讲解云服务面临的安全威胁、安全架构的演进、Google生产环境安全、Google容器纵深防御体系、分布式系统安全、密钥体系、Google租户安全体系架构、Google可信架构、未来技术展望等

介绍攻防威胁趋势、面临的网络安全问题、Google Titan底层信任根安全体系、Google BeyondProd云原生安全架构、落地方案等

本书是 CSA 贡献给业界的一本重磅白皮书合集，它涵盖了 SDP 标准规范、设计指南与参考架构、迁移上云指南，以及业零信任网络安全先行者 Google 的 BeyondCorp 研究项目的论文合集。SDP 适用于企业网络环境、IaaS 云环境、IoT 物联网环境、BYOD 移动互联网环境等，本书不仅 对 SDP 的优势与价值做了阐述，还给出了具体技术设计指导。

零信任架构(ZTA)是一种基于零信任原则的企业网络安全架构，旨在防止数 据泄露和限制内部横向移动。本文不仅提供了 ZTA 的定义、逻辑组件、可能的部 署场景和威胁，还为希望迁移到网络基础架构的零信任网络架构设计方法的组织提 供了一个总体路线图，并讨论了可能影响零信任架构的相关联邦政策。

零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制” 四大关键能力，构筑以身份为基石的动态虚拟边界产品与解决方案，助力企业实现全面身份 化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。 本文首先对零信任安全的背景、定义及发展历史进行介绍，然后提出一种通用的零信任 参考架构，并以奇安信零信任安全解决方案为例，对零信任参考架构的应用方案进行解读。

安全架构公理试图捕捉经验丰富的安全架构师的一些想法，就像《孙子兵法》中捕捉了那些经验丰富的军事将军的想法一样。就像遥远的灯塔一样，它们可以指导业务能力与服务的开发活动的方向。

当前的防护功能难以应对高级的定向攻击,由于企业系统所受到的是持续攻击，并持续缺乏防御力，面向“应急响应”的特别方式已不再是正确的思维模式，Garnter提出了用自适应安全架构来应对高级定向攻击。大多数企业在安全保护方面会优先集中在拦截和防御(例如反病毒)以及基于策略的控制(如防火墙)，将危险拦截在外(但只是如下图示的右上角四分之一部分)。然而，完美的防御是不可能(参见“2020安全防御已成徒劳：通过周密普遍的监控和情报共享来保护信息安全”)。高级定向攻击总能轻而易举地绕过传统防火墙和基于黑白名单的预防机制。所有机构都应该从现在认识到自己处在持续的风险状态。但情况是，企业盲信防御措施能100%奏

1.2万字 37页 3.1 防火墙的架构与实现 8 3.1.1 连接与登录配置 9 3.1.2 透明模式（网桥模式）的安装与部署 11 3.1.3 内外网互访策略编辑与管理 12 3.1.4 管L2TP配置 15 3.2 入侵检测系统的架构与实现 18 3.2.1 IDS设备部署与配置 18 3.2.2 IDS入侵检测 20 3.3 信息安全管理审计系统架构与实现 21 3.3.1 系统的部署及系统登录 21 3.3.2 网络访问与网络日志查看 22 3.3.3 监控策略的应用 24 3.4 内网保密安全系统的架构与实现 28 3.4.1 用内网保密软件的部署及登录 28 3.4

通过阐述物联网基本概念，分析目前国内外物联网的发展现状，指出物联网目前存在的安全隐患不容忽视，如何在物联网（包括小型示范工程）建立初期就建立严格规范的信息安全架构，关系到这些系统能否在真正物联网系统下提供良好的安全措施，或能够对安全措施进行升级，以保障系统的可用性。继而对物联网感知层基本概念和相关安全技术进行详细的阐述，分析了感知层面临的安全需求和挑战，详细研究了感知层传感网密钥算法、安全协议、认证技术、安全路由、入侵检测、DoS攻击和访问控制等相关技术，重点研究了感知层传感网密钥管理方案的分类，静态密钥管理方案和动态密钥管理方案，并通过研究传感网的异构性，最终提出了异构传感网安全模型和异构传感网动态密钥管理模型。

5G 安全白皮书的重点是： • 为什么5G 是安全的，包括行业组织和标准组织的专家们如何从安全协议标准和安全保障机制上确 保5G 安全的风险能得到有效管理。 • 为什么华为5G 是安全的，包括华为采取了什么样的技术手段保障华为设备的网络安全。 • 如何保证5G 网络安全，包括华为对网络韧性的支持，以及华为对运营商的建议，如何安全的部署和 运营5G 网络。 • 如何持续提升5G 安全水平，包括各利益相关方每个层面如何应对未来挑战。 • 建议利益相关方从自己的角色出发，共同致力于持续提升5G 安全水平，保证5G 安全风险可控。 本白皮书将描述行业标准、华为的方法和行业合作伙伴的共同努力。