零信任安全从入门到精通
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

序二

零信任代表新一代的网络安全防护理念,零信任思想的起源可以追溯到1994年由Jericho Forum提出的“去边界化”网络安全概念,而“零信任”这个词则是由国际知名IT技术和市场咨询公司Forrester原首席分析师John Kindervag于2010年首次提出的。零信任思想摒弃了“信任但验证”的传统方法,将“从不信任、始终验证”(Never Trust,Always Verify)作为其指导方针,默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。零信任正在快速地发展,全球越来越多的组织都在拥抱零信任。2021年,工业和信息化部发布的《网络安全产业高质量发展三年行动计划(2021-2023年)》提出要发展创新安全技术,加快开展零信任框架等安全体系研发。2021年,美国第14028号总统行政令要求在整个政府范围内启动零信任框架迁移,借此帮助美国实现增强对网络攻击活动的现代化防御能力。2022年美国白宫发布编号为M-22-09的零信任战略,要求联邦政府能在未来两年内逐步采用零信任安全架构,以抵御现有威胁并增强整个联邦层面的网络防御能力。

产业界将零信任在各组织与业务场景中落地,需要大批拥有零信任专业知识的安全从业人员,本书是一本从信息安全基础知识开始,使安全从业人员迅速掌握零信任专业知识的教科书和参考书,也是云安全联盟(CSA)的零信任专家认证(CZTP)课程的官方教材。CSA是业界领先的零信任倡导者和实践者,率先提出了零信任解决方案软件定义边界(SDP),CSA大中华区的专家为SDP的发展做出了积极贡献,并在此基础上,通过CZTP课程和本书全面阐释了零信任的理念、架构、技术、应用场景等,希望本书的读者不仅能顺利通过CZTP考试,也能把所学的专业知识用于工作实践。

云安全联盟(CSA)大中华区主席兼研究院院长

李雨航(Yale Li)