零信任架構白皮書

背景介紹

零信任網絡架構提供了一條前進的道路，它解決了基於周界安全的弱點，採取的立場是網絡本身就是敵對的；周界背後的安全是一種幻覺，野蠻人已經撞開了大門。

傳統安全模式的弱點

零信任的信條

爲什麼它更好？

我什麼時候需要它？

雖然每個組織都可能從採用零信任原則中受益，但期望幾十年的基礎設施和業務流程全盤轉變爲新模式是不現實的。

特定的壓力可能會促使你儘早這樣做。當你的基礎設施跨越不同的供應商時，例如，分裂的企業內部和雲部署或混合雲部署，在這些擴展的網絡上大規模應用 VPN 和 NAT 的複雜性和脆弱性可能使得在短期內對這些部署應用零信任網絡原則具有成本效益和風險效率。

ZTA 組件

NIST 提出了三個邏輯組件來實現動態授權和認證。

1. 一個策略引擎（Policy Engine，簡稱 PE），負責確定授權。2. 一個策略管理員（Policy Aadminstrator，簡稱 PA），用於根據策略引擎的結果建立和 / 或關閉通往資源的通信路徑。3. 策略執行點（Policy Enforcement Point，簡稱 PEP），位於提出請求的主體和目標資源之間，啓用、監測和終止它們之間的連接。

圖一

在這種模式下，主體要求的所有工作負載必須有一個身份，可以在 PEP 進行認證和授權。策略決策點對這些身份執行策略，並在允許訪問之前執行認證和授權。在這裏，授權是基於細粒度的策略；可及性不算作授權。數據平面的 PEP 允許在運行時對系統進行觀察，並確保持續的合規性和治理控制。

實施

由於零信任不是一個藍圖，而更像是一種設計理念，因此有許多潛在的方法來實現零信任架構。作爲服務網格和下一代訪問控制（NGAC）技術的創始人和實施者，我們認爲服務網格與 NGAC 相結合，爲建立零信任架構網絡提供了最佳基礎。

服務網格提供了你所需要的重要基元：

• 集中管理的策略授權 • 分佈式策略執行點 ——PEP 與資源訪問點（RAP 共同部署）• 內置支持基於運行時身份而非網絡位置的工作負載身份 • 內置支持終端用戶的應用級認證和授權，允許對網狀結構中的每個應用進行全局和一致的策略執行 • 對線上數據進行加密 • 內置可觀察性

網格提供了操作上的保證，你可以在部署認證和授權系統時使用網格，使它們更安全，更容易管理。我們可以很容易地用服務網格中的組件來重新繪製圖一中所代表的 NIST 的邏輯架構。

圖二

服務網格的透明性允許我們逐步採用，而不需要對你的安全基礎設施和業務流程全面推倒重建。網格對應用程序、部署和安全問題的解耦意味着你可以開始在現有的基礎設施上建立一個零信任的架構，而不擾亂你的業務流程和應用程序交付生命週期。

案例研究 —— 美國國防部 Platform One

“老實說，我任務在沒有服務網格的情況下無法獲得任何有意義的成功；也許在 2018 年可以，但在 2020 年和這以後不可能。” —— 美國空軍首席軟件官尼古拉斯・ M ・查蘭（Nicolas M. Chaillan）。

美國國防部在空軍首席軟件官 Nicolas M. Chaillan 的主持下，對其開發和運營軟件的方式進行了革新。由 Chaillan 領導的在整個國防部發展 DevSecOps 實踐的團隊 Platform One，提供了多種企業服務，將 “自動化的軟件工具、服務和標準帶到國防部的項目中，使作戰人員能夠在安全、靈活的情況下創建、部署和操作軟件應用。

這些服務包括他們的 DevSecOps 平臺（DSOP），這是一個經批准的、符合 CNCF 標準的 Kubernetes 發行版的集合，還有 Istio、基礎設施即代碼的手冊和加固的容器。

根據 Chaillan 的說法，“擁有一個集中的、由政府提供的、團隊可以來使用的 DevSecOps 堆棧，這改變了遊戲規則。“過去，軟件更新週期長達數年，而現在國防部 “每天都在推送代碼，一天推送多次…… 每個項目的初始計劃時間每 5 年平均節省 12 至 18 個月。”

Istio 是他們架構的一個主要支柱，它提供了服務網格的能力，特別是它實現零信任模型的方式。當被問及爲什麼他們使用服務網格而不是僅使用入口控制器時，他不僅提到每個應用程序默認都有 mTLS 傳輸加密，而且 “一旦你轉向微服務和容器，你必須管理東西向流量，這與南北向完全不同…… 你需要確保橫向移動受到限制。你不希望一個壞人獲得一個容器的訪問權，並能夠…… 橫向移動到其他容器。除了 SSO 和 mTLS，Platform One 的架構使用 Istio 來執行東西向白名單，並在容器之間提供策略執行點。

該網格將策略執行從應用堆棧中剝離出來，並將其透明地轉移到 sidecar 代理上。Platform One 能夠將不同應用團隊獨立構建的多個 “雪花 “應用級 SSO 和加密實現整合爲一個加固的單點登錄和授權庫，可供企業範圍內所有應用使用。這就減輕了開發團隊在每個應用中構建安全的負擔。它還通過對單一的、經過嚴格審查的實施方案進行標準化，大大降低了漏洞風險。

Chaillan 說，“如果你不使用服務網格，你最終不得不按語言、按微服務來做。而現在你是緊密耦合的。而且，比方說，在過去如果你想要更新加密位數，你就必須更新所有容器，而現在只需要更新服務網格中的 sidecar，現在你已經解耦了。僅此一點，就值得使用服務網格。”

總結

周邊安全模式及其漸進式的後繼者過於脆弱和複雜，無法滿足現代應用開發和部署的需要。現在應用程序的構建方式需要一個動態的、靈活的安全解決方案，一個既能集中管理又能普遍適用於所有應用程序開發團隊的解決方案。零信任架構在網絡和應用層面提供了急需的安全改進，而服務網格爲實現零信任提供了最強大、動態和靈活的方式。

在所有服務和所有應用之間部署全局管理的策略執行點，服務網格提供了插入零信任功能的模擬點，如 SSO、mTLS 和動態授權。通過在全局範圍內將安全責任從單個應用程序抽離到服務網格，企業有可能逐步採用零信任原則，而無需重寫應用程序或改變現有流程。

引用鏈接

[1] 《零信任架構白皮書》: https://www.tetrate.io/white-paper-zero-trust-architecture/

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/pjXXkHqAjHN6v0Me9jHQLA