如今,零信任越來越被視為一種能夠在威脅環境中阻止黑客的理想架構。遵循零信任原則,意味著實施更多的方法來驗證用戶確實是他們聲稱的身份,並增加措施以確保惡意行為者即使阻撓初始防禦也不會走得太遠。Optiv公司首席資訊安全官Max Shier表示,以前都是通過「零散的」實施過程確保網路安全的,但是現在「我不知道我們是否真的從整體的角度來看待網路安全,就像現在我們在零信任方面所做的那樣。」
Optiv表示,通過零信任原則全面審視安全性,這一主題反映在戴爾的私有雲公告中,戴爾旨在實現零信任所必需的一系列安全功能,包括持續身份驗證、持續監控和微分段。戴爾表示,這些私有雲產品旨在「利用領先供應商的技術複製那些經過國防部批准的架構」。
在接受採訪時,戴爾全球首席技術官John Roese表示,要真正實現國防部對零信任的所有要求,私有雲方法必不可少。儘管戴爾有信心「你可以構建一個零信任的私有雲,但這並不意味著你可以讓一個公有雲成為零信任的。」
他說:「要做到零信任,你必須能夠看到每個元素,並能夠證明它實際上是值得信賴的,坦率地說,要在公有雲中做到這一點,你有一個非常難以解決的問題。」
問:關於如何更多地參與到幫助客戶解決網路安全問題中,戴爾得出了哪些結論?
答:我們需要架構上的轉變。架構轉變就擺在我們面前——稱之為零信任。遺憾的是,零信任被過度營銷和混淆了。零信任本質上需要進行三個轉變。首先,是轉向強制且普遍的身份驗證。在零信任環境中,你不能有未知的實體,無論是設備、人、應用還是數據。第二,你需要改變你的策略範式,從防止事情發生轉變為確保已知良好行為的發生。這一點很難做到,但卻是很必要的。第三,由於以上兩點,你需要能夠實時且有效地通過將威脅檢測深度嵌入系統內部來檢測出異常,而不是大海撈針。這聽起來很簡單,只是從來沒有人能夠做到其中之一。我們發現,幾乎沒有證據表明,任何人曾經成功地大規模地提供了零信任環境。據我們所知,這種環境並不存在,直到我們偶然發現美國國防部和美國政府多年來一直在做的工作,他們構建了一個參考架構。這只是給了我們一種安慰,即有「生命的證據」。現在,這成了一個特定的參考架構,軍方和政府希望對其進行定義。然而,我們感到非常欣慰的是,這項工作至少證明了你可以構建一個零信任數據中心,你可以構建一個零信任的私有雲基礎。這並不意味著你可以讓公有雲成為零信任的。這並不意味著你解決了邊緣問題。這並不意味著這對所有人都奏效。但是,一旦我們了解了這一點,我們認為就應該大聲說出來。
問:你採用了什麼方法幫助客戶實現零信任?
答:坦率地說,我們幫助解決問題的方法只是減輕這種集成上的負擔——試圖讓這些東西成為可消費使用的。我們不要再覺得零信任是無法實現的。我覺得是這樣的。那麼問題就變成了,好吧,這在現實世界的背景下意味著什麼?這讓我們開始了現在這場關於「綠地/棕地」的討論,即到底是在全新環境中從零開發軟體,還是在遺留系統之上開發和部署新的軟體系統?世界上沒有完全「綠地」的企業。他們都是「棕地」IT。他們已經構建好了自己的系統。他們的安全架構集合了1000多個工具,這些工具被隨機放置以應對各種問題。這是過去二十年來IT的標準操作程序。正因為如此,即使你說,「我想做這個叫做零信任的新東西」,你也是在對一個活躍的基礎設施、一個活躍的IT環境做這件事,這個環境中部署了大量的技術——實際上這可能與零信任是背道而馳的。但這就是現實——你不能立即把你的應用轉移到公有雲中,這就是行不通。你必須了解如何遷移應用,或者是否要遷移應用。「棕地」這個詞描述了企業的現實情況。總的來說,企業就是一個棕地環境,是以前為運營業務而制定的技術決策和各種功能的積累。如果你是從頭開始構建某些東西,這種新的[零信任]方法將非常容易實現。但現實情況是,大多數情況下,沒有什麼是完全從零開始構建的。
問:為什麼你認為這需要通過私有雲/數據中心方法來實現?
