معرفی کتاب «Zero Trust Security : An Enterprise Guide» نوشتهٔ Jason Garbis و Jerry W. Chapman، منتشرشده توسط نشر Apress : Imprint: Apress در سال 2021. این کتاب در 301 صفحه، فرمت pdf، زبان انگلیسی ارائه شده است. «Zero Trust Security : An Enterprise Guide» در دستهٔ ریاضیات قرار دارد.
در عصری که حملات سایبری پیچیدهتر از همیشه شدهاند، اتکا به دیوارههای آتشین محیطی دیگر کافی نیست. کتاب «امنیت اعتماد-صفر: راهنمای سازمانی» (Zero Trust Security: An Enterprise Guide) اثر جیسون گاربیس و جری دبلیو. چپمن، راهنمای جامعی است که فلسفهی امنیتی نوینِ «هرگز اعتماد نکن، همیشه تأیید کن» را از یک شعار به معماری قابل اجرا تبدیل میکند و به سازمانها در عبور از رویکردهای منسوخِ مبتنی بر پیرامون یاری میرساند.
دربارهٔ کتاب — گذار از امنیت محیطی به امنیت مبتنی بر هویت
کتاب با شناخت این واقعیت آغاز میشود که مدلهای امنیتی سنتی، که بر فرضِ وجود یک «داخل» امن و «خارج» ناامن استوارند، در برابر تهدیدات مدرن بهطور قابلتوجهی ناکارآمد بودهاند. «امنیت اعتماد-صفر» این پارادایم را بهچالش میکشد و رویکردی پویا، مبتنی بر هویت و خطمشی را پیشنهاد میدهد که در آن به هیچ کاربر، دستگاه یا ترافیکی، چه درون شبکه و چه بیرون از آن، بهطور پیشفرض اعتماد نمیشود. نویسندگان با تکیه بر تجربهٔ گستردهٔ خود در حوزهٔ امنیت سازمانی، نشان میدهند که چگونه میتوان این تغییر بنیادین را بدون کنارگذاشتن سرمایهگذاریهای پیشین، بلکه با بهرهگیری هوشمندانه از آنها، بهسرانجام رساند. این کتاب فراتر از یک اثر صرفاً نظری، به عنوان یک نقشهٔ راه عملی برای تیمهای امنیتی عمل میکند. گاربیس و چپمن با بررسی مؤلفههای کلیدی معماری سازمانی، از مدیریت هویت و دسترسی (IAM) و زیرساخت شبکه گرفته تا راهحلهای ابری و دستگاههای اینترنت اشیاء، چارچوبی منسجم برای پیادهسازی گامبهگام اعتماد-صفر ارائه میدهند. یکی از نکات برجستهٔ کتاب، تأکید بر شناسایی پروژههایی است که میتوانند مزایای امنیتی فوری به همراه داشته باشند و بدینترتیب، سازمان را برای سفری موفق و تدریجی به سوی این معماری آماده میسازند. ساختار کتاب به گونهای است که خواننده را از مفاهیم پایه تا سناریوهای پیچیدهٔ پیادهسازی پیش میبرد و او را برای طراحی یک معماری اعتماد-صفرِ معتبر و قابل دفاع توانمند میسازد.
دربارهٔ نویسنده
جیسون گاربیس (Jason Garbis) بنیانگذار و مدیر اصلی شرکت مشاورهای Numberline Security است که در زمینهٔ آموزش و خدمات مشاورهای امنیت اعتماد-صفر تخصص دارد. او یکی از اعضای فعال انجمن صنعت امنیت اعتماد-صفر (Zero-Trust Security Industry Group) است. جری دبلیو. چپمن (Jerry W. Chapman) نیز در کنار گاربیس، نویسندهٔ این کتاب مرجع است و هر دو بهعنوان متخصصانی برجسته در زمینهٔ پیادهسازی عملی این معماری در سازمانهای بزرگ شناخته میشوند. همکاری این دو نویسنده، کتاب را به منبعی معتبر و جامع برای مدیران ارشد امنیت اطلاعات (CISO) و معماران امنیت تبدیل کرده است.
چرا باید «امنیت اعتماد-صفر» را بخوانید؟
درک بنیادین از امنیت اعتماد-صفر: با اصول کلیدی و ضرورتِ حیاتیِ اتخاذ این رویکرد در سازمان خود آشنا میشوید و ابهامات رایج دربارهٔ این مفهوم را برطرف میکنید.
