SDP 是零信任三大落地技术之一，主要解决终端到应用的访问安全问题。本书提出的 X-SDP 是 SDP 的扩展实现，将 SDP 的被动防御等级提升至主动防御，真正确保终端到应用场 景的访问安全。 本书介绍了终端到应用场景的现状及典型安全解决方案、零信任网络安全架构和主要流 派、SDP 与 ZTNA 架构的相关情况及 SDP 的演进路径、X-SDP 的三大核心能力、SPA 的演进、 全网终端认证、优异的接入体验、高可用和分布式多活，同时给出了 X-SDP 的应用案例并对其 后续发展进行了展望。

郭炳梁，深圳南山区领航人才，程序员、产品经理，曾任VDI云桌面首席开发架构师。担任某头部零信任产品的产品线负责人，主导零信任产品从概念到落地的孵化过程，提出X-SDP主动防御理念，致力于零信任在多行业的落地实践。热爱总结分享，公众号“非典型产品经理”作者。杨志刚，注册信息安全专业人员，云安全联盟大中华区研究专家，零信任认证专家、讲师。在安全领域拥有十余年从业经验，专注于零信任、SDP、移动安全等领域，帮助众多行业客户进行安全规划与建设，拥有丰富的零信任实战落地经验。

第1章 网络安全领域的基本概念 1
1.1 信息安全与网络安全 1
1.1.1 信息安全 1
1.1.2 网络安全 2
1.1.3 信息安全与网络安全的关系 3
1.2 数据安全 4
1.2.1 数据安全的两层含义 4
1.2.2 数据隐私与数据合规 5
1.2.3 数据防泄露 5
1.2.4 数据安全与网络安全的关系 6
1.3 网络安全常见分类方式 7
1.3.1 能力类型视角 7
1.3.2 建设任务视角 8
1.4 防入侵——网络安全最关键的子领域 9
第2章 从E-＞A场景的网络变迁谈边界模糊化 12
2.1 E-＞A场景下的网络变迁 13
2.1.1 职场侧网络变迁 14
2.1.2 应用侧网络变迁 16
2.2 典型的网络安全架构——安全边界 19
2.2.1 安全边界网络架构的安全标准 19
2.2.2 基于分区分域的安全边界 21
2.2.3 大型机构的典型网络 22
2.3 网络边界模糊化问题及成因 24
第3章 E-＞A场景下的威胁与挑战 27
3.1 各环节面临的威胁与挑战 27
3.1.1 终端面临的安全威胁与挑战 29
3.1.2 账号面临的安全威胁与挑战 30
3.1.3 应用面临的安全威胁与挑战 32
3.1.4 整体安全态势变化带来的宏观威胁 34
3.2 防入侵和防泄露 36
3.2.1 防入侵和防泄露威胁概览 36
3.2.2 从另一个视角理解防入侵和防泄露 39
第4章 E-＞A场景下典型安全解决方案与零信任 40
4.1 多个视角理解E-＞A场景下的安全架构 40
4.1.1 安全架构全景概览 40
4.1.2 安全技术体系架构 42
4.2 典型安全方案的困境与零信任 47
4.2.1 典型安全方案的困境 47
4.2.2 网络边界模糊化带来的问题 48
4.2.3 应运而生的零信任 50
4.2.4 零信任的逻辑架构 52
4.2.5 国际零信任发展简史 54
4.2.6 国内零信任发展简史 56
第5章 零信任典型方案盘点 57
5.1 E-＞A场景的网络组成 57
5.1.1 企业网 58
5.1.2 企业网的典型网络分区 58
5.1.3 关联网络区域 59
5.1.4 零信任的保护范围 60
5.2 零信任方案子场景 61
5.3 零信任的关键特征 62
5.4 产品型流派之SDP 64
5.4.1 从VPN到SDP 65
5.4.2 SDP的子流派 69
5.5 增强型IAM 72
5.5.1 增强型IAM与SDP的关键区别 72
5.5.2 增强型IAM的典型适用场景 73
5.5.3 增强型IAM产品特性 73
5.6 微隔离 74
5.7 零信任API网关 75
5.8 终端数据沙箱 75
5.9 远程浏览器 77
5.10 零信任方案的补充技术 78
5.10.1 E-＞A场景下的补充技术 78
5.10.2 E-＞E场景下的典型安全技术 81
5.10.3 终端安全 82
5.10.4 终端防泄露 84
5.11 云管端综合型方案 88
5.12 终端All In One方案 90
5.13 安全访问服务边缘 92
5.13.1 IA和PA 93
5.13.2 优势与劣势 93
第6章 深入了解SDP与ZTNA 95
6.1 端点启动和服务启动 95
6.1.1 端点启动 95
6.1.2 服务启动 97
6.2 深入了解SDP 100
6.2.1 SDP和云安全联盟 100
6.2.2 SPA 101
6.2.3 SPA的代际之争 109
6.2.4 5层防御与4层认证 115
6.2.5 SDP其他场景设想 117
6.3 部署模式 118
6.3.1 飞地网关 118
6.3.2 资源门户 119
6.3.3 其他 120
第7章 从SDP到X-SDP的演进 122
7.1 SDP与SSL VPN 122
7.1.1 SDP产品与基于SDP的多组件方案 123
7.1.2 特性能力 123
