点介绍一个典型的实施方法。
第12章 前方的道路:到这里为止,你的零信任实施已经完成,但旅程才刚刚开始。随着技术的创新以及零信任理念在各个方面的应用,本章介绍了零信任生命周期框架,这对于任何开始零信任旅程的企业来说都极为有用。这一框架是全书所有概念融会贯通。本章将这些概念汇聚在一起,展望了一个安全的未来,以及零信任作为一种理念如何引领企业朝着这一共同愿景前进。
目录
上拉下滑查看目录 ↓
Contents目 录
目 录
译者序
前言
致谢
关于技术审稿人
第一阶段 观念
第1章 一切从何开始 2
1.1 访谈策略 3
1.2 本书涉及的关键利益相关者 4
1.2.1 乔纳森·史密斯—首席信息官(CIO) 5
1.2.2 克里斯托弗·伊顿—首席信息
安全官(CISO) 5
1.2.3 萨曼莎·李—首席运营官
(COO) 6
1.2.4 大卫·陈—首席技术官
(CTO) 6
1.2.5 访谈 7
第2章 零信任视角 11
2.1 延迟采纳 12
2.1.1 观念和认知 12
2.1.2 安全架构与技术 14
2.1.3 人员及相关技能 16
2.1.4 流程与成熟度 17
2.2 剥开零信任洋葱 18
2.2.1 Illumio对零信任的定义 19
2.2.2 CrowdStrike对零信任的定义 19
2.2.3 思科对零信任的看法 20
2.2.4 Palo Alto对零信任的看法 20
2.2.5 Zscaler对零信任的定义 20
2.2.6 Forcepoint对零信任的看法 21
2.2.7 Cloudflare对零信任的定义 21
2.2.8 微软对零信任的看法 21
2.2.9 HashiCorp对零信任的看法 22
2.2.10 反复出现的关键词 22
2.2.11 访谈 23
本章参考文献 24
第3章 定义零信任 25
3.1 零信任不是什么 26
3.1.1 产品 26
3.1.2 新技术潮流 26
3.1.3 只有在最好的硬件支持下才能
实现 26
3.1.4 仅靠身份与访问管理或多因素
认证实现零信任 27
3.1.5 网络分段的效果 27
3.1.6 安全项目 27
3.1.7 限制性规则 27
3.2 零信任标准化 27
3.3 零信任洋葱模型的核心 29
3.4 我们剥完洋葱后会流泪吗 31
3.5 重新思考安全:一个常见的安全漏洞
场景 31
3.6 零信任的理念与原则 32
3.6.1 避免创建隐性信任 33
3.6.2 基于动态风险和上下文的访问
控制 33
3.6.3 一次授权并不意味着永久授权 34
3.6.4 更多信息即好信息 35
3.6.5 自动化程序和简单流程的编排 36
3.6.6 从“为什么”开始 36
3.7 零信任的催化因素 37
3.7.1 资产清单 37
3.7.2 身份与访问管理 38
3.7.3 分段 39
3.7.4 开放心态 40
3.7.5 实现统一的策略执行 40
3.7.6 整合有效的信息源 41
3.7.7 实施有效的自动化和编排 41
3.7.8 软件定义“一切” 41
3.7.9 访谈 42
本章参考文献 43
第二阶段 与愿景和使命保持一致,
并制定成功指标
第4章 始终从“为什么”开始 46
4.1 抽出时间问为什么:理解愿景 47
4.2 将零信任与企业愿景对齐 48
4.2.1 首席信息安全官(CISO)对零
信任的看法 48
4.2.2 业务驱动因素 50
4.2.3 技术驱动因素 56
4.3 企业采纳零信任的常见驱动因素 59
4.3.1 企业服务的无VPN访问 59
4.3.2 统一策略在各地的执行 64
4.3.3 确保第三方或供应商的安全
访问 69
4.3.4 云迁移与多云架构 72
4.3.5 跨工作负载的可见性与控制 77
4.4 重要的是“为什么” 80
4.5 访谈 80
本章参考文献 83
第5章 衡量零信任成功 84
5.1 可衡量的重要性 85
5.2 评估指标的生命周期 86
5.2.1 步骤1:对齐指标 86
5.2.2 步骤2:制定指标 89
5.2.3 步骤3:展示指标 107
5.2.4 步骤4:监控指标 107
5.3 混合方法 107
5.4 后续行动 107
本章参考文献 112
第6章 理解零信任成熟度 113
6.1 零信任五大成熟度支柱 114
6.1.1 身份支柱(主体和客体) 114
6.1.2 设备支柱(终端安全) 117
6.1.3 网络与多云环境(位置与接入
媒介)支柱 119
6.1.4 应用程序与工作负载支柱
(工作负载配置文件) 121
6.1.5 数据支柱(成熟度模型的核心) 124
6.1.6 可见性和分析、自动化和编排、
治理 125
6.2 零信任成熟度水平 127
6.2.1 零信任过程成熟度 127
6.2.2 零信任安全控制成熟度 127
6.3 零信任成熟度目标 130
6.3.1 初级 130
6.3.2 高级 130
6.3.3 最佳 130
6.4 成熟度的衡量 131
6.4.1 身份和设备的零信任成熟度 131
6.4.2 网络和多云环境的零信任
成熟度 133
6.4.3 应用程序和数据的零信任
成熟度 135
6.4.4 可见性、自动化和编排的零信任
成熟度 138
6.5 零信任评分过程 140
6.6 后续行动 141
本章参考文献 146
第三阶段 识别关键利益相关者
并组建零信任团队
第7章 零信任,集结 148
7.1 团队为何至关重要 148
7.1.1 架构、设计与实施方面的专业
知识 149
7.1.2 合作与反馈 149
7.1.3 维护与操作 149
7.1.4 零信任架构的无缝集成,实现
