零信任安全架构：BeyondCorp实践培训课程-曙海培训中心

零信任安全架构：BeyondCorp实践培训课程

•  

• 培训对象： 安全架构师、网络工程师、零信任项目负责人、企业安全决策者。

•  

• 培训目标：

  • 理解零信任的核心原则（永不信任，始终验证）。

  • 掌握Google BeyondCorp模型的架构和组件。

  • 能够设计和部署零信任访问控制方案。

  • 具备微隔离和身份感知代理配置能力。

•  

• 培训内容介绍：

•  

  一、 零信任安全理念： 理解传统边界安全（城堡护城河）的局限性，掌握零信任的三大核心：显式验证、最小权限、假设受损。

  二、 Google BeyondCorp模型： 分析BeyondCorp白皮书，了解其访问代理、信任推断、设备清单等组件设计。

  三、 零信任架构组件： 熟悉策略引擎（PEP）、策略管理点（PAP）、信任引擎（PE）、身份提供商（IdP）的协作关系。

  四、 身份与访问管理（IAM）： 集成企业身份源（LDAP、AD），实现单点登录（SSO）和多因素认证（MFA）。

  五、 设备信任评估： 构建设备清单系统，评估设备合规性（补丁状态、磁盘加密、杀毒软件运行），动态调整信任等级。

  六、 应用层访问代理： 部署反向代理（如Cloudflare Access、Google IAP）实现应用层的零信任接入。

  七、 微隔离技术： 使用K8s NetworkPolicy或VMware NSX实现东西向流量隔离，限制攻击横向移动。

  八、 服务网格与零信任： 在Istio中启用mTLS，实现服务间的身份认证和加密通信。

  九、 零信任网络访问（ZTNA）： 部署ZTNA解决方案（如Zscaler、Cloudflare Tunnel），替代传统VPN。

  十、 最小权限策略设计： 基于角色和属性的访问控制（RBAC/ABAC），实现JIT（Just-In-Time）权限授予。

  十一、 持续监控与自适应： 实时监控用户行为，根据异常行为动态调整访问权限（UEBA集成）。

  十二、 实战项目：零信任落地实践： 针对企业远程办公场景设计零信任访问方案，并实现核心应用的零信任接入。