零信任的技術(shù)價(jià)值

SDP應(yīng)該是零信任里最讓人感興趣的技術(shù)之一，原因來(lái)自VPN，我們知道VPN其實(shí)就是一個(gè)網(wǎng)關(guān)認(rèn)證，認(rèn)證通過(guò)后就一馬平川，導(dǎo)致詬病比較多，認(rèn)證成功后就像建立了一座橋，并不關(guān)心過(guò)橋的人來(lái)自哪，想去哪，想干嘛？網(wǎng)絡(luò)身份是解決了，但這身份卻不一定與業(yè)務(wù)相關(guān)，這就導(dǎo)致身份不統(tǒng)一，需要重復(fù)認(rèn)證，如果業(yè)務(wù)中沒(méi)有統(tǒng)一身份與認(rèn)證系統(tǒng)，也就意味著有N個(gè)業(yè)務(wù)系統(tǒng)就需要提供N個(gè)重復(fù)認(rèn)證，這還只是身份識(shí)別問(wèn)題，其他的問(wèn)題就更復(fù)雜了，而這又是業(yè)務(wù)安全中經(jīng)常遇到的，解決的方式往往以類(lèi)似打補(bǔ)丁的方式，并沒(méi)有一個(gè)統(tǒng)一的編排和調(diào)度機(jī)制，各種解決方案自然就五顏六色了，安全性難以得到保障。

前面提到訪問(wèn)者是誰(shuí)和來(lái)自哪的問(wèn)題已被SDP解決，那么要去哪，想干嘛的問(wèn)題就交給了零信任的動(dòng)態(tài)細(xì)粒度授權(quán)組件來(lái)解決，這個(gè)組件的技術(shù)實(shí)現(xiàn)意義有兩個(gè)，一個(gè)解決是授權(quán)的顆粒問(wèn)題；二是解決授權(quán)的動(dòng)態(tài)問(wèn)題。我們知道一般的系統(tǒng)都是有認(rèn)證系統(tǒng)的，通過(guò)身份識(shí)別后獲得相應(yīng)的訪問(wèn)權(quán)限，而這里的權(quán)限基本上事先配置好的，如果有變化則需要再次配置，無(wú)法做到動(dòng)態(tài)化；另外，權(quán)限的顆粒度也是用組或角色與系統(tǒng)菜單或功能關(guān)聯(lián)來(lái)完成，無(wú)法做到根據(jù)用戶(hù)信息的不同而不同，如果再要求返回的信息都要做到根據(jù)每個(gè)用戶(hù)擁有各自隱私數(shù)據(jù)，對(duì)于基于角色的顆粒度授權(quán)模式來(lái)說(shuō)就非常復(fù)雜而難以維護(hù)。

“城門(mén)失火，殃及池魚(yú)”，為了解決這個(gè)問(wèn)題，零信任進(jìn)行了流量隔離，采用了網(wǎng)絡(luò)微隔離技術(shù)，為了解決流量劫持和減少被侵入業(yè)務(wù)系統(tǒng)帶來(lái)的橫向影響，零信任的訪問(wèn)采用在網(wǎng)絡(luò)加密隧道里實(shí)現(xiàn)端對(duì)端的加密技術(shù)，網(wǎng)絡(luò)加密隧道可以容納多個(gè)端對(duì)端的子隧道來(lái)保障各子隧道的獨(dú)立性，避免出現(xiàn)流量劫持和網(wǎng)絡(luò)的侵入，而網(wǎng)絡(luò)加密隧道是虛擬的，可根據(jù)業(yè)務(wù)的請(qǐng)求實(shí)現(xiàn)動(dòng)態(tài)化，這樣不僅解決了被侵入業(yè)務(wù)系統(tǒng)的橫向影響，也同時(shí)解決了業(yè)務(wù)系統(tǒng)的負(fù)載均衡問(wèn)題。這個(gè)就是微隔離存在的意義，應(yīng)對(duì)攻擊建立了完整的防御體系。