第2章 管理信任

信任管理可能是零信任網(wǎng)絡(luò)中最重要的組成部分。在某種程度上咱們都熟悉信任這個(gè)概念，例如，你會(huì)信任家人，但不會(huì)信任大街上的陌生人，更不會(huì)信任看起來(lái)很可怕的陌生人。為什么會(huì)這樣呢？

首先，你了解家人，知道他們長(zhǎng)什么樣、住在哪里，甚至在你出生后就認(rèn)識(shí)他們。他們的身份是確定的，因此在重要的事情上，你更信任家人，而不是其他人。

相反，你對(duì)陌生人一無(wú)所知。就算你知道他們的一些事情，也不知道他們住在哪里，也不知道他們過(guò)往的情況。即便他們看起來(lái)很友好，你也不會(huì)在重要的事情上信任他們。你可能會(huì)在去洗手間時(shí)讓陌生人幫忙照看行李，但絕對(duì)不會(huì)讓他們幫忙從ATM上取錢(qián)。

總之，你根據(jù)掌握的所有信息做出判斷，確定當(dāng)前的情景或人在多大程度上值得信任。請(qǐng)人幫忙從ATM取錢(qián)需要很高的信任等級(jí)，而請(qǐng)人幫忙照看行李需要的信任等級(jí)低得多，當(dāng)然不會(huì)低到零信任的程度。

你甚至不會(huì)絕對(duì)信任自己，但你完全能夠確信自己采取的行動(dòng)確實(shí)是自己采取的。從這種意義上說(shuō)，在零信任網(wǎng)絡(luò)中，信任總是源自管理員。“零信任網(wǎng)絡(luò)中的信任”這句話看似矛盾，但其含義是在沒(méi)有天然信任的情況下，必須從某個(gè)地方產(chǎn)生信任并對(duì)其精心管理，這一點(diǎn)非常重要。這里存在一個(gè)小問(wèn)題，管理員并非在任何時(shí)候都有空來(lái)授予信任。另外，不能無(wú)限制地增加管理員。所幸對(duì)于這個(gè)問(wèn)題，我們知道如何解決，那就是信任委托，如圖2-1所示。

信任委托很重要，因?yàn)榻柚谒纱罱ㄟ@樣的自動(dòng)化系統(tǒng)：在幾乎沒(méi)有人工干預(yù)的情況下，能夠以安全而可信的方式增大運(yùn)行規(guī)模。可信的管理員必須給系統(tǒng)賦予某種信任等級(jí)，讓它能夠代表管理員采取行動(dòng)。這樣的一個(gè)例子是自動(dòng)擴(kuò)縮容。你想讓服務(wù)器根據(jù)需要自動(dòng)開(kāi)通，但你如何確定新開(kāi)通的服務(wù)器是你的，而不是別的服務(wù)器呢？管理員必須將這種職責(zé)委派給開(kāi)通系統(tǒng)，讓它能夠創(chuàng)建新服務(wù)器并授予信任。通過(guò)這樣做，管理員就能確定新服務(wù)器確實(shí)是自己的，因?yàn)榉?wù)器是通過(guò)開(kāi)通系統(tǒng)創(chuàng)建的，而開(kāi)通系統(tǒng)能夠證明管理員授予了它這樣做的權(quán)力。這個(gè)以管理員為起點(diǎn)的信任流通常被稱(chēng)為信任鏈，而管理員被稱(chēng)為信任錨。

圖2-1　管理員信任特定系統(tǒng)，該系統(tǒng)又信任另一個(gè)系統(tǒng)，從而形成信任鏈