第1章 零信任的基本概念

在這個(gè)網(wǎng)絡(luò)監(jiān)控?zé)o處不在的時(shí)代，無論是誰，都很難確定他是值得信任的，也很難對(duì)信任本身給出定義。你能相信通過互聯(lián)網(wǎng)發(fā)送的流量是安全的，未被監(jiān)聽嗎？當(dāng)然不能！將光纖租借給你的提供商呢？給數(shù)據(jù)中心布線的合同工呢？

正如愛德華·斯諾登（Edward Snowden）和馬克·科雷恩（Mark Klein）等人所揭露的，有美國政府背景的間諜組織始終在監(jiān)視網(wǎng)絡(luò)流量。得知這些間諜組織試圖進(jìn)入大型組織的數(shù)據(jù)中心后，整個(gè)世界都為之震驚。他們?yōu)楹芜@樣做呢？其實(shí)如果你身處他們的位置，也會(huì)這樣做，尤其是知道數(shù)據(jù)未經(jīng)加密時(shí)。

“數(shù)據(jù)中心內(nèi)的系統(tǒng)和流量是值得信任的”這種假設(shè)并不成立。很多年前，基于網(wǎng)絡(luò)邊界的安全防護(hù)合乎邏輯，但對(duì)現(xiàn)代網(wǎng)絡(luò)及其使用模式而言，這種做法不再適用，因?yàn)橹灰ハ菀慌_(tái)主機(jī)或一條鏈路，攻擊者便可在所謂“安全”的基礎(chǔ)設(shè)施內(nèi)暢行無阻。

你可能認(rèn)為，根本不可能通過網(wǎng)絡(luò)攻擊擾亂核電站和電網(wǎng)等重要基礎(chǔ)設(shè)施的正常運(yùn)行，但科洛尼爾管道（美國最大的成品油管道運(yùn)營商）和印度庫丹庫拉姆核電站都遭受了這樣的攻擊，這表明重要基礎(chǔ)設(shè)施將繼續(xù)成為黑客眼中的高價(jià)值攻擊目標(biāo)。這兩次攻擊有何相同之處呢？

在這兩個(gè)案例中，安全措施都很糟糕。在第一個(gè)攻擊案例中，攻擊者利用了如下一點(diǎn)：科洛尼爾管道網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)（VPN）連接可能使用的是明文密碼，且沒有采用多因素認(rèn)證（MFA）。在第二個(gè)攻擊案例中，在一名印度核電站員工使用的計(jì)算機(jī)上發(fā)現(xiàn)了惡意軟件，而該計(jì)算機(jī)連接到了管理網(wǎng)絡(luò)中的服務(wù)器。一旦進(jìn)入管理網(wǎng)絡(luò)，攻擊者便可暢行無阻，因?yàn)榫W(wǎng)絡(luò)內(nèi)部的系統(tǒng)和流量默認(rèn)是可信的。

零信任旨在解決在網(wǎng)絡(luò)內(nèi)部默認(rèn)采取信任態(tài)度所帶來的固有問題，有效地確保網(wǎng)絡(luò)內(nèi)部的通信和訪問是安全的，無須考慮傳輸層的物理安全。這可謂志存高遠(yuǎn)，但借助當(dāng)今強(qiáng)大的加密算法和自動(dòng)化系統(tǒng)，這樣的愿景完全可以實(shí)現(xiàn)。