零信任网络

零信任网络

我对行业术语持谨慎态度。我也可能滥用术语,但如果词汇中出现过多精确而狭义的术语,能与之交流的人群就会减少,连简单的事情如买瓶牛奶,都得像在使用大学时学过的外语初级课程一样。因此,少用一些行业术语会更好。

所以,当初我听到"零信任网络"和"微分割"这些词时,选择了暂时忽略。尽管有些疑惑,交流还是继续进行。但后来这些词出现的频率增加,我不得不弄清它们的含义。原来它们很有用!

那么它们究竟是什么意思呢?

零信任网络

"零信任"一词源于2010年,由John Kindervag提出。它作为一个完整的理念出现:我们需要放弃可信网络的观念。

传统的企业和生产网络有着周边安全的概念,内部被视为相对安全的空间,规则较为宽松,而外部则被看作危险的大世界。

[传统周边安全架构图]

但是,周边安全已无法奏效。总有一天,人们会找到进入网络的方法,通常是从你网络遗忘的某个服务入手。一旦攻击者潜入内部,宽松的内部规则和默认信任就会使他们的工作变得轻而易举:他们可以从那个被遗忘的小服务跳转到关键且有价值的服务。

零信任网络意味着内外网没有区别:每次连接都需要认证,所有流量都要加密,而且一切行为都将被记录。就像每台机器(虚拟机或其他)都暴露在公网IP地址上一样来设计。

[零信任架构图]

有趣的是,在"零信任"这个术语被创造出来的同一时期,我在一个平行的环境中也了解到了这些理念。这些想法在谷歌的生产网络安全和公司网络中都得到了应用和发展。后者有一个名为BeyondCorp的项目,并已对外公开。

微分割

这个概念稍微复杂一些。

微分割是一种从传统信任网络向零信任网络过渡的技术。

过程是这样的:拿一个传统网络,它只有一个网段。现在找到一组具有有限依赖关系的机器,将它们与较大的网络隔离。使用访问控制规则精确定义网络其他部分与这些机器的通信方式。于是你就拥有了两个网段。

重复这个过程,继续分割你的传统网络和新产生的网段,直到每个网段都变得非常小,只包含几台机器。这就是微分割。

当每个微小网段只包含一台机器时,恭喜你,你已经拥有了一个零信任网络!

这在今天完全可以使用我们熟知的工具实现,如路由器、防火墙、VPN等。但是这个过程非常艰巨。对网络的一部分进行分割需要数月的考古工作——联系退休员工,找到能够修改那些被遗忘但却对企业收入有重大贡献的服务的软件工程师。

使用现有工具进行微分割确实是一件非常困难的事情。

我为什么要讨论这些理念呢?

原因是我们 (ISecWay) 正在开发一种新的零信任网络产品,目的是使微分割变得更加简单。

有趣的是,直到不久前我们才意识到自己正在做这件事。我们知道BeyondCorp背后的原则——对所有人进行身份认证,加密所有流量,记录一切行为(零信任),我们也意识到企业需要循序渐进地达到这个目标(微分割)。

当然,你可以从零开始重写所有代码以实现零信任,但几乎没有企业能承受这样一个需时数年的大型项目的巨大成本。实际上,对于一家大公司来说,要估算这个过程的费用几乎是不可能的:因为在每个角落你都会发现一台老旧的服务器。

我发现这个问题领域非常有趣,因为良好的解决方案不仅能使现有软件运行得更好,还能让编程再次变得简单和经济,而这种方式已经被互联网日益加剧对传统可信网络模型的威胁所破坏。