答:如今,你很難在公有雲中做到這一點。但最重要的是,如果你有容量池,其中一些——可能有10%的容量被實例化為一個旨在實現零信任的綠地環境——並且你擁有適當的技能來進行應用遷移,而且控制平面都是相同的,你也有必要的工具來降低企業風險。同樣地,缺失了一個環節是,你如何構建零信任的私有環境?這就是我們正在建設的東西,這就是我們有信心可以為客戶可以實現的東西。
公有雲在零信任方面存在問題,因為在共享的公有雲環境中——一個擁有數十萬客戶的大型公有雲——他們的整個業務就是對基礎設施抽象化。他們不想讓你知道下面是什麼,因為那是他們的地盤,他們可以是非常靈活的。更重要的是,如果他們給了一位客戶訪問權限並說,「你可以進來審核,你可以一直看到組件級別」——而這個組件不只是被你使用。被其他人使用的時候,其他人必須給你許可,因為如果有人允許另一個我甚至都不認識的人看到我在雲環境中使用的硬體,我會很生氣。這是個悖論,要實現零信任,你必須能夠看到每個組件並能夠證明這些組件實際上是值得信賴的——坦率地說,在公有雲中你有一個非常困難的問題需要解決。事實上,現在很多公有雲都開始構建私有實例,試圖建立零信任,這實際上看起來更像是一個私有的、專用的環境,其中整個堆棧專用於一個客戶,這樣他們就可以證明和保證所有這些組件就是零信任的。
問:你所做的和普通的數據中心有哪些不同?
答:有了這個由政府開發的特定參考架構,我們認為這是一個很好的起點,架構中有151項安全控制,基本上都是為了降低風險和消除橫向移動等[問題]。這個特定的參考架構是來自Arista等公司的戴爾伺服器、戴爾存儲和網路,這些都是現成的技術。然後是有大約20個軟體工具,每個工具都用於彌合其中的一些差距。例如,有明確定義的用戶認證、設備認證、應用認證和數據認證。
因此根據我剛才的描述,如果你了解身份驗證,那麼大多數客戶都不會走得那麼遠。他們不驗證數據和應用,他們只是對設備和用戶進行身份驗證。因此這種架構具有更強大的、集成的全棧身份驗證功能。此外從政策的角度,還有其他很多工具。事實上,系統中有一些工具可以處理諸如最小特權訪問之類的事情。這就是架構的全部,所有這些都是為了確保基礎設施上出現的任何東西,除了配置能力之外,是默認沒有訪問權限的。硬體和軟體網路內部都有網路工具,並創建了所謂的SDN服務鏈和微分段。當你是用戶或者應用的時候,這就是你所在的位置,而不是你出現在網路上並想要去的任何位置,你出現在一個虛擬的網路上,這個網路和你以及你的應用是綁定的。你唯一可以去的地方就是那些應用所在的地方。這消除了橫向移動,也就是你進行身份驗證、進入設備,如果沒有這些網路控制,你可能會被從PC上彈回到例如一台可以訪問的SAP伺服器上。你不能在這種環境中這樣做。
除此之外,還有遙測工具。它周圍的實際生態系統非常複雜,這就是為什麼客戶會為此苦苦掙扎。但是因為現在有了參考架構,而且是預先集成的,所以客戶最終會在最上層消費一些東西,他們所要做的就是做出決定,好的,誰需要在這個基礎設施上——設備、人員、應用還是數據——他們必須做出決定並將其放入身份驗證框架中。他們必須描述這個策略——每個用戶或者組或者應用應該能夠做什麼?他們可以用人類語言進行描述,並將其轉化為網路和基礎設施行為。然後從監控的角度來看,他們將這個系統的實際實時行為和遙測視為身份驗證和策略的對等體。所以把它想像成一個零信任的神奇黑盒,他們只需將用戶添加到黑盒中,告訴它做什麼,然後看它做了什麼。這是一種很大的轉變。
