وبلاگ بلیان

Zero Trust Security : An Enterprise Guide

جلد کتاب Zero Trust Security : An Enterprise Guide

معرفی کتاب «Zero Trust Security : An Enterprise Guide» نوشتهٔ Jason Garbis و Jerry W. Chapman، منتشرشده توسط نشر Apress : Imprint: Apress در سال 2021. این کتاب در 301 صفحه، فرمت pdf، زبان انگلیسی ارائه شده است. «Zero Trust Security : An Enterprise Guide» در دستهٔ ریاضیات قرار دارد.

در عصری که حملات سایبری پیچیده‌تر از همیشه شده‌اند، اتکا به دیواره‌های آتشین محیطی دیگر کافی نیست. کتاب «امنیت اعتماد-صفر: راهنمای سازمانی» (Zero Trust Security: An Enterprise Guide) اثر جیسون گاربیس و جری دبلیو. چپمن، راهنمای جامعی است که فلسفه‌ی امنیتی نوینِ «هرگز اعتماد نکن، همیشه تأیید کن» را از یک شعار به معماری قابل اجرا تبدیل می‌کند و به سازمان‌ها در عبور از رویکردهای منسوخِ مبتنی بر پیرامون یاری می‌رساند.

دربارهٔ کتاب — گذار از امنیت محیطی به امنیت مبتنی بر هویت

کتاب با شناخت این واقعیت آغاز می‌شود که مدل‌های امنیتی سنتی، که بر فرضِ وجود یک «داخل» امن و «خارج» ناامن استوارند، در برابر تهدیدات مدرن به‌طور قابل‌توجهی ناکارآمد بوده‌اند. «امنیت اعتماد-صفر» این پارادایم را به‌چالش می‌کشد و رویکردی پویا، مبتنی بر هویت و خط‌مشی را پیشنهاد می‌دهد که در آن به هیچ کاربر، دستگاه یا ترافیکی، چه درون شبکه و چه بیرون از آن، به‌طور پیش‌فرض اعتماد نمی‌شود. نویسندگان با تکیه بر تجربهٔ گستردهٔ خود در حوزهٔ امنیت سازمانی، نشان می‌دهند که چگونه می‌توان این تغییر بنیادین را بدون کنارگذاشتن سرمایه‌گذاری‌های پیشین، بلکه با بهره‌گیری هوشمندانه از آنها، به‌سرانجام رساند. این کتاب فراتر از یک اثر صرفاً نظری، به عنوان یک نقشهٔ راه عملی برای تیم‌های امنیتی عمل می‌کند. گاربیس و چپمن با بررسی مؤلفه‌های کلیدی معماری سازمانی، از مدیریت هویت و دسترسی (IAM) و زیرساخت شبکه گرفته تا راه‌حل‌های ابری و دستگاه‌های اینترنت اشیاء، چارچوبی منسجم برای پیاده‌سازی گام‌به‌گام اعتماد-صفر ارائه می‌دهند. یکی از نکات برجستهٔ کتاب، تأکید بر شناسایی پروژه‌هایی است که می‌توانند مزایای امنیتی فوری به همراه داشته باشند و بدین‌ترتیب، سازمان را برای سفری موفق و تدریجی به سوی این معماری آماده می‌سازند. ساختار کتاب به گونه‌ای است که خواننده را از مفاهیم پایه تا سناریوهای پیچیدهٔ پیاده‌سازی پیش می‌برد و او را برای طراحی یک معماری اعتماد-صفرِ معتبر و قابل دفاع توانمند می‌سازد.

دربارهٔ نویسنده

جیسون گاربیس (Jason Garbis) بنیان‌گذار و مدیر اصلی شرکت مشاوره‌ای Numberline Security است که در زمینهٔ آموزش و خدمات مشاوره‌ای امنیت اعتماد-صفر تخصص دارد. او یکی از اعضای فعال انجمن صنعت امنیت اعتماد-صفر (Zero-Trust Security Industry Group) است. جری دبلیو. چپمن (Jerry W. Chapman) نیز در کنار گاربیس، نویسندهٔ این کتاب مرجع است و هر دو به‌عنوان متخصصانی برجسته در زمینهٔ پیاده‌سازی عملی این معماری در سازمان‌های بزرگ شناخته می‌شوند. همکاری این دو نویسنده، کتاب را به منبعی معتبر و جامع برای مدیران ارشد امنیت اطلاعات (CISO) و معماران امنیت تبدیل کرده است.