7.1.3 安全防御效果 128
7.2 什么是X-SDP 131
7.2.1 SDP面临的挑战 131
7.2.2 X-SDP应运而“升” 135
第8章 原生零误报实时鉴黑及响应能力 137
8.1 鉴黑的发展历程 138
8.1.1 防病毒：静态特征＋定期更新 139
8.1.2 端点保护平台：静态特征＋云端协同 140
8.1.3 端点检测与响应：从静态特征到动态行为特征 146
8.1.4 扩展检测和响应：多源遥测特征＋人工智能 146
8.2 从特征检测到欺骗防御 148
8.2.1 攻防不对称 149
8.2.2 欺骗技术：从大数据到正确数据 150
8.3 典型欺骗技术 151
8.3.1 概述 151
8.3.2 部署形式 152
8.3.3 优势与不足 153
8.3.4 适用场景 156
8.3.5 基于应用代理的嵌入式蜜罐 157
8.3.6 X-SDP和账号蜜罐 159
8.4 X-SDP鉴黑的关键特征 160
8.4.1 原生鉴黑 161
8.4.2 零误报鉴黑 164
8.4.3 实时鉴黑 164
8.5 X-SDP融合欺骗的优势 165
8.5.1 与典型欺骗对比 165
8.5.2 与典型DR检测对比 167
8.6 X-SDP鉴黑完全态 167
8.6.1 轻量级IoC 167
8.6.2 轻量级IoA 168
8.6.3 漏报率 168
8.6.4 性能与稳定性 169
第9章 基于三道防线的体系化纵深防御能力 171
9.1 SDP的三道防线 171
9.1.1 边界接入网关的核心原理 172
9.1.2 关键环节分析 173
9.2 账号防线的纵深防御 175
9.3 终端防线的纵深防御 177
9.4 设备防线的纵深防御 178
9.5 从攻击视角解读 180
9.5.1 渗透和后渗透 180
9.5.2 网络杀伤链 180
9.5.3 ATT＆CK 182
9.5.4 账号防线面临的攻击 193
9.5.5 终端防线面临的攻击 196
9.5.6 设备防线面临的攻击 198
9.6 3＋X攻防一体化纵深防御架构 201
9.6.1 D3FEND框架 202
9.6.2 其他防御框架 207
第10章 主动威胁预警能力 211
10.1 X-SDP全链路可视 211
10.1.1 纵深防线可视 212
10.1.2 会话级溯源可视 216
10.2 主动威胁预警 217
第11章 SPA的持续演进 218
11.1 优秀的SDP产品应具备的内核能力 218
11.2 SPA的演进 223
11.2.1 SPA认证因子的主要形式 223
11.2.2 第3.5代SPA 227
11.2.3 第4代SPA 228
11.2.4 一次一码的典型实现 229
11.3 后续演进与展望 232
11.3.1 高安全新一代SPA：基于硬件的SPA 232
11.3.2 SPA技术的体验影响 233
第12章 全网终端认证 234
12.1 终端认证 234
12.1.1 典型方案 235
12.1.2 优劣势分析 236
12.1.3 落地障碍 238
12.2 什么是全网终端认证 238
12.2.1 认证的基本因素 239
12.2.2 典型的双因素认证举例 239
12.2.3 认证的本质 239
12.2.4 信任传递 240
12.2.5 适用场景 241
12.2.6 典型流程 242
第13章 优异的接入体验 247
13.1 SDP登录耗时 247
13.2 新建连接耗时 249
13.3 应用访问吞吐量 256
第14章 高可用和分布式多活 259
14.1 CISSP中的业务连续性计划与灾难恢复计划 259
14.2 技术视角的高可用和灾难恢复 260
14.2.1 RTO和RPO 260
14.2.2 可用性目标 261
14.2.3 HA的典型模式 262
14.2.4 DR的典型模式 265
14.2.5 SDP的HA与DR 268
14.3 SDP能力评估 271
14.3.1 SDP控制器的HA能力评估 271
14.3.2 SDP控制器的DR能力评估 274
14.3.3 SDP代理网关的HA与DR能力评估 275
第15章 X-SDP典型应用案例 278
15.1 金融领域典型应用案例 278
15.1.1 案例背景 278
15.1.2 应用场景 280
15.1.3 解决方案 282
15.1.4 效果及价值 285
15.2 大型企业典型应用案例 286
15.2.1 案例背景 286
15.2.2 应用场景 287
15.2.3 解决方案 288
15.2.4 效果及价值 289
第16章 X-SDP展望 291
16.1 X-SDP和防入侵 291
16.1.1 X-SDP的安全等级 292
16.1.2 X-SDP的防入侵效果展望 293
16.2 X-SDP和防泄露 295
16.3 走向E-＞A场景下的全网零信任 296
16.3.1 E-＞A场景下的全网零信任 297
16.3.2 未来已来 299
参考文献 301