ارائهٔ راهنمای گامبهگام و عملی: برخلاف کتابهای صرفاً نظری، این اثر با ارائهٔ تحلیلهای فنی و راهنماییهای معماری، مسیر مشخصی را برای حرکت تدریجی به سوی پیادهسازی اعتماد-صفر ترسیم میکند.
بهینهسازی زیرساختهای موجود: میآموزید چگونه از سرمایهگذاریهای پیشین خود در حوزههایی مانند مدیریت هویت و دسترسی، سیستمهای تشخیص نفوذ و مدیریت رویدادهای امنیتی، در چارچوب جدید بهره ببرید.
تصمیمگیری آگاهانه: با مطالعهٔ این کتاب، درک روشنی از تأثیرات این سفر بر معماری سازمانی خود پیدا کرده و میتوانید دربارهٔ چگونگی، زمان و مکانِ بهکارگیری معماری اعتماد-صفر تصمیمات مدون بگیرید.
شناسایی پروژههای زودهنگام با بازدهی بالا: نویسندگان به شما کمک میکنند تا پروژههایی را شناسایی کنید که در کوتاهمدت، مزایای امنیتی قابلتوجهی را برای سازمان شما به ارمغان میآورند.
این کتاب برای چه کسانی مناسب است؟
این کتاب بهعنوان منبعی حیاتی برای طیف گستردهای از متخصصان حوزهٔ امنیت و فناوری اطلاعات طراحی شده است. مدیران ارشد امنیت اطلاعات، معماران امنیت سازمانی، مهندسان شبکه و امنیت، و همچنین هر متخصصی که به دنبال درک عمیق و عملی از فلسفهٔ اعتماد-صفر و چگونگی تطبیق آن با محیطهای پیچیدهٔ سازمانی است، مخاطب اصلی این اثر محسوب میشوند. این کتاب همچنین برای مشاوران و استراتژیستهایی که به دنبال ارائهٔ راهکارهای نوین امنیتی به سازمانها هستند، منبعی ارزشمند و قابلاستناد است.
سوالات متداول
آیا این کتاب صرفاً نظری است یا راهنمای عملی نیز محسوب میشود؟
این کتاب یک راهنمای جامع و عملی است که با ارائهٔ تحلیلهای معماری و بررسی سناریوهای مختلف، به سازمانها در طراحی و پیادهسازی گامبهگام امنیت اعتماد-صفر کمک میکند. با این حال، برخی از خوانندگان به این نکته اشاره کردهاند که کتاب بر مبانی نظری و الگوها تمرکز دارد و کمتر به بررسی محصولات و راهحلهای تجاری خاص بازار میپردازد.
آیا برای درک این کتاب، پیشزمینهٔ عمیق فنی نیاز است؟
این کتاب برای متخصصان حوزهٔ امنیت و فناوری اطلاعات در سطوح مختلف نوشته شده است. اگرچه داشتن آشنایی با مفاهیم پایهای شبکه و امنیت مفید است، اما کتاب بهگونهای تدوین شده که برای طیف گستردهای از مخاطبان، از مدیران ارشد گرفته تا مهندسان امنیت، قابلدرک و مفید باشد.
آیا این کتاب به چالشهای پیادهسازی در سازمانهای بزرگ نیز میپردازد؟
بله، یکی از نقاط قوت اصلی کتاب، توجه ویژه به پیچیدگیهای محیطهای سازمانی بزرگ است. نویسندگان با درک این چالشها، راهنماییهای واقعبینانهای برای برنامهریزی و اجرای موفقیتآمیز این سفر ارائه میدهند و بر لزوم رویکردی تدریجی و مبتنی بر پروژههای زودهنگام با بازدهی بالا تأکید میورزند.
