📡 零信任核心网实战 30章 · 从入门到架构

⚡ 风格 · 活泼安全
01 零信任概述
  • 从边界安全到零信任的演进
  • 零信任的三大核心原则
  • 零信任在5G核心网中的价值
02 5G核心网架构基础
  • 5GC服务化架构(SBA)
  • 网络功能(NF)与网络切片
  • 核心网暴露的安全风险面
03 零信任控制平面设计
  • 策略决策点(PDP)与策略执行点(PEP)分离
  • 动态信任评估引擎架构
  • 基于NIST SP 800-207的落地映射
04 微隔离技术实战
  • 基于网络功能(NF)的微分段
  • 使用Service Mesh(如Istio)实现东西向流量隔离
  • 在Kubernetes上部署微隔离策略
05 身份与访问管理(IAM)
  • 5G核心网中的身份认证(证书、Token)
  • OAuth2.0与OIDC在N32接口中的应用
  • 动态授权与属性访问控制(ABAC)
06 动态信任评估
  • 信任评分模型(基于设备、行为、地理位置)
  • 实时风险计算引擎
  • 信任等级与访问策略的动态联动
07 安全代理与网关
  • 零信任代理(ZTA Proxy)在N6/N9接口的部署
  • TLS双向认证与mTLS
  • API网关的安全增强
08 日志与可观测性
  • 全量日志采集(NF、UPF、NEF)
  • 基于SPADE的信任证据收集
  • 零信任仪表盘设计
09 安全编排与自动化响应 (SOAR)
  • 策略自动化下发
  • 异常事件自动处置(如隔离NF)
  • 与SIEM/SOAR平台的集成
10 数据安全与隐私保护
  • 核心网用户数据加密(SUCI、GBA)
  • 数据脱敏与动态掩码
  • 零信任下的数据防泄漏(DLP)
11 端点安全与设备信任
  • NF的硬件信任根(TPM/SE)
  • 容器镜像签名与验证
  • 运行时安全(Falco/Sysdig)
12 零信任网络接入 (ZTNA)
  • 5G用户终端的零信任接入
  • 基于SIM卡的身份增强
  • EAP-TLS与5G-AKA的融合
13 策略即代码 (Policy as Code)
  • 使用OPA(Open Policy Agent)定义核心网策略
  • 策略的版本控制与CI/CD
  • 策略冲突检测
14 安全态势感知
  • 核心网攻击面分析(N2/N3/N4接口)
  • 威胁建模(STRIDE/LINDDUN)
  • 零信任成熟度评估
15 合规与审计
  • 3GPP安全标准(TS 33.501)与零信任的对齐
  • 等保2.0零信任扩展要求
  • 审计日志的不可篡改存储
16 案例实战:某运营商改造 (一)
  • 现状评估与架构设计
17 案例实战:某运营商改造 (二)
  • 微隔离策略实施与验证
18 案例实战:某运营商改造 (三)
  • 动态信任与IAM集成
19 案例实战:某运营商改造 (四)
  • 安全编排与自动化响应
20 案例实战:某运营商改造 (五)
  • 测试、上线与运营
21 零信任与网络切片安全
  • 每个切片的独立信任域
  • 切片间的零信任隔离
  • 切片级SLA与安全策略绑定
22 边缘计算场景的零信任
  • MEC节点的信任评估
  • 边缘UPF的安全代理
  • 边缘应用的东西向防护
23 核心网与云的零信任融合
  • 混合云下的统一策略管理
  • 云原生安全(CSPM/KSPM)与零信任集成
  • 服务网格的跨集群通信
24 AI/ML增强的零信任
  • 基于机器学习的异常流量检测
  • 用户实体行为分析(UEBA)
  • 自适应信任决策
25 零信任与SBA安全增强
  • Nnrf/Nnssf等关键服务的零信任保护
  • 服务注册发现的安全加固
  • API的速率限制与防滥用
26 信令面安全
  • SS7/Diameter向5G演进中的信令安全
  • SBI接口的零信任保护
  • 信令风暴的防御
27 用户面安全
  • UPF的用户面加密
  • GTP-U的安全扩展
  • 用户面数据完整性校验
28 零信任运维 (Zero Trust Ops)
  • 策略的灰度发布与回滚
  • 信任模型的持续调优
  • 零信任团队的技能要求
29 未来趋势
  • SASE与核心网的融合
  • 6G时代的零信任展望
  • 零信任与量子安全的结合
30 课程总结与认证
  • 零信任核心网架构师知识体系回顾
  • 常见面试题解析
  • 推荐阅读与社区资源