چرا باید «امنیت اعتماد-صفر» را بخوانید؟

  • درک بنیادین از امنیت اعتماد-صفر: با اصول کلیدی و ضرورتِ حیاتیِ اتخاذ این رویکرد در سازمان خود آشنا می‌شوید و ابهامات رایج دربارهٔ این مفهوم را برطرف می‌کنید.
  • ارائهٔ راهنمای گام‌به‌گام و عملی: برخلاف کتاب‌های صرفاً نظری، این اثر با ارائهٔ تحلیل‌های فنی و راهنمایی‌های معماری، مسیر مشخصی را برای حرکت تدریجی به سوی پیاده‌سازی اعتماد-صفر ترسیم می‌کند.
  • بهینه‌سازی زیرساخت‌های موجود: می‌آموزید چگونه از سرمایه‌گذاری‌های پیشین خود در حوزه‌هایی مانند مدیریت هویت و دسترسی، سیستم‌های تشخیص نفوذ و مدیریت رویدادهای امنیتی، در چارچوب جدید بهره ببرید.
  • تصمیم‌گیری آگاهانه: با مطالعهٔ این کتاب، درک روشنی از تأثیرات این سفر بر معماری سازمانی خود پیدا کرده و می‌توانید دربارهٔ چگونگی، زمان و مکانِ به‌کارگیری معماری اعتماد-صفر تصمیمات مدون بگیرید.
  • شناسایی پروژه‌های زودهنگام با بازدهی بالا: نویسندگان به شما کمک می‌کنند تا پروژه‌هایی را شناسایی کنید که در کوتاه‌مدت، مزایای امنیتی قابل‌توجهی را برای سازمان شما به ارمغان می‌آورند.

این کتاب برای چه کسانی مناسب است؟

این کتاب به‌عنوان منبعی حیاتی برای طیف گسترده‌ای از متخصصان حوزهٔ امنیت و فناوری اطلاعات طراحی شده است. مدیران ارشد امنیت اطلاعات، معماران امنیت سازمانی، مهندسان شبکه و امنیت، و همچنین هر متخصصی که به دنبال درک عمیق و عملی از فلسفهٔ اعتماد-صفر و چگونگی تطبیق آن با محیط‌های پیچیدهٔ سازمانی است، مخاطب اصلی این اثر محسوب می‌شوند. این کتاب همچنین برای مشاوران و استراتژیست‌هایی که به دنبال ارائهٔ راهکارهای نوین امنیتی به سازمان‌ها هستند، منبعی ارزشمند و قابل‌استناد است.

سوالات متداول

آیا این کتاب صرفاً نظری است یا راهنمای عملی نیز محسوب می‌شود؟

این کتاب یک راهنمای جامع و عملی است که با ارائهٔ تحلیل‌های معماری و بررسی سناریوهای مختلف، به سازمان‌ها در طراحی و پیاده‌سازی گام‌به‌گام امنیت اعتماد-صفر کمک می‌کند. با این حال، برخی از خوانندگان به این نکته اشاره کرده‌اند که کتاب بر مبانی نظری و الگوها تمرکز دارد و کمتر به بررسی محصولات و راه‌حل‌های تجاری خاص بازار می‌پردازد.

آیا برای درک این کتاب، پیش‌زمینهٔ عمیق فنی نیاز است؟

این کتاب برای متخصصان حوزهٔ امنیت و فناوری اطلاعات در سطوح مختلف نوشته شده است. اگرچه داشتن آشنایی با مفاهیم پایه‌ای شبکه و امنیت مفید است، اما کتاب به‌گونه‌ای تدوین شده که برای طیف گسترده‌ای از مخاطبان، از مدیران ارشد گرفته تا مهندسان امنیت، قابل‌درک و مفید باشد.

آیا این کتاب به چالش‌های پیاده‌سازی در سازمان‌های بزرگ نیز می‌پردازد؟

بله، یکی از نقاط قوت اصلی کتاب، توجه ویژه به پیچیدگی‌های محیط‌های سازمانی بزرگ است. نویسندگان با درک این چالش‌ها، راهنمایی‌های واقع‌بینانه‌ای برای برنامه‌ریزی و اجرای موفقیت‌آمیز این سفر ارائه می‌دهند و بر لزوم رویکردی تدریجی و مبتنی بر پروژه‌های زودهنگام با بازدهی بالا تأکید می‌ورزند.