Understand how Zero Trust security can and should integrate into your organization. This book covers the complexity of enterprise environments and provides the realistic guidance and requirements your security team needs to successfully plan and execute a journey to Zero Trust while getting more value from your existing enterprise security architecture. After reading this book, you will be ready to design a credible and defensible Zero Trust security architecture for your organization and implement a step-wise journey that delivers significantly improved security and streamlined operations. Zero Trust security has become a major industry trend, and yet there still is uncertainty about what it means. Zero Trust is about fundamentally changing the underlying philosophy and approach to enterprise security—moving from outdated and demonstrably ineffective perimeter-centric approaches to a dynamic, identity-centric, and policy-based approach. Making this type of shift can be challenging. Your organization has already deployed and operationalized enterprise security assets such as Directories, IAM systems, IDS/IPS, and SIEM, and changing things can be difficult. Zero Trust Security uniquely covers the breadth of enterprise security and IT architectures, providing substantive architectural guidance and technical analysis with the goal of accelerating your organization‘s journey to Zero Trust. What You Will Learn Understand Zero Trust security principles and why it is critical to adopt them See the security and operational benefits of Zero Trust Make informed decisions about where, when, and how to apply Zero Trust security architectures Discover how the journey to Zero Trust will impact your enterprise and security architecture Be ready to plan your journey toward Zero Trust, while identifying projects that can deliver immediate security benefits for your organization Who This Book Is For Security leaders, architects, and practitioners plus CISOs, enterprise security architects, security engineers, network security architects, solution architects, and Zero Trust strategists Table of Contents About the Authors About the Technical Reviewer Acknowledgments Foreword Part I: Overview Chapter 1: Introduction Chapter 2: What Is Zero Trust? History and Evolution Forrester’s Zero Trust eXtended (ZTX) Model Gartner’s Approach to Zero Trust Our Perspective on Zero Trust Core Principles Expanded Principles A Working Definition Zero Trust Platform Requirements Summary Chapter 3: Zero Trust Architectures A Representative Enterprise Architecture Identity and Access Management Network Infrastructure (Firewalls, DNS, Load Balancers) Jump Boxes Privileged Access Management Network Access Control Intrusion Detection/Intrusion Prevention Virtual Private Network Next-Generation Firewalls Security Information and Event Management Web Server and Web Application Firewall Infrastructure as a Service Software as a Service and Cloud Access Security Brokers A Zero Trust Architecture The NIST Zero Trust Model A Conceptual Zero Trust Architecture Policy Components Types of Policy Enforcement Points What Is a Policy Enforcement Point? Zero Trust Deployment Models Resource-Based Deployment Model Enclave-Based Deployment Model Cloud-Routed Deployment Model Microsegmentation Deployment Model Summary Chapter 4: Zero Trust in Practice Google’s BeyondCorp PagerDuty’s Zero Trust Network The Software-Defined Perimeter and Zero Trust Mutual TLS Communications Single-Packet Authorization SDP Case Study Zero Trust and Your Enterprise Summary Part II: Zero Trust and Enterprise Architecture Components Chapter 5: Identity and Access Management IAM in Review Identity Stores (Directories) Databases LDAP Identity-as-a-Service Identity Lifecycle Lifecycle Management Identity Governance Access Management Authentication LDAP RADIUS SAML OAuth2 OpenID Connect (OIDC) Certificate-Based Authentication FIDO2 Mobile and Biometrics Authorization Zero Trust and IAM Authentication, Authorization, and Zero Trust Integration Enhancing Legacy System Authentication Zero Trust as Catalyst for Improving IAM Summary Chapter 6: Network Infrastructure Network Firewalls The Domain Name System Public DNS Servers Private DNS Servers Monitoring DNS for Security Wide Area Networks Load Balancers, Application Delivery Controllers, and API Gateways Web Application Firewalls Summary Chapter 7: Network Access Control Introduction to Network Access Control Zero Trust and Network Access Control Unmanaged Guest Network Access Managed Guest Network Access Managed vs. Unmanaged Guest Networks: A Debate Employee BYOD Device Posture Checks Device Discovery and Access Controls Summary Chapter 8: Intrusion Detection and Prevention Systems Types of IDPS Host-Based Systems Network-Based Systems Network Traffic Analysis and Encryption Zero Trust and IDPS Summary Chapter 9: Virtual Private Networks Enterprise VPNs and Security Zero Trust and VPNs Summary Chapter 10: Next-Generation Firewalls History and Evolution Zero Trust and NGFWs Network Traffic Encryption: Implications Network Architectures Summary Chapter 11: Security Operations Security Information and Event Management Security Orchestration, Automation, and Response Zero Trust in the Security Operations Center Enriched Log Data Orchestration and Automation (Triggers and Events) Authentication Trigger Resource Access Trigger Periodic (Session Expiration) Trigger External Trigger Zero Trust Querying for Additional