上一篇 文章中我们聊到零信任在“永不信任,总是验证”这个原则下的主要改变——在时间上和空间上缩短授权的时间长度,让鉴权变得更加频密。 我们在这一篇文章中将进一步阐述零信任的另外一个背景: 网络改造 。
让我们先从传统的场景开始回顾一下零信任。
(资料图片仅供参考)
最开始的时候一个企业只有一个办公场所,所有的设备都在一个物理空间内。这个时候,员工必须物理身在办公室内才可以办公,因此一个路由器就解决了问题:网线一插就连接到了企业网络。同时,企业网络内的数据发送、接收也没有加密(例如裸HTTP连接或者telnet连接、开放在3306端口的MySQL数据库等等。
这种插网线的场景叫做“城堡—— 护城河”模型 :路由器及连接到路由器上的设备共同构成一个城堡,要想进入城堡,就必须拿一根网线在护城河上搭一座桥。搭桥的方法多种多样——接入一个Wi-Fi接入点,就可以无线搭桥;接入一个VPN网关,就可以远程搭桥。
我们当然需要对进入网络的人进行鉴权和授权(确认他有资格跨过护城河)。在有线路由器的场景下,鉴权授权通过发放网线完成;在Wi-Fi下通过预共享密钥(Pre Shared Key)完成;在VPN(或者企业认证Wi-Fi)下通过帐号密码体系完成。
不过,无论用户是采用什么手段接入城堡,城堡内的信息安全都不太靠谱——C(保密性)近乎没有(文件对公司同事是透明的)、I(完整性)(内容传着传着可能有意无意就被改了)和A(可用性)(内容可能传着传着被掐断)自然也无从谈起。
零信任的第一个目的就是解决这个问题。通过为具体的业务系统加入单独的身份鉴权、授权和保密机制,即使在城堡里面使用业务系统也要经过额外的身份验证。这么做的话好处是显而易见的——即使网络攻击者进入了城堡,也无法访问具体的业务。
零信任在这个角度来看解决了企业内的信息安全问题。不过,在企业的IT实践中,还发现了另外一个问题。
我们刚刚提到,一个企业就是一座城堡;因此,城堡从小到大的过程,也是企业网络不断扩大的过程。在这个过程中,企业不可避免地要建立分支机构——也就是对城堡建立分身。例如,一家航空公司有四个基地,那四个基地总得都有一个城堡。
为了在城堡之间建立联系,往往需要建设专线。但是,专线有两个问题:第一个问题是专线的建设随着企业的扩大而愈发复杂——如果采用可靠性好的结构的话,两个城堡之间一条专线,三个城堡之间三条,四个城堡之间六条……这个成本是阶乘级别的复杂度。而如果采用简单的结构(即以总部为中心,所有分支仅建设一条到总部的专线)的话,虽然成本是线性级别(两个城堡一条,三个城堡两条),但是一旦总部瘫痪,公司业务也就停摆了。
同时,专线严格而言也缺乏互联网那样的灵活性和灾备能力。由于互联网的规模远大于企业专线网络,因此主干网络的冗余程度也大于企业专线——例如,同样是从西安到上海,企业专线可能只有一条路由模式,但是互联网可以选择多种不同的方式路由。
理论上而言,拥有服务质量保证(QoS)的互联网确实比专线有着更好的性能。但是,之前制约企业使用这一技术的原因在于传统的城堡——护城河——桥的模式:出于访问控制的角度,桥上不能承载别的网络流量。
但是,零信任及其配套的加密机制使得甲方和乙方都想到了一个问题:如果我在互联网上传输的数据的保密性(通过TLS所带的RSA、AES或者国密算法等加密算法满足)、完整性(通过TLS所带的散列算法满足)和可用性(通过运营商QoS满足)都符合要求的话,为什么我还要建设一层企业内部专网呢?
这就产生了零信任的第二个场景—— 简化企业网络拓扑 。
OSI模型定义了五层(传统七层架构中的会话层和表示层已经被弃用合并)。
我们假设一个简单的通过网页访问的业务系统。这个业务系统在应用层上使用HTTP,但其下的各层可以自行配置。这个系统的演变可能是这样的:
1. 最开始的时候,由有线以太网负责底层网络,接入后使用内网IP访问。此时,数据传输使用明文的TCP协议。接入Wi-Fi之后,底层网络部分改为无线Wi-Fi承载,由无线接入点负责Wi-Fi和以太网之间的转换;接入VPN之后;底层网络部分改为由L2TP(或其他VPN协议)承载,由VPN网关负责VPN协议和以太网之间的转换。
2. 使用明文TCP协议的最大问题是用户凭据会在内网中泄露(需要明文传输密码),因此零信任提出的第一重改进是用带有加密功能的TLS协议传输数据(也就是从HTTP升级到HTTPS)。此时,底层网络可以保持不变——仍然是经过以太网、Wi-Fi或者VPN,通过内网IP访问。这一层就是“在同等的成本下实现更高的安全性”:在不改变既有的网络拓扑(不降低成本)的前提下,提高企业网络对抗攻击者的能力。
3. 我们可以发现的是,如果服务器本身的配置是安全的(例如在传输过程中使用强TLS加密、仅仅开放了HTTPS一个端口、并且使用公钥智能卡等复杂认证机制),那么让这个服务器暴露在公网上并不会增加额外的安全风险。此时,零信任的第二重改进就是通过改用公网传输的形式简化网络拓扑,避免使用昂贵的VPN或者专线。这一层就是“在同等的安全性下实现更低的成本”:在不改变企业网络对抗攻击者的能力的前提下,降低企业网络拓扑的实施成本。
因此,零信任并非一套标准化的“术”,而更像是一套哲学式的“道”。换言之,企业IT管理者需要谨慎地根据企业自身实际情况,决定三个问题:企业内是否需要实施零信任?需要实施到什么程度?如何实施?
关于我们 > > > >
原名“航旅IT圈”,成立于2015年。由航空旅游行业数智化领域资深人士创办,专注研究航旅业的数字化解决方案、培养航旅业数字化人才,致力成为航旅企业与数字化服务企业的专业桥梁,成为航旅数智专业人才的摇篮。
专家观点 前沿资讯 解决方案
· 趋势分析、热点评论、知识分享
· 航旅生态圈数字化人才培养园地
观点没有对错,欢迎随时切磋
投稿与联络: christiegmat( 微信 ) | christieliuyue@yahoo.com.tw
