X-SDP：零信任新紀元

第1章 網路安全領域的基本概念 1
1.1 信息安全與網路安全 1
1.1.1 信息安全 1
1.1.2 網路安全 2
1.1.3 信息安全與網路安全的關係 3
1.2 數據安全 4
1.2.1 數據安全的兩層含義 4
1.2.2 數據隱私與數據合規 5
1.2.3 數據防洩露 5
1.2.4 數據安全與網路安全的關係 6
1.3 網路安全常見分類方式 7
1.3.1 能力類型視角 7
1.3.2 建設任務視角 8
1.4 防入侵——網路安全最關鍵的子領域 9

第2章 從E->A場景的網路變遷談邊界模糊化 12
2.1 E->A場景下的網路變遷 13
2.1.1 職場側網路變遷 14
2.1.2 應用側網路變遷 16
2.2 典型的網路安全架構——安全邊界 19
2.2.1 安全邊界網路架構的安全標準 19
2.2.2 基於分區分域的安全邊界 21
2.2.3 大型機構的典型網路 22
2.3 網路邊界模糊化問題及成因 24

第3章 E->A場景下的威脅與挑戰 27
3.1 各環節面臨的威脅與挑戰 27
3.1.1 終端面臨的安全威脅與挑戰 29
3.1.2 帳號面臨的安全威脅與挑戰 30
3.1.3 應用面臨的安全威脅與挑戰 32
3.1.4 整體安全態勢變化帶來的宏觀威脅 34
3.2 防入侵和防洩露 36
3.2.1 防入侵和防洩露威脅概覽 36
3.2.2 從另一個視角理解防入侵和防洩露 39

第4章 E->A場景下典型安全解決方案與零信任 40
4.1 多個視角理解E->A場景下的安全架構 40
4.1.1 安全架構全景概覽 40
4.1.2 安全技術體系架構 42
4.2 典型安全方案的困境與零信任 47
4.2.1 典型安全方案的困境 47
4.2.2 網路邊界模糊化帶來的問題 48
4.2.3 應運而生的零信任 50
4.2.4 零信任的邏輯架構 52
4.2.5 國際零信任發展簡史 54
4.2.6 國內零信任發展簡史 56

第5章 零信任典型方案盤點 57
5.1 E->A場景的網路組成 57
5.1.1 企業網 58
5.1.2 企業網的典型網路磁碟分割 58
5.1.3 關聯網路區域 59
5.1.4 零信任的保護範圍 60
5.2 零信任方案子場景 61
5.3 零信任的關鍵特徵 62
5.4 產品型流派之SDP 64
5.4.1 從VPN到SDP 65
5.4.2 SDP的子流派 69
5.5 增強型IAM 72
5.5.1 增強型IAM與SDP的關鍵區別 72
5.5.2 增強型IAM的典型適用場景 73
5.5.3 增強型IAM產品特性 73
5.6 微隔離 74
5.7 零信任API閘道 75
5.8 終端數據沙箱 75
5.9 遠程流覽器 77
5.10 零信任方案的補充技術 78
5.10.1 E->A場景下的補充技術 78
5.10.2 E->E場景下的典型安全技術 81
5.10.3 終端安全 82
5.10.4 終端防洩露 84
5.11 雲管端綜合型方案 88
5.12 終端ALL IN ONE方案 90
5.13 安全訪問服務邊緣 92
5.13.1 IA和PA 93
5.13.2 優勢與劣勢 93

第6章 深入瞭解SDP與ZTNA 95
6.1 端點啟動和服務啟動 95
6.1.1 端點啟動 95
6.1.2 服務啟動 97
6.2 深入瞭解SDP 100
6.2.1 SDP和雲安全聯盟 100
6.2.2 SPA 101
6.2.3 SPA的代際之爭 109
6.2.4 5層防禦與4層認證 115
6.2.5 SDP其他場景設想 117
6.3 部署模式 118
6.3.1 飛地閘道 118
6.3.2 資源門戶 119
6.3.3 其他 120

第7章 從SDP到X-SDP的演進 122
7.1 SDP與SSL VPN 122
7.1.1 SDP產品與基於SDP的多元件方案 123
7.1.2 特性能力 123
7.1.3 安全防禦效果 128
7.2 什麼是X-SDP 131
7.2.1 SDP面臨的挑戰 131
7.2.2 X-SDP應運而“升” 135

