第 2 章 管理信任 管理信任

信任管理也许是零信任网络最重要的组成部分。我们对信任都有一定程度的了解--你可能会信任你的家人，但不会信任街上的陌生人，更不会信任看起来具有威胁性或来势汹汹的陌生人。这是为什么呢？

首先，你实际上了解你的家庭成员。你知道他们长什么样子，住在哪里；也许你甚至一辈子都认识他们。他们的身份毋庸置疑，与其他人相比，你更愿意把重要的事情托付给他们。

而陌生人则是完全不认识的人。你可能会看到他们的脸，也能知道他们的一些基本情况，但你不知道他们住在哪里，也不知道他们的历史。他们可能看起来非常友善，但你很可能不会在重要事情上依赖他们。在你上厕所时帮你看管东西？帮你跑一趟自动取款机？绝对不行。

最后，你只需将你所能了解到的有关情况、一个人的所有信息，以及你可能知道的有关他们的所有信息综合起来，然后决定他们的可信度。取款机上的差事需要很高的信任度，而看管你的东西需要的信任度要低得多，但也不是零。

你甚至可能无法完全信任自己，但你绝对可以相信，你所采取的行动就是你所采取的行动。这样，零信任网络中的信任总是源于操作者。零信任网络中的信任似乎自相矛盾，不过，重要的是要明白，当你没有固有的信任时，你必须从某个地方获取信任，并小心管理。

但有一个小问题：操作员并不总是可以授权和授予信任！此外，操作员也无法扩展：）。幸运的是，我们知道如何解决这个问题--如图 2-1 所示，委托信任。

图 2-1. 操作员宣布信任某个系统，该系统又可以信任另一个系统，形成信任链

信任授权之所以重要，是因为它能让我们建立起可大规模发展的自动化系统，并以安全、可信的方式运行，只需最少的人工干预。受信任的操作员必须向系统分配一定程度的信任，使其能够代表操作员采取行动。一个简单的例子就是自动缩放。你希望服务器能根据需要自行配置，但你怎么知道新服务器是你的服务器而不是其他随机服务器呢？操作员必须将这一责任委托给配置系统，赋予它向新主机分配信任和创建新主机的能力。这样，我们就可以说，我们相信新服务器确实是我们自己的，因为供应系统已经证实它采取了创建服务器的行动，而且供应系统可以证明操作员已经授予它这样做的能力。这种回到操作员的信任流通常被称为信任链，，操作员可以被，信任锚。

威胁模型

在设计安全架构时，定义威胁模型是重要的第一步。威胁模型列举了潜在的攻击者、他们的能力和资源，以及他们的目标。威胁模型通常会定义哪些攻击者在攻击范围内，合理地选择减轻来自较弱对手的攻击，然后再攻击更难对付的对手。

一个定义明确的威胁模型可以成为集中安全缓解工作的有用工具。在构建安全系统时，就像大多数工程实践一样，人们往往会将注意力集中在工程问题中比较重要的方面，而忽略了比较枯燥但仍然重要的部分。这种倾向在安全系统中尤其令人担忧，因为系统中最薄弱的环节是攻击者很快就会关注的地方。因此，威胁模型可以作为一种机制，将我们的注意力集中在单一威胁上，并完全缓解其攻击。

在确定安全措施的优先次序时，威胁模型也很有用。如果一个系统的安全措施不足以抵御对用户密码的简单暴力攻击，那么与国家级的行为者作斗争是毫无意义的。因此，在建立威胁模型时，必须首先从简单的角色入手。

常见威胁模式

在安全领域有许多不同的威胁建模技术。下面是一些比较流行的 ...