May 2025
Beginner to intermediate
240 pages
2h 31m
Chinese
Content preview from 零信任网络
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
第 1 章. 零信任基础
本作品已使用人工智能进行翻译。欢迎您提供反馈和意见:translation-feedback@oreilly.com
在这个网络监控无处不在的时代,我们发现自己很难知道该相信谁。我们能相信我们的网络流量不会被窃听吗?当然不能!向你租用光纤的供应商怎么样?或者昨天在你的数据中心进行布线工作的签约技术人员呢?
爱德华-斯诺登(Edward Snowden)和马克-克莱因(Mark Klein)等告密者揭露了政府支持的间谍组织的顽固性。他们成功打入大型机构数据中心的消息震惊了世界。但为什么会这样呢?如果你处在他们的位置,难道不会这么做吗?尤其是当你知道那里的流量不会被加密的时候?
认为数据中心内的系统和流量可以信任的假设是错误的。现代网络和使用模式已不再像多年前那样让周边防御变得有意义。因此,一旦 "安全 "基础设施内的一台主机或一条链路遭到破坏,在该基础设施内自由移动往往就变得微不足道了。
零信任旨在解决将我们的信任寄托于网络的固有问题。相反,我们有可能有效地确保网络通信和访问的安全,以至于可以合理地忽略传输层的物理安全。不言而喻,这是一个崇高的目标。好消息是,如今我们已经有了相当不错的加密技术,只要有正确的自动化系统,这一愿景是可以实现的。
什么是零信任网络?
零信任网络建立在五个基本论断之上:
- 网络总是被假定为敌对的。
- 网络上随时存在外部和内部威胁。
- 网络的本地性不足以决定网络中的信任度。
- 每个设备、用户和网络流都经过验证和授权。
- 政策必须是动态的,并根据尽可能多的数据来源进行计算。
传统的网络安全架构将不同的网络(或单个网络的片段)分成多个区域,由一个或多个防火墙控制。每个区域都被授予一定的信任级别,这决定了它允许访问的网络资源。这种模式提供了非常强大的深度防御。例如,被认为风险较高的资源,如面向公共互联网的网络服务器,会被置于exclusion zone(通常称为 "DMZ"),,在这里可以对流量进行严格监控。这种方法所产生的架构与您以前可能见过的一些架构类似,如图 1-1 所示。
图 1-1. 传统网络安全架构
零信任模式将这一示意图彻底颠覆。与昔日的设计相比,在网络中设置安全漏洞是一个坚实的进步,但在现代网络攻击环境中却明显不足。它有许多缺点:
- 缺乏区内流量检查
- 主机放置缺乏灵活性(包括物理放置和逻辑放置)
- 单点故障
应当指出的是,如果取消了网络本地性要求,也就不再需要 VPN。VPN(或虚拟专用网络)允许用户进行身份验证,以便接收远程网络上的 IP 地址。然后,流量从设备以隧道方式传输到远程网络,并在那里进行解封装和路由。这是无人怀疑的最大后门。
如果我们宣布网络位置没有价值,那么 VPN 和其他一些现代网络结构就会突然过时。当然,这项任务要求尽可能将执行工作推向网络边缘,但同时也免除了核心网络的责任。此外,所有主要操作系统中都有状态防火墙,交换和路由技术的进步也为在边缘安装高级功能提供了机会。综上所述,我们得出一个结论:转变模式的时机已经成熟。
通过利用分布式策略执行和零信任原则,我们可以生成类似图 1-2 所示的设计。
图 1-2. 零信任架构
零信任控制平面介绍
支持系统被称为控制平面,而其他大部分被称为数据平面,由控制平面进行协调和配置。访问受保护资源的请求首先通过控制平面提出,设备和用户都必须在控制平面上进行身份验证和授权。在这一层可以应用细粒度的策略,也许是基于在组织中的角色、一天中的时间或设备类型。此外,访问更安全的资源还必须经过更严格的身份验证。 ...