1.8 在云環(huán)境中應(yīng)用零信任模型

將基礎(chǔ)設(shè)施部署到云端面臨眾多挑戰(zhàn)，其中較大的一個(gè)就是安全性。零信任非常適合用于云端部署，其原因顯而易見：不能信任公有云環(huán)境中的網(wǎng)絡(luò)。在零信任模型中，認(rèn)證和通信保護(hù)不依賴于IP地址（或者說(shuō)是IP地址所在網(wǎng)絡(luò)的安全性），這意味著計(jì)算資源可以商品化。零信任模型主張對(duì)每個(gè)數(shù)據(jù)包都進(jìn)行加密，即便數(shù)據(jù)包僅在數(shù)據(jù)中心內(nèi)部傳輸，因此管理員無(wú)須關(guān)心哪些數(shù)據(jù)包將傳輸?shù)交ヂ?lián)網(wǎng)，哪些不會(huì)。這種優(yōu)點(diǎn)常常被低估。為確定何時(shí)、何地以及如何對(duì)流量進(jìn)行加密的相關(guān)認(rèn)知負(fù)荷很大，對(duì)那些對(duì)底層系統(tǒng)沒(méi)有全面認(rèn)識(shí)的開發(fā)人員來(lái)說(shuō)尤其如此。零信任模型消除了需要考慮的特殊情況，進(jìn)而消除了與這些特殊情況相關(guān)的人為錯(cuò)誤。

有人可能會(huì)反駁說(shuō)，對(duì)在數(shù)據(jù)中心內(nèi)部傳輸?shù)牧髁窟M(jìn)行加密有點(diǎn)小題大做，雖然這樣做可以減輕認(rèn)知負(fù)荷，但事實(shí)證明并非如此。在類似于AWS這樣的大型云提供商中，一個(gè)區(qū)域（region）包含大量數(shù)據(jù)中心，數(shù)據(jù)中心之間通過(guò)光纖相連，但最終用戶通常不知道這些細(xì)節(jié)。美國(guó)國(guó)家安全局（NSA）就曾在類似于圖1-9所示的實(shí)驗(yàn)室中監(jiān)聽這種鏈路。

圖1-9　641A實(shí)驗(yàn)室：美國(guó)國(guó)家安全局位于舊金山AT&T數(shù)據(jù)中心的攔截設(shè)施

云提供商的網(wǎng)絡(luò)基礎(chǔ)設(shè)施本身還存在其他風(fēng)險(xiǎn)。不難想見，這種基礎(chǔ)設(shè)施可能存在漏洞，讓鄰居能夠監(jiān)聽你的通信流量。更有可能出現(xiàn)的情況是，在排除故障期間，網(wǎng)絡(luò)管理員可能捕獲網(wǎng)絡(luò)流量。網(wǎng)絡(luò)管理員或許誠(chéng)信可靠，但如果幾小時(shí)后，他的筆記本計(jì)算機(jī)被盜，而該計(jì)算機(jī)的磁盤中就存儲(chǔ)著捕獲的流量呢？因此現(xiàn)實(shí)情況是，不能再假定在數(shù)據(jù)中心內(nèi)部傳輸?shù)牧髁坎粫?huì)被監(jiān)聽和篡改。