端到端的安全防护 150
7.2 策略与部署:硬币的两面 150
7.3 安全归属 150
7.4 打破壁垒(基础设施、运营与
安全) 151
7.5 DevSecOps与零信任的相关性 152
7.5.1 安全软件开发 153
7.5.2 持续集成和持续部署的安全
实践 154
7.6 零信任团队的关键利益相关者 155
7.6.1 执行领导层:零信任的
支持者 155
7.6.2 零信任的专家技术人员:零信任的使能者 157
7.6.3 外部反馈 162
7.6.4 终端用户 162
7.7 利益相关者管理 162
7.8 安全文化:拼图的最后一块 164
7.8.1 安全倡导者 164
7.8.2 具体活动 164
7.8.3 专注于士气,而不是责备 164
7.8.4 在所有业务领域驱动和引领
安全 165
7.8.5 信任并赋能你的终端用户 165
7.8.6 内部恶意人员:不信任
任何人 165
7.9 后续行动 166
本章参考文献 167
第四阶段 开发零信任架构
第8章 构建零信任架构 170
8.1 典型的企业架构 170
8.1.1 不受信任的分段 172
8.1.2 可信的分段 175
8.2 零信任架构覆盖 179
8.2.1 主体 180
8.2.2 客体 180
8.2.3 策略决策点(用于策略引擎和
策略管理) 180
8.2.4 策略信息点 181
8.2.5 策略执行点 181
8.3 概念性零信任架构 184
8.3.1 主体 184
8.3.2 客体 184
8.3.3 策略执行点 185
8.3.4 策略决策点 188
8.3.5 策略信息点 189
8.4 零信任策略是什么样的 191
8.5 零信任架构中的信息流 194
8.6 零信任系统中的基本通信流 194
8.6.1 用户到用户(非标准客体流) 195
8.6.2 用户到服务(常见的宏观
飞地) 196
8.6.3 用户或服务到互联网(常见的
出站互联网流) 197
8.6.4 服务到服务(微隔离流) 199
8.7 软件定义边界 201
8.7.1 SDP的原则 201
8.7.2 SDP的方法论 202
8.7.3 架构组件 202
8.7.4 部署模型 204
8.8 深入探索 208
本章参考文献 208
第9章 零信任架构的关键安全机制 209
9.1 针对主体(用户和设备)的零信任
机制 209
9.1.1 身份与访问管理 210
9.1.2 用户隔离 214
9.1.3 多因素认证 215
9.1.4 终端主体分析 216
9.1.5 设备状态检查 216
9.1.6 移动设备管理 217
9.1.7 自带设备 217
9.1.8 特权访问管理 218
9.1.9 DNS和URL过滤 220
9.1.10 电子邮件安全 220
9.1.11 远程浏览器隔离 220
9.2 针对网络(工作场所)的零信任
机制 221
9.2.1 云访问安全代理 221
9.2.2 宏分段及相关安全控制(下一代防火墙和下一代入侵防御系统) 221
9.2.3 分支机构直接访问互联网 224
9.2.4 分支机构的SD-WAN 224
9.2.5 零信任不需要解密(端到端
加密) 225
9.2.6 流量可见性和流量衔接 225
9.2.7 网络访问控制 226
9.3 针对数据和应用程序的零信任机制 226
9.3.1 微隔离及其意义 227
9.3.2 数据安全 228
9.3.3 资产管理和自动化 229
9.4 通过安全编排和自动化实现可见性的
零信任机制 229
9.4.1 投资于安全情报 230
9.4.2 安全运营中心能力 231
9.4.3 威胁狩猎 232
9.4.4 识别内部恶意人员 233
9.4.5 安全分析 234
9.4.6 安全编排与自动化响应 236
9.5 深入探索 240
本章参考文献 241
第五阶段 展示零信任策略和指标
第10章 展示零信任策略 244
10.1 向企业展示零信任 244
10.1.1 定位感知 245
10.1.2 展示与总体业务策略的
一致性 246
10.1.3 评估现有成熟度 248
10.1.4 展示最佳零信任团队 248
10.1.5 展示指标 249
10.1.6 展示战略与路线图 249
10.1.7 展示整体安全态势的增强 249
10.1.8 展示预算 250
10.1.9 展示攻击杀伤链与零信任相
关性 250
10.1.10 强调用户教育的重要性 251
10.1.11 面对未来的准备 251
10.2 展示 251
第六阶段 实施、监控、反馈、重复
第11章 实施与持续监控 258
11.1 不要忽视网络漏洞 258
11.2 框架仅仅是一个参考 258
11.3 采用敏捷方法实施项目,以SAFe
交付整体战略 259
11.4 实现愿景 261
11.4.1 基于支柱的方法 261
11.4.2 基于用例的方法
(结合SASE) 263
11.5 监控与优化 264
11.5.1 监测指标 265
11.5.2 挑战策略 265
11.5.3 继续教育与意识提升 265
11.5.4 维持动力 265
11.6 偶然的邂逅 266
第12章 前方的道路 267
12.1 做一个值得信赖的零信任伙伴 268
12.2 向着远方共同前进 269
本章参考文献 270
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Z2O安全攻防 新书速递→ 新书速递→《从零开始学习零信任安全》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论