書名:零信任網路|在不受信任的網路中建構安全系統
原文書名:
產品代碼:
9789865026332系列名稱:
網路/架站系列編號:
A648定價:
480元作者:
Evan Gilman/Doug Barth譯者:
江湖海頁數:
244頁開數:
18.5x23x1.36裝訂:
平裝上市日:
20201130出版日:
20201130出版社:
歐萊禮CIP:
略市場分類:
電腦資訊產品分類:
書籍免稅聯合分類:
電腦資訊類- ※缺書中
商品簡介
利用防火牆隔離的方式來保護網路,其實不如想像般可靠,在防火牆後面的主機沒有自我防禦能力,一旦位於所謂「信任區域」的主機遭受入侵,資料中心也會隨之遭殃。本書向您推薦零信任模型,它將所有主機都視為直接面對網際網路般不安全,整個網路都有受到威脅和惡意攻擊的可能。
本書將告訴您零信任模型何以能讓我們專注於建構具強大身分驗證、授權和加密的系統,如何為使用者劃分不同存取權限,又同時兼顧良好的使用體驗。同時將帶領您了解零信任網路的架構,以及如何利用現有技術來建構零信任網路。
.利用零信任模型將安全嵌入系統作業之中,而不是將它布置於表層之上
.剖析形成零信任網路的代理員和信任引擎等重要概念
.使用既有技術為網路中的參與者建立彼此的信任
.將邊界安全網路裡的正式作業環境遷移到零信任網路
.探討在用戶端(Google)和伺服器端(PagerDuty)的零信任建構案例
利用防火牆隔離的方式來保護網路,其實不如想像般可靠,在防火牆後面的主機沒有自我防禦能力,一旦位於所謂「信任區域」的主機遭受入侵,資料中心也會隨之遭殃。本書向您推薦零信任模型,它將所有主機都視為直接面對網際網路般不安全,整個網路都有受到威脅和惡意攻擊的可能。
本書將告訴您零信任模型何以能讓我們專注於建構具強大身分驗證、授權和加密的系統,如何為使用者劃分不同存取權限,又同時兼顧良好的使用體驗。同時將帶領您了解零信任網路的架構,以及如何利用現有技術來建構零信任網路。
.利用零信任模型將安全嵌入系統作業之中,而不是將它布置於表層之上
.剖析形成零信任網路的代理員和信任引擎等重要概念
.使用既有技術為網路中的參與者建立彼此的信任
.將邊界安全網路裡的正式作業環境遷移到零信任網路
.探討在用戶端(Google)和伺服器端(PagerDuty)的零信任建構案例
作者簡介
Evan Gilman是一位電腦網路工程師,有紮實的學術基礎,目前活躍於網路社群,畢生都在危險網路環境中奮戰,致力建構和維運安全的資訊系統,他也是一位開源專案貢獻者、講者和作家,專注設計能與所運行的網路環境達成平衡的安全系統。
Doug Barth是一位軟體工程師,喜歡學習並與他人分享心得,曾在Orbitz和PagerDuty等公司管理過不同規模的系統,建置監控系統、網狀網路和錯誤注入,並傳授如何實踐前述技術。
Betsy Beyer提供本書Google BeyondCorp案例研討的文稿,是Google紐約分部專責網站可靠性工程的技術文件作家,也是Site Reliability Engineering: How Google Runs Production Systems的作者之一。之前曾為Google資料中心和硬體維運團隊撰寫文件,在移居紐約之前是史丹佛大學的技術寫作講師,擁有史丹佛和杜蘭大學的學位。
推薦序/導讀/自序
首先感謝讀者選讀本書!筆者多年來致力於充滿敵意的網路中建立可信任系統,建構和設計此類系統過程中,發現同業們為了解決基本的安全性問題時,因受到阻礙而心灰意冷,筆者衷心祈盼同業能夠更積極朝著建構安全系統邁進,力圖解決遭遇的問題。
為了達成此目標,建議採取全新的觀點來建立和維護安全網路。安全必須融入系統運作的基礎中,而不是完成某些被重視的部分之後,再疊加上去,安全必須自始至終存在,目的在增強系統能力而不是限制它的行為,本書提出諸多設計模式和注意事項,只要遵循這些建議,就能夠彈性地建立足以應付現今主流攻擊的安全系統。
整體而言,這些設計模式和注意事項的集合即所謂的零信任模型,在此模型中,沒有什麼是理所當然的,每個的存取請求都必須通過嚴格檢查,確保得到授權,無論來自咖啡館裡的顧客設備或資料中心裡的伺服器,此模型幾乎可以解決橫向移動攻擊、惱人VPN設定和集中式防火牆管理等維運成本,這確實是異於往常的模型,筆者深信它是安全網路和基礎設施的未來設計方向。
安全是複雜且變化快速的工程領域,要能有效掌握,必須深入理解系統各層面的技術,知曉攻擊者如何利用各層面的錯誤或弱點,突破防護並取得系統控制權。雖然防禦系統安全得面臨無限挑戰,但也充滿學習樂趣!希望讀者比我們更能徜徉在學習的歡樂中!