Context (Authentication Trigger) SIEM/SOAR Invoking Zero Trust System (External Trigger) Indirect Integration (External Trigger) Summary Chapter 12: Privileged Access Management Password Vaulting Secrets Management Privileged Session Management Zero Trust and PAM Summary Chapter 13: Data Protection Data Types and Data Classification Data Lifecycle Data Creation Data Usage Data Destruction Data Security Zero Trust and Data Summary Chapter 14: Infrastructure and Platform as a Service Definitions Zero Trust and Cloud Services Service Meshes Summary Chapter 15: Software as a Service SaaS and Cloud Security Native SaaS Controls Secure Web Gateways Cloud Access Security Brokers Zero Trust and SaaS Zero Trust and Edge Services Summary Chapter 16: IoT Devices and “Things” IoT Device Networking and Security Challenges Zero Trust and IoT Devices Summary Part III: Putting It All Together Chapter 17: A Zero Trust Policy Model Policy Components Subject Criteria Action Target Access to Host 10.6.1.34 Access to Host appserver1.internal.example.com Access to Hosts on the Subnet 10.5.1.0/24 Access to Systems Tagged as “department=Marketing” Access to Systems Tagged as “stage=test” Condition Time of Day Is Between 08:00 and 18:00 User Has Performed a Valid MFA or Step-Up Authentication Within the Last 90 Minutes Device Posture Meets Requirements: Anti-malware Service Is Running Device Posture Meets Requirements: Endpoint Security Scan Completed Fewer Than 48 Hours Ago A Service Desk Ticket Is in an Open State for This Resource Both the Subject and the Target Must Be Servers Tagged as Being in a “Production” State Subject Criteria vs. Conditions Example Policies Policies, Applied Attributes Policy Scenarios Target-Initiated Access Microsegmentation Policy Evaluation and Enforcement Flows Authentication Trigger Access Trigger Session Expiration Trigger External Trigger Summary Chapter 18: Zero Trust Scenarios VPN Replacement/VPN Alternative Considerations Resources Users and User Experience Identity Providers Networking Recommendations Third-Party Access Considerations Architecture Users and User Experience Recommendations Cloud Migration Migration Categories Forklift Migration Refactor the Application Rewrite the Application Adopt SaaS Considerations Architecture Forklift Refactor the Application Rewrite the Application Adopt SaaS Users and User Experience Recommendations Service-to-Service Access Considerations Recommendations DevOps DevOps Phases Plan and Code Build and Test Release and Deploy Operate and Monitor Considerations Recommendations Mergers and Acquisitions Considerations Recommendations Divestiture Full Zero Trust Network/Network Transformation Considerations Recommendations Summary Chapter 19: Making Zero Trust Successful Zero Trust: A Strategic Approach (Top-Down) Governance Board Architecture Review Board Change Management Board Value Drivers Security Audit and Compliance Agility/New Business Initiatives Customer/Partner Integrations Technology Modernization Zero Trust: A Tactical Approach (Bottom-Up) Sample Zero Trust Deployments Scenario 1: A Tactical Zero Trust Project Define Problem Research Zero Trust Solutions Review Approach and Proposed Architecture POC Two Candidate Zero Trust Platforms Present POC Results Production Pilot Validate Pilot Results and Value Full Production Rollout Scenario 2: A Strategic Zero Trust Initiative Common Roadblocks Identity Management Immaturity Political Resistance Regulatory or Compliance Constraints Discovery and Visibility of Resources Analysis Paralysis Summary Chapter 20: Conclusion Chapter 21: Afterword Plan, Plan, Then Plan Some More Zero Trust Is (Unfortunately) Political Dream Big, Start Small Show Me the Money Digital Transformation Is Your Friend Appendix A: Further Reading: An Annotated List Industry Standards and Specifications Books Research Documents and Publications Index Understand how Zero Trust security can and should integrate into your organization. This book covers the complexity of enterprise environments and provides the realistic guidance and requirements your security team needs to successfully plan and execute a journey to Zero Trust while getting more value from your existing enterprise security architecture. After reading this book, you will be ready to design a credible and defensible Zero Trust security architecture for your organization and implement a step-wise journey that delivers significantly improved security and streamlined operations. Making this type of shift can be challenging. Your organization has already deployed and operationalized enterprise security assets such as Directories, IAM systems, IDS/IPS, and SIEM, and changing things can be difficult. __**Zero Trust Security**__ uniquely covers the breadth of enterprise security and IT architectures, providing substantive architectural guidance and technical analysis with the goal of accelerating your organization‘s journey to Zero Trust. **What You Will Learn** * Understand Zero Trust security principles and why it is critical to adopt them * See the security and operational benefits of Zero Trust * Make informed decisions about where, when, and how to apply Zero Trust security architectures * Discover how the journey to Zero Trust will impact your enterprise and security architecture * Be ready to plan your journey toward Zero Trust, while identifying projects that can deliver immediate security benefits for your organization **Who This Book Is For**