在零信任安全(zero trust security)的物理實(shí)施環(huán)境下，數(shù)據(jù)流通過(guò)一個(gè)集中式安全設(shè)備傳輸。零信任安全其實(shí)是一種安全模式，在這種模式下，任何用戶、接口或應(yīng)用程序在默認(rèn)情況下都不“可信”。但由于單一設(shè)備需要過(guò)濾所有的數(shù)據(jù)流，零信任安全策略很難靈活地?cái)U(kuò)展。不過(guò)，當(dāng)工作負(fù)載和網(wǎng)絡(luò)基于虛擬化或云計(jì)算時(shí)，環(huán)境卻可以靈活擴(kuò)展。

[[131754]]

在數(shù)據(jù)中心中，微分隔(micro-segmentation)讓零信任安全可以得到大規(guī)模地運(yùn)用，而微分隔是基于虛擬機(jī)管理程序的網(wǎng)絡(luò)覆蓋機(jī)制的一個(gè)副產(chǎn)品。據(jù)風(fēng)險(xiǎn)投資公司Battery Ventures的技術(shù)研究員、Netflix前云計(jì)算架構(gòu)師Adrian Cockcroft聲稱，就云服務(wù)而言，微分隔常常是固有的。下面看一下各種虛擬化和云計(jì)算平臺(tái)里面的微分隔和零信任安全功能。

VMware NSX

VMware的網(wǎng)絡(luò)虛擬化平臺(tái)NSX可以過(guò)濾進(jìn)出虛擬機(jī)管理程序的任何數(shù)據(jù)流。這項(xiàng)功能帶來(lái)了零信任安全機(jī)制。VMware利用NSX的分布式防火墻具有的可擴(kuò)展性，在不同主機(jī)上的虛擬機(jī)之間形成零信任安全。還可以在同一個(gè)邏輯第2層廣播網(wǎng)絡(luò)上的主機(jī)之間建立安全策略。

VMware的方法是抽取物理零信任安全，同時(shí)利用基于虛擬機(jī)管理程序的網(wǎng)絡(luò)覆蓋系統(tǒng)具有的分布式特性。管理員可以在集成式管理系統(tǒng)中制定規(guī)則，這些規(guī)則可以跨分布式防火墻設(shè)備來(lái)執(zhí)行。結(jié)果就是，集中管理的解決方案可以靈活擴(kuò)展，支持每個(gè)虛擬機(jī)管理程序?yàn)閮晌粩?shù)Gbps的數(shù)據(jù)流。

#p#

亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)

[[131756]]

在云平臺(tái)中，客戶和第三方產(chǎn)品無(wú)法直接訪問(wèn)底層的虛擬機(jī)管理程序。這意味著，客戶只好依賴通過(guò)云API才可以使用的服務(wù)，實(shí)現(xiàn)零信任安全。

以亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)為例，了解公有云與內(nèi)部網(wǎng)絡(luò)之間的連接很重要。有三種方式可以訪問(wèn)AWS中運(yùn)行的實(shí)例：公共互聯(lián)網(wǎng)、基于IPsec的亞馬遜虛擬私有云(VPC)和AWS Direct Connect(一種專用的第3層線路，連接至亞馬遜設(shè)施)。所有連接方案都需要客戶端的IP終結(jié)，這應(yīng)該會(huì)通過(guò)防火墻。亞馬遜并不允許用戶的第2層數(shù)據(jù)流可通過(guò)Direct Connect或VPC來(lái)進(jìn)行擴(kuò)展。

基于AWS連接設(shè)計(jì)，AWS托管的實(shí)例與企業(yè)內(nèi)部節(jié)點(diǎn)之間本身就有零信任。這樣一來(lái)，問(wèn)題就成了AWS內(nèi)部的實(shí)例到實(shí)例的數(shù)據(jù)流會(huì)出現(xiàn)什么樣的情況?

AWS使用安全組來(lái)控制網(wǎng)絡(luò)對(duì)實(shí)例的訪問(wèn)。安全組的定義可以非常廣泛，也可以非常狹窄。某個(gè)實(shí)例可能有一個(gè)或幾個(gè)安全組運(yùn)用在其頭上。雖然重點(diǎn)通常放在IP數(shù)據(jù)流上，但知道VPC網(wǎng)絡(luò)并不支持廣播或多播數(shù)據(jù)流很重要。所以，根本不需要過(guò)濾非IP數(shù)據(jù)流。

開(kāi)發(fā)人員可以使用AWS管理控制臺(tái)或AWS API來(lái)制定或分配規(guī)則。他們還可以將規(guī)則運(yùn)用到入站數(shù)據(jù)流和出站數(shù)據(jù)流。默認(rèn)情況下，所有出站數(shù)據(jù)流都被允許，而入站數(shù)據(jù)流被拒絕。這一細(xì)粒度功能讓IT人員很難排查連接方面的故障，因?yàn)閱蝹€(gè)實(shí)例可能屬于多個(gè)安全組。此外，Windows和Linux存在不同的安全組，這可能會(huì)導(dǎo)致安全策略相互沖突或相互重疊。然而，任何零信任安全方案都存在這個(gè)情況。

#p#

谷歌計(jì)算引擎

谷歌計(jì)算引擎網(wǎng)絡(luò)機(jī)制更類似傳統(tǒng)網(wǎng)絡(luò)機(jī)制。每個(gè)實(shí)例被分配給一個(gè)默認(rèn)網(wǎng)絡(luò)，這就允許同一個(gè)網(wǎng)絡(luò)里面實(shí)例到實(shí)例的數(shù)據(jù)流。谷歌提供了一個(gè)邏輯防火墻，以阻止網(wǎng)絡(luò)之間的數(shù)據(jù)流。為了實(shí)現(xiàn)零信任安全，每個(gè)實(shí)例必須使用本地防火墻或正則表達(dá)式(iptables)，或者把每個(gè)實(shí)例放入到單獨(dú)的網(wǎng)絡(luò)。然而，使用本地防火墻和正則表達(dá)式可能難以管理，又由于處理器周期將被用于執(zhí)行規(guī)則，這可能會(huì)影響虛擬機(jī)的性能。

微軟Azure

[[131758]]

微軟Azure的網(wǎng)絡(luò)機(jī)制類似谷歌計(jì)算引擎的網(wǎng)絡(luò)機(jī)制。虛擬機(jī)被分組到邏輯專用網(wǎng)絡(luò)。Azure允許端點(diǎn)訪問(wèn)控制列表(ACL)，而ACL可以運(yùn)用在主機(jī)層面。在主機(jī)層面處理規(guī)則有助于保持本地虛擬機(jī)的性能。與谷歌相似，你無(wú)法為來(lái)自Azure中群組的實(shí)例運(yùn)用規(guī)則。因此，在龐大環(huán)境下密切跟蹤規(guī)則可能困難重重。

云服務(wù)提供商在零信任安全和微分隔方面有強(qiáng)大可靠的模式。以微軟Azure和AWS為例，開(kāi)發(fā)人員可以選擇從應(yīng)用程序里面整合微分隔安全機(jī)制。這讓開(kāi)發(fā)人員開(kāi)發(fā)出來(lái)的應(yīng)用程序可以靈活擴(kuò)展，并應(yīng)對(duì)迅速變化的安全態(tài)勢(shì)。

原文標(biāo)題：Achieving zero trust security in the cloud