第8章 原生零誤報即時鑒黑及回應能力 137
8.1 鑒黑的發展歷程 138
8.1.1 防病毒：靜態特徵＋定期更新 139
8.1.2 端點保護平臺：靜態特徵＋雲端協同 140
8.1.3 端點檢測與回應：從靜態特徵到動態行為特徵 146
8.1.4 擴展檢測和回應：多源遙測特徵＋人工智慧 146
8.2 從特徵檢測到欺騙防禦 148
8.2.1 攻防不對稱 149
8.2.2 欺騙技術：從大數據到正確數據 150
8.3 典型欺騙技術 151
8.3.1 概述 151
8.3.2 部署形式 152
8.3.3 優勢與不足 153
8.3.4 適用場景 156
8.3.5 基於應用代理的嵌入式蜜罐 157
8.3.6 X-SDP和帳號蜜罐 159
8.4 X-SDP鑒黑的關鍵特徵 160
8.4.1 原生鑒黑 161
8.4.2 零誤報鑒黑 164
8.4.3 即時鑒黑 164
8.5 X-SDP融合欺騙的優勢 165
8.5.1 與典型欺騙對比 165
8.5.2 與典型DR檢測對比 167
8.6 X-SDP鑒黑完全態 167
8.6.1 羽量級IoC 167
8.6.2 羽量級IoA 168
8.6.3 漏報率 168
8.6.4 性能與穩定性 169

第9章 基於三道防線的體系化縱深防禦能力 171
9.1 SDP的三道防線 171
9.1.1 邊界接入閘道的核心原理 172
9.1.2 關鍵環節分析 173
9.2 帳號防線的縱深防禦 175
9.3 終端防線的縱深防禦 177
9.4 設備防線的縱深防禦 178
9.5 從攻擊視角解讀 180
9.5.1 滲透和後滲透 180
9.5.2 網路殺傷鏈 180
9.5.3 ATT&CK 182
9.5.4 帳號防線面臨的攻擊 193
9.5.5 終端防線面臨的攻擊 196
9.5.6 設備防線面臨的攻擊 198
9.6 3＋X攻防一體化縱深防禦架構 201
9.6.1 D3FEND框架 202
9.6.2 其他防禦框架 207

第10章 主動威脅預警能力 211
10.1 X-SDP全鏈路可視 211
10.1.1 縱深防線可視 212
10.1.2 會話級溯源可視 216
10.2 主動威脅預警 217

第11章 SPA的持續演進 218
11.1 優秀的SDP產品應具備的內核能力 218
11.2 SPA的演進 223
11.2.1 SPA認證因數的主要形式 223
11.2.2 第3.5代SPA 227
11.2.3 第4代SPA 228
11.2.4 一次一碼的典型實現 229
11.3 後續演進與展望 232
11.3.1 高安全新一代SPA：基於硬體的SPA 232
11.3.2 SPA技術的體驗影響 233

第12章 全網終端認證 234
12.1 終端認證 234
12.1.1 典型方案 235
12.1.2 優劣勢分析 236
12.1.3 落地障礙 238
12.2 什麼是全網終端認證 238
12.2.1 認證的基本因素 239
12.2.2 典型的雙因素認證舉例 239
12.2.3 認證的本質 239
12.2.4 信任傳遞 240
12.2.5 適用場景 241
12.2.6 典型流程 242

第13章 優異的接入體驗 247
13.1 SDP登錄耗時 247
13.2 新建連接耗時 249
13.3 應用訪問輸送量 256

第14章 高可用和分散式多活 259
14.1 CISSP中的業務連續性計畫與災難恢復計畫 259
14.2 技術視角的高可用和災難恢復 260
14.2.1 RTO和RPO 260
14.2.2 可用性目標 261
14.2.3 HA的典型模式 262
14.2.4 DR的典型模式 265
14.2.5 SDP的HA與DR 268
14.3 SDP能力評估 271
14.3.1 SDP控制器的HA能力評估 271
14.3.2 SDP控制器的DR能力評估 274
14.3.3 SDP代理閘道的HA與DR能力評估 275

第15章 X-SDP典型應用案例 278
15.1 金融領域典型應用案例 278
15.1.1 案例背景 278
15.1.2 應用場景 280
15.1.3 解決方案 282
15.1.4 效果及價值 285
15.2 大型企業典型應用案例 286
15.2.1 案例背景 286
15.2.2 應用場景 287
15.2.3 解決方案 288
15.2.4 效果及價值 289

第16章 X-SDP展望 291
16.1 X-SDP和防入侵 291
16.1.1 X-SDP的安全等級 292
16.1.2 X-SDP的防入侵效果展望 293
16.2 X-SDP和防洩露 295
16.3 走向E->A場景下的全網零信任 296
16.3.1 E->A場景下的全網零信任 297
16.3.2 未來已來 299

參考文獻 301

郭炳梁，深圳南山區領航人才，程式師、產品經理，曾任VDI雲桌面首席開發架構師。擔任某頭部零信任產品的產品線負責人，主導零信任產品從概念到落地的孵化過程，提出X-SDP主動防禦理念，致力於零信任在多行業的落地實踐。熱愛總結分享，公眾號“非典型產品經理”作者。
 
楊志剛，註冊資訊安全專業人員，雲安全聯盟大中華區研究專家，零信任認證專家、講師。在安全領域擁有十餘年從業經驗，專注于零信任、SDP、移動安全等領域，説明眾多行業客戶進行安全規劃與建設，擁有豐富的零信任實戰落地經驗。