首先,零信任是什么?
零信任,英文原文是“Zero Trust”,字面意思就是相互間沒有信任。讓人想起網絡熱梗:“人跟人之間沒有信任了嗎?”,“你能傷害的都是信任你的人!”
這里并不是勸人躺平,做一位“孤家寡人”。恰恰相反,正是因為沒了信任,所以才特別需要建立信任,通過不斷驗證權限來建立信任。通過不斷驗證來提升安全就是零信任的核心思想。
NIST官網對零信任有一番比較細致的介紹(看不太明白,也沒關系):
“零信任(Zero trust,ZT)是一組不斷發展的網絡安全范例的術語,這些范例將防御從靜態的、基于網絡的邊界轉移到關注用戶、資產和資源。零信任架構使用零信任原則來規劃工業和企業基礎設施和工作流。”
“零信任是對企業網絡趨勢的回應,趨勢包括遠程用戶、自帶設備(BYOD)以及不在企業擁有網絡邊界內的基于云的資產。零信任側重于保護資源(資產、服務、工作流、網絡帳戶等),而不是網絡段,因為網絡位置不再被視為資源安全態勢的主要組成部分。”
為什么現在需要零信任呢?
零信任的概念最早可追溯到上世紀90年代,現在為什么談零信任呢?說到底,這是IT架構體系變遷所致。
在以前,企業在自家機房購置服務器、存儲和網絡等硬件,以此支撐企業信息系統。如果說,這一時期的機房是一棟自建的獨棟別墅,那么,安全方案就是別墅的圍墻。
安全問題如影隨形,而“圍墻”不僅做不到密不透風,而且還經常需要修修補補,漏洞經常有,一旦碰到了安全漏洞,就需要對應一套解決方案,在墻上打個補丁。
這套由自己搭建,自己打理的別墅見證了企業的成長壯大,圍墻上的補丁也見證了歷史變遷,而現在,環境發生了變化——云計算時代來了,企業的多云架構來了。
在多云時代背景下,企業自己的獨棟別墅雖然很重要,但經常需要租用/訂閱外部資源,此時的安全邊界發生了變化,自建的圍墻已經不能覆蓋所有資產了。
于是,就需要零信任架構用新的原則重新解決安全的問題。
零信任解決安全問題的原則有三個
首先,所有設備和用戶都得是已知的,都得面部清晰有名有姓,還要有明確的權限范圍。就好比,你走進一家公司,保安允許你進入,但并不代表你被信任了。如果你要打開財務部的門,你得證明你有權限,否則,從保衛科門里出來的人就來找你了。
第二,傳統做法是阻攔有害的行為,而零信任是只能做被允許的事。人只允許做已知的、好的事情,設備只能運行可以運行的應用,而未經允許的、未知的操作都做不了。如此一來,風險管理變得很簡單了。
第三,經認證的人和設備在做的事情會被記錄和監控,如果有反常活動,比如,研發的人經常訪問財務人員該訪問的內容,這種行為就會被記錄和上報。這樣就更容易發現問題,威脅管理也變得簡單了。
從觀感來看,零信任有過于”不近人情“的嚴苛。
從落地層面看,零信任帶來的變化太大,感覺會很麻煩,像一團亂麻。
零信任的構成需要三層架構緊密協作
其實,零信任架構有相對清晰的三層架構:業務控制層、通用控制平面和基礎架構三層。而且,實施的順序是從最上層的業務控制層開始、到通用控制平面,最后才是基礎架構層。
三層的職責各不相同:
業務控制層管理著業務層的安全,比如,研發人員能夠訪問實驗室,非研發人員不能訪問實驗室,這是業務層要管的。又比如,數據只能本地化,核心數據不得出境,也是業務要管的。
落到實現層面,由于業務控制層需要梳理業務邏輯,所以,會需要德勤、埃森哲和凱捷這樣的咨詢公司來參與。
通用控制平面負責用技術執行業務控制的內容,本身是一系列的技術實現。它會幫系統搞清楚它是誰,定義它可以做什么,記錄并識別它做了什么,這三個問題。
具體的實現層面,需要微軟的Active Directory、Rapid7、戴爾的SecureWorks和SentinelOne等軟件方案來實現。
零信任環境的第三層是基礎架構,它應該由控制平面來控制。但由于硬件層缺少合適的協議,沒有正確的策略模型,所以,控制平面很難對基礎架構進行控制。
從具體的實現來講,如果基礎架構面向控制平面進行設計,就可以執行來自業務控制層面和通用控制層面上定義的安全策略,而上層也可以通過來自基礎架構的遙測數據獲知更多細節。
戴爾在零信任中的角色是什么,為什么要談零信任?
零信任架構體系包含以上三個層面,而且還需要很好的集成,但由于沒有標準、沒有明確的職責劃分、沒有零信任基礎架構API等等,目前企業要承擔絕大部分集成的負擔,導致零信任實現起來非常困難。
戴爾可以簡化零信任的部署。戴爾可以提供包括存儲、網絡、服務器、終端設備在內的各種基礎架構,并與控制平面更好地整合,用完整的三個層面來構建零信任架構體系。推動零信任架構的更快落地。
所以,這里解釋文章一開始的問題,為什么戴爾要大談零信任?
戴爾作為全球范圍內的大型IT基礎架構提供商,在全球范圍內提供了大約三分之一的存儲,大約五分之一的服務器,以及數不清的終端設備。
戴爾有產業號召力和生態標準化方面的影響力。在零信任的問題上,戴爾正在推動整個業界實現零信任的集成,讓零信任更簡單地被采納,減輕企業集成的負擔。
零信任與現代安全三大要素
以上,談到了零信任的概念、作用和構成,能提升多云架構時代下的企業安全水平。零信任安全架構對安全體系帶來了較大變化,也為企業打造現代安全奠定了基礎。
現代安全有三大要素,而戴爾能支撐企業構建現代安全:
首先,戴爾作為基礎設施提供商,可以提供信任的基礎。
戴爾作為國際大廠,不僅有較高的品牌信譽。而且,戴爾能提供安全的交付過程,用戶能清楚地知道所使用的戴爾的產品,在哪里設計和生產,從用戶下訂單到收獲部署期間有沒有被動過手腳,以確保安全。
零信任是戴爾基礎架構不可或缺的一部分,貫穿全生命周期。戴爾從產品設計和開發開始,就考慮零信任,在制造和交付環節,在部署和運維以及停用階段,都實現了零信任的保障措施。制造和交付環節涉及的安全問題值得重視,業內出現了一些在交付環節零部件被動手腳,從而引發安全事件的先例。
第二,戴爾作為基礎設施提供商,可以簡化零信任的采用。
零信任架構集成的負擔太沉重,戴爾通過專為零信任架構而設計基礎架構,實現跟控制平面的集成,與身份管理、策略管理、威脅管理的集成。這意味著,戴爾的用戶更容易跟現有的安全解決方案集成在一起,簡化了零信任的采納。
最后,戴爾作為基礎設施提供商,還可以提供網絡恢復計劃。
說到底,零信任是用來防御安全威脅的,盡管可以提升網絡防御能力,但是,世界上沒有絕對的安全,萬一防御措施失效,后續就只能硬著陸了嗎?戴爾的實踐證明,用戶需要一個網絡恢復計劃,使業務快速恢復。
戴爾提供的這三方面能力正是現代企業安全的三大要素。如何加強現代化安全呢?且聽下文分解。
京公網安備 11010502049343號