零信任安全呼喚新思維和新舉措

我們都聽說過“零信任安全”，但未必確切地知道應(yīng)該如何實(shí)施，其中部分原因在于這個(gè)名稱。零信任聽起來很不錯(cuò)，但將此概念付諸實(shí)施簡(jiǎn)直是不可能的。如果用戶們根本不信任任何系統(tǒng)、用戶、設(shè)備、應(yīng)用或是過程，企業(yè)將無法運(yùn)轉(zhuǎn)。

零信任的一種準(zhǔn)確的名稱可能是高度顆粒化和分布式的信任。也就是說，零信任背后的概念其實(shí)是分布式信任的高度顆粒化的控制。A設(shè)備和B設(shè)備之間的會(huì)話可能是被允許的，但并非所有的會(huì)話都是允許的，或者說并非設(shè)備A和B之間的所有會(huì)話類型都可信。

高度顆粒化和分布式信任這兩個(gè)概念形成了零信任安全的兩個(gè)關(guān)鍵要素。零信任依賴并要求對(duì)系統(tǒng)和數(shù)據(jù)的深入理解，因而IT才能圍繞系統(tǒng)、過程、應(yīng)用和無處不在的用戶部署有意義的邊界。

因而，零信任安全要求IT徹底地重新思考網(wǎng)絡(luò)，其中包括傳統(tǒng)和獨(dú)立的路由器、防火墻、分布式拒絕服務(wù)攻擊防御系統(tǒng)、網(wǎng)絡(luò)分段產(chǎn)品及所有其他網(wǎng)絡(luò)元素的角色。安全功能正日益被虛擬化和模塊化為虛擬設(shè)備和虛擬化的網(wǎng)絡(luò)功能，并且能夠在必要時(shí)在企業(yè)整個(gè)基礎(chǔ)架構(gòu)中實(shí)施。

零信任還將安全的自動(dòng)化置于“安全運(yùn)維”的中心地位，并且擁有自動(dòng)化的所有好處：可靠性、靈活性、可擴(kuò)展性。

實(shí)用舉措

網(wǎng)絡(luò)安全專業(yè)人士如何將高度顆粒化和分布式信任、重新思考網(wǎng)絡(luò)設(shè)計(jì)、實(shí)施自動(dòng)化等轉(zhuǎn)變?yōu)閷?shí)用的措施呢？

首先需要做的是虛擬化。計(jì)算和應(yīng)用程序的虛擬化相對(duì)成熟。多數(shù)企業(yè)已經(jīng)朝著虛擬化服務(wù)器邁進(jìn)，并且很多企業(yè)已經(jīng)實(shí)施了一種基于微服務(wù)和容器的軟件開發(fā)模式。所以，在計(jì)算和應(yīng)用層實(shí)施零信任要從將顆粒化和分布式安全提交給虛擬機(jī)、微服務(wù)、容器開始。

很多廠商的工具可以提供基于容器的安全，還有的工具可協(xié)助實(shí)現(xiàn)微服務(wù)安全。但是，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的成熟度卻低得多。很多企業(yè)仍通過物理設(shè)備的組合（交換機(jī)、路由器、防火墻、負(fù)載均衡器、網(wǎng)關(guān)等設(shè)備）來構(gòu)建網(wǎng)絡(luò)。

在一個(gè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)內(nèi)部實(shí)施零信任安全的一個(gè)關(guān)鍵步驟就是虛擬化遷移。在數(shù)據(jù)中心和WAN內(nèi)部實(shí)施SDN提供了必要的平臺(tái)，可以將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全功能實(shí)例變?yōu)樘摂M機(jī)而非物理設(shè)備。例如，防火墻可能成為一體化SD-WAN設(shè)備中的防火墻虛擬機(jī)。這又使功能的自動(dòng)化和顆粒化控制成為可能。

達(dá)到零信任

很多傳統(tǒng)的安全和網(wǎng)絡(luò)廠商及新興廠商都提供這些類型的虛擬化產(chǎn)品，提供對(duì)個(gè)別會(huì)話的顆粒化控制，并且能夠?qū)W(wǎng)絡(luò)許可提供動(dòng)態(tài)的重新配置。對(duì)于企業(yè)來說，重新關(guān)注傳統(tǒng)的和新興的廠商，評(píng)估其虛擬化的程度是非常值得的。

在選擇工具時(shí)，非常重要的一點(diǎn)是要考慮集中化的策略。有些廠商正開始在網(wǎng)絡(luò)策略引擎方面發(fā)揮作用，為合作伙伴的一系列能夠?qū)嵤┘谢呗缘募夹g(shù)提供支持。不管企業(yè)希望哪個(gè)廠商成為策略引擎，非常關(guān)鍵的問題是，要考慮擁有一種集中化的策略倉(cāng)庫，企業(yè)可以做出能夠波及到整個(gè)基礎(chǔ)架構(gòu)的變化。

即使零信任安全并不是其名稱所暗示的那樣，它也將最終改變一切。而且，在實(shí)施零信任安全時(shí)，網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)是最薄弱的環(huán)節(jié)，所以企業(yè)應(yīng)特別關(guān)注對(duì)企業(yè)網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)實(shí)施虛擬化，并保障其安全。