Understand how Zero Trust security can and should integrate into your organization. This book covers the complexity of enterprise environments and provides the realistic guidance and requirements your security team needs to successfully plan and execute a journey to Zero Trust while getting more value from your existing enterprise security architecture. After reading this book, you will be ready to design a credible and defensible Zero Trust security architecture for your organization and implement a step-wise journey that delivers significantly improved security and streamlined operations. Zero Trust security has become a major industry trend, and yet there still is uncertainty about what it means. Zero Trust is about fundamentally changing the underlying philosophy and approach to enterprise security—moving from outdated and demonstrably ineffective perimeter-centric approaches to a dynamic, identity-centric, and policy-based approach. Making this type of shift can be challenging. Your organization has already deployed and operationalized enterprise security assets such as Directories, IAM systems, IDS/IPS, and SIEM, and changing things can be difficult. Zero Trust Security uniquely covers the breadth of enterprise security and IT architectures, providing substantive architectural guidance and technical analysis with the goal of accelerating your organization‘s journey to Zero Trust. What You Will Learn Understand Zero Trust security principles and why it is critical to adopt them See the security and operational benefits of Zero Trust Make informed decisions about where, when, and how to apply Zero Trust security architectures Discover how the journey to Zero Trust will impact your enterprise and security architecture Be ready to plan your journey toward Zero Trust, while identifying projects that can deliver immediate security benefits for your organization Who This Book Is For Security leaders, architects, and practitioners plus CISOs, enterprise security architects, security engineers, network security architects, solution architects, and Zero Trust strategists Table of Contents About the Authors About the Technical Reviewer Acknowledgments Foreword Part I: Overview Chapter 1: Introduction Chapter 2: What Is Zero Trust? History and Evolution Forrester’s Zero Trust eXtended (ZTX) Model Gartner’s Approach to Zero Trust Our Perspective on Zero Trust Core Principles Expanded Principles A Working Definition Zero Trust Platform Requirements Summary Chapter 3: Zero Trust Architectures A Representative Enterprise Architecture Identity and Access Management Network Infrastructure (Firewalls, DNS, Load Balancers) Jump Boxes Privileged Access Management Network Access Control Intrusion Detection/Intrusion Prevention Virtual Private Network Next-Generation Firewalls Security Information and Event Management Web Server and Web Application Firewall Infrastructure as a Service Software as a Service and Cloud Access Security Brokers A Zero Trust Architecture The NIST Zero Trust Model A Conceptual Zero Trust Architecture Policy Components Types of Policy Enforcement Points What Is a Policy Enforcement Point? Zero Trust Deployment Models Resource-Based Deployment Model Enclave-Based Deployment Model Cloud-Routed Deployment Model Microsegmentation Deployment Model Summary Chapter 4: Zero Trust in Practice Google’s BeyondCorp PagerDuty’s Zero Trust Network The Software-Defined Perimeter and Zero Trust Mutual TLS Communications Single-Packet Authorization SDP Case Study Zero Trust and Your Enterprise Summary Part II: Zero Trust and Enterprise Architecture Components Chapter 5: Identity and Access Management IAM in Review Identity Stores (Directories) Databases LDAP Identity-as-a-Service Identity Lifecycle Lifecycle Management Identity Governance Access Management Authentication LDAP RADIUS SAML OAuth2 OpenID Connect (OIDC) Certificate-Based Authentication FIDO2 Mobile and Biometrics Authorization Zero Trust and IAM Authentication, Authorization, and Zero Trust Integration Enhancing Legacy System Authentication Zero Trust as Catalyst for Improving IAM Summary Chapter 6: Network Infrastructure Network Firewalls The Domain Name System Public DNS Servers Private DNS Servers Monitoring DNS for Security Wide Area Networks Load Balancers, Application Delivery Controllers, and API Gateways Web Application Firewalls Summary Chapter 7: Network Access Control Introduction to Network Access Control Zero Trust and Network Access Control Unmanaged Guest Network Access Managed Guest Network Access Managed vs. Unmanaged Guest Networks: A Debate Employee BYOD Device Posture Checks Device Discovery and Access Controls Summary Chapter 8: Intrusion Detection and Prevention Systems Types of IDPS Host-Based Systems Network-Based Systems Network Traffic Analysis and Encryption Zero Trust and IDPS Summary Chapter 9: Virtual Private Networks Enterprise VPNs and Security Zero Trust and VPNs Summary Chapter 10: Next-Generation Firewalls History and Evolution Zero Trust and NGFWs Network Traffic Encryption: Implications Network Architectures Summary Chapter 11: Security Operations Security Information and Event Management Security Orchestration, Automation, and Response Zero Trust in the Security Operations Center Enriched Log Data Orchestration and Automation (Triggers and Events) Authentication Trigger Resource Access Trigger Periodic (Session Expiration) Trigger External Trigger Zero Trust Querying for Additional Context (Authentication