從“存在即合理”的角度來講,任何新事物的產生都有其存在的價值和意義,無非是時間的長短而已,而能夠為大眾所接受的不僅僅對目前有意義而且還對未來也有利的事物。
零信任的概念出現的比較早,進入國內也就近幾年的事,業界對這一直頗有爭議:
第一種說法:零信任沒有方法論,沒有理論依據;
第二種說法:零信任到底是否就是沒有信任;
第三種說法:有了零信任企業業務是否真的安全了?
第一種說法大部分來自搞研究的領域,就像加密演算法及證書,有根才有分支,順藤摸到根就是依據,這樣才是安全的,沒有依據的事物怎麼來證明是安全的呢?實際上這是角度的問題,說方法論的大多從技術實現來講的,而零信任只是個概念,是眾多技術實現的組合,零信任的眾多元件在採用的技術就可以透過加密演算法和證書來實現;
第二種說法更多是來自字面上的理解,零信任並不是不信任,而是需要提供信任的憑據,之前裝置是無條件信任,而現在零信任只是增加了條件而已;
第三種說的更多是安全方面的深度和廣度問題,而零信任更多的是在一個點的深度上做到相對的安全,不可能覆蓋企業所有的安全,主要解決了從終端到資源之間的訪問和許可權控制、網路的傳輸、攻擊的隔離與防護方面存在的安全問題。
零信任的技術價值來自其各元件的實現,下面讓我們來看看幾個關鍵元件的技術是怎樣實現的,它們各自存在的意義又有哪些。
軟體定義邊界(SDP)技術
SDP應該是零信任裡最讓人感興趣的技術之一,原因來自VPN,我們知道VPN其實就是一個閘道器認證,認證透過後就一馬平川,導致詬病比較多,認證成功後就像建立了一座橋,並不關心過橋的人來自哪,想去哪,想幹嘛?網路身份是解決了,但這身份卻不一定與業務相關,這就導致身份不統一,需要重複認證,如果業務中沒有統一身份與認證系統,也就意味著有N個業務系統就需要提供N個重複認證,這還只是身份識別問題,其他的問題就更復雜了,而這又是業務安全中經常遇到的,解決的方式往往以類似打補丁的方式,並沒有一個統一的編排和排程機制,各種解決方案自然就五顏六色了,安全性難以得到保障。
SDP技術並不是要完全取代VPN,從網路層來講其實是VPN技術的進化,SDP中的網路層隧道加密技術完全可以採用VPN來完成,在此基礎之上再實現微隧道建立,完成端對端的加密方式和流量的完全隔離,當然SDP在建立網路層加密隧道之前是需要完成裝置與使用者同時認證的,否則無法建立網路層加密隧道,這個就解決了你是誰,從哪裡來的問題。對訪問者的身份和終端環境做了全面的鑑定,這塊對邊緣的身份安全有著廣泛的意義。
零信任架構是一組服務的集合,提供了一套完整的安全解決方案,把各個安全元件服務從點到面進行了覆蓋,類似於手機中的蘋果,各元件實現的技術並沒有新穎的地方,但整合在一起卻是令人耳目一新,所以說個體是否完美不重要,只要組合完美就可以了,在這點上,零信任技術得到完美詮釋。
動態細粒度授權技術
前面提到訪問者是誰和來自哪的問題已被SDP解決,那麼要去哪,想幹嘛的問題就交給了零信任的動態細粒度授權元件來解決,這個元件的技術實現意義有兩個,一個解決是授權的顆粒問題;二是解決授權的動態問題。我們知道一般的系統都是有認證系統的,透過身份識別後獲得相應的訪問許可權,而這裡的許可權基本上事先配置好的,如果有變化則需要再次配置,無法做到動態化;另外,許可權的顆粒度也是用組或角色與系統選單或功能關聯來完成,無法做到根據使用者資訊的不同而不同,如果再要求返回的資訊都要做到根據每個使用者擁有各自隱私資料,對於基於角色的顆粒度授權模式來說就非常複雜而難以維護。
零信任的技術解決方式是透過細粒度動態授權的實現來解決這些問題,動態授權裡包含了策略和風險評估,策略是透過屬性進行的決策服務,因此,屬性是許可權顆粒度的單元,而基於屬性的授權模式很容易解決角色模式無法解決的問題,這是因為所有的資訊都來自屬性,只需要根據策略決策的結果是否允許即可,這個請求策略決策動作的過程也就是動態授權了。這樣,業務的兩個安全問題就得到了很好的解決。基於屬性的決策與評估對以後邊緣的訪問安全有著參考意義。
微隔離技術
“城門失火,殃及池魚”,為了解決這個問題,零信任進行了流量隔離,採用了網路微隔離技術,為了解決流量劫持和減少被侵入業務系統帶來的橫向影響,零信任的訪問採用在網路加密隧道里實現端對端的加密技術,網路加密隧道可以容納多個端對端的子隧道來保障各子隧道的獨立性,避免出現流量劫持和網路的侵入,而網路加密隧道是虛擬的,可根據業務的請求實現動態化,這樣不僅解決了被侵入業務系統的橫向影響,也同時解決了業務系統的負載均衡問題。這個就是微隔離存在的意義,應對攻擊建立了完整的防禦體系。
以上是零信任裡最關鍵的三個技術實現,也是零信任的三大服務元件。除此之外,零信任還包含其他許多元件,而其中的統一身份與認證則是基礎元件,從邊緣安全到網路安全,從訪問授權到資源安全,零信任已有相應的技術實現方案,是一個從點到面的完整而全面的技術實現過程。
從整體技術的實現來講,尤其在邊緣安全的保護與訪問,網路安全與隔離,對未來的區塊鏈中的節點安全、物聯網的智慧終端安全都有很好的借鑑意義。如果零信任技術的實現是基礎,那麼意味著後續更多更廣泛的新技術可能即將到來,也許這才是它的技術價值所在。