Trigger) SIEM/SOAR Invoking Zero Trust System (External Trigger) Indirect Integration (External Trigger) Summary Chapter 12: Privileged Access Management Password Vaulting Secrets Management Privileged Session Management Zero Trust and PAM Summary Chapter 13: Data Protection Data Types and Data Classification Data Lifecycle Data Creation Data Usage Data Destruction Data Security Zero Trust and Data Summary Chapter 14: Infrastructure and Platform as a Service Definitions Zero Trust and Cloud Services Service Meshes Summary Chapter 15: Software as a Service SaaS and Cloud Security Native SaaS Controls Secure Web Gateways Cloud Access Security Brokers Zero Trust and SaaS Zero Trust and Edge Services Summary Chapter 16: IoT Devices and “Things” IoT Device Networking and Security Challenges Zero Trust and IoT Devices Summary Part III: Putting It All Together Chapter 17: A Zero Trust Policy Model Policy Components Subject Criteria Action Target Access to Host 10.6.1.34 Access to Host appserver1.internal.example.com Access to Hosts on the Subnet 10.5.1.0/24 Access to Systems Tagged as “department=Marketing” Access to Systems Tagged as “stage=test” Condition Time of Day Is Between 08:00 and 18:00 User Has Performed a Valid MFA or Step-Up Authentication Within the Last 90 Minutes Device Posture Meets Requirements: Anti-malware Service Is Running Device Posture Meets Requirements: Endpoint Security Scan Completed Fewer Than 48 Hours Ago A Service Desk Ticket Is in an Open State for This Resource Both the Subject and the Target Must Be Servers Tagged as Being in a “Production” State Subject Criteria vs. Conditions Example Policies Policies, Applied Attributes Policy Scenarios Target-Initiated Access Microsegmentation Policy Evaluation and Enforcement Flows Authentication Trigger Access Trigger Session Expiration Trigger External Trigger Summary Chapter 18: Zero Trust Scenarios VPN Replacement/VPN Alternative Considerations Resources Users and User Experience Identity Providers Networking Recommendations Third-Party Access Considerations Architecture Users and User Experience Recommendations Cloud Migration Migration Categories Forklift Migration Refactor the Application Rewrite the Application Adopt SaaS Considerations Architecture Forklift Refactor the Application Rewrite the Application Adopt SaaS Users and User Experience Recommendations Service-to-Service Access Considerations Recommendations DevOps DevOps Phases Plan and Code Build and Test Release and Deploy Operate and Monitor Considerations Recommendations Mergers and Acquisitions Considerations Recommendations Divestiture Full Zero Trust Network/Network Transformation Considerations Recommendations Summary Chapter 19: Making Zero Trust Successful Zero Trust: A Strategic Approach (Top-Down) Governance Board Architecture Review Board Change Management Board Value Drivers Security Audit and Compliance Agility/New Business Initiatives Customer/Partner Integrations Technology Modernization Zero Trust: A Tactical Approach (Bottom-Up) Sample Zero Trust Deployments Scenario 1: A Tactical Zero Trust Project Define Problem Research Zero Trust Solutions Review Approach and Proposed Architecture POC Two Candidate Zero Trust Platforms Present POC Results Production Pilot Validate Pilot Results and Value Full Production Rollout Scenario 2: A Strategic Zero Trust Initiative Common Roadblocks Identity Management Immaturity Political Resistance Regulatory or Compliance Constraints Discovery and Visibility of Resources Analysis Paralysis Summary Chapter 20: Conclusion Chapter 21: Afterword Plan, Plan, Then Plan Some More Zero Trust Is (Unfortunately) Political Dream Big, Start Small Show Me the Money Digital Transformation Is Your Friend Appendix A: Further Reading: An Annotated List Industry Standards and Specifications Books Research Documents and Publications Index Understand how Zero Trust security can and should integrate into your organization. This book covers the complexity of enterprise environments and provides the realistic guidance and requirements your security team needs to successfully plan and execute a journey to Zero Trust while getting more value from your existing enterprise security architecture. After reading this book, you will be ready to design a credible and defensible Zero Trust security architecture for your organization and implement a step-wise journey that delivers significantly improved security and streamlined operations. Making this type of shift can be challenging. Your organization has already deployed and operationalized enterprise security assets such as Directories, IAM systems, IDS/IPS, and SIEM, and changing things can be difficult. __**Zero Trust Security**__ uniquely covers the breadth of enterprise security and IT architectures, providing substantive architectural guidance and technical analysis with the goal of accelerating your organization‘s journey to Zero Trust. **What You Will Learn** * Understand Zero Trust security principles and why it is critical to adopt them * See the security and operational benefits of Zero Trust * Make informed decisions about where, when, and how to apply Zero Trust security architectures * Discover how the journey to Zero Trust will impact your enterprise and security architecture * Be ready to plan your journey toward Zero Trust, while identifying projects that can deliver immediate security benefits for your organization **Who This Book Is For**
دانلود کتاب Zero Trust Security : An Enterprise Guide