零信任是什么、不是什么

零信任作為一種安全管理哲學(xué)，近年來(lái)漸漸有了一統(tǒng)江山之勢(shì)，包括“產(chǎn)學(xué)研用管”在內(nèi)的整個(gè)安全業(yè)界基本上在零信任這個(gè)問(wèn)題上達(dá)成了共識(shí)，不信大家可以看看等級(jí)保護(hù)2.0的原文，你就會(huì)發(fā)現(xiàn)，那里處處體現(xiàn)著零信任思想的光芒。

關(guān)于零信任究竟是什么，網(wǎng)上的資料已經(jīng)很多了，在這里我就不再照搬照抄了。不過(guò)我們也注意到，“零信任”這個(gè)詞除了是一個(gè)技術(shù)詞匯之外也是一個(gè)市場(chǎng)詞匯，被各個(gè)安全公司從自己的視角各自解讀，在這個(gè)過(guò)程中不可避免地會(huì)夾帶一些私貨，從而造成一些混亂和誤解，所以我們今天來(lái)談?wù)劻阈湃尾皇鞘裁?，也許對(duì)于幫助大家更好地理解零信任會(huì)起到一些積極的作用。

首先，零信任是一個(gè)方法論，它定義了一種安全管理的新的視角。它不是一個(gè)產(chǎn)品或者說(shuō)一個(gè)技術(shù)。也就是說(shuō)您買(mǎi)不到一個(gè)叫零信任的產(chǎn)品，您只能買(mǎi)到幫您實(shí)現(xiàn)零信任的某種要求的產(chǎn)品。

其次，零信任是一個(gè)過(guò)程，或者說(shuō)是一個(gè)方向。它不是一個(gè)靜態(tài)的標(biāo)準(zhǔn)，或者說(shuō)狀態(tài)。也就是說(shuō)，你不能說(shuō)我們今天來(lái)做一個(gè)零信任的項(xiàng)目，做過(guò)之后我們就擁有了零信任，沒(méi)有這種事情。你只能說(shuō)通過(guò)一期項(xiàng)目，我們?cè)谝欢ǖ姆秶鷥?nèi)，在一定的水平上，實(shí)現(xiàn)了零信任的某些能力。比如說(shuō)，我們可以說(shuō)我們能夠在網(wǎng)絡(luò)層面實(shí)現(xiàn)數(shù)據(jù)中心流量的全面可視和可控，但是網(wǎng)絡(luò)層之上還有應(yīng)用層，你看到了網(wǎng)絡(luò)層面的主體和通信關(guān)系，但是你還沒(méi)有理解應(yīng)用層面的服務(wù)主體和應(yīng)用訪問(wèn)關(guān)系。而在應(yīng)用層之上還有更深層次的業(yè)務(wù)層面的分析與控制問(wèn)題。所以說(shuō)，零信任的建設(shè)應(yīng)該是一個(gè)持續(xù)的，逐漸深入，逐漸優(yōu)化的過(guò)程，也是一個(gè)在安全與業(yè)務(wù)之間的一個(gè)平衡的過(guò)程。

第三，零信任是個(gè)廣泛適用的方法論，也就是說(shuō)它可以應(yīng)用于整個(gè)計(jì)算架構(gòu)的各個(gè)方面，在每一個(gè)細(xì)分的環(huán)境，每一個(gè)具體維度上都可以利用零信任的方式來(lái)做管理，而不是說(shuō)零信任只能像Google那樣將之應(yīng)用于辦公網(wǎng)，面向員工的身份進(jìn)行管理。我們可以看一下Forrester的這張圖：

大家可以看到，零信任可以作用于人，設(shè)備，網(wǎng)絡(luò)，工作負(fù)載等所有有數(shù)據(jù)流動(dòng)的主體上。事實(shí)上，相較于辦公網(wǎng)而言，數(shù)據(jù)中心是更容易實(shí)現(xiàn)零信任的場(chǎng)景，也是有著更多核心業(yè)務(wù)和關(guān)鍵數(shù)據(jù)的地方，因此可以成為我們開(kāi)展零信任建設(shè)的起點(diǎn)。

微隔離在零信任網(wǎng)絡(luò)中的地位和價(jià)值

現(xiàn)在我們說(shuō)下微隔離技術(shù)。前面我們談到，相較于辦公網(wǎng)而言，數(shù)據(jù)中心網(wǎng)絡(luò)更適合成為零信任建設(shè)的起點(diǎn)。那么對(duì)于數(shù)據(jù)中心網(wǎng)絡(luò)而言，具體的產(chǎn)品技術(shù)是什么呢?這個(gè)在業(yè)界是有共識(shí)的，有兩個(gè)技術(shù)是當(dāng)下能夠落地的，一個(gè)是SDP，一個(gè)就是微隔離。事實(shí)上微隔離技術(shù)是最早的一種對(duì)零信任這個(gè)概念的具體技術(shù)實(shí)現(xiàn)。我們看下Forrester2019年Q4的報(bào)告：

報(bào)告中的這段開(kāi)場(chǎng)白大概是這么個(gè)意思：零信任是個(gè)挺費(fèi)勁的事情，甲方自己上是沒(méi)戲的，你得找到能幫你干這個(gè)事的供應(yīng)商。那如何來(lái)評(píng)估每天圍在你門(mén)口的那么多乙方呢?有這么幾個(gè)標(biāo)準(zhǔn)：首先就是要態(tài)度端正，你必須讓他指天發(fā)誓，他們相信零信任這件事情就是人民群眾大救星，只有零信任才能拯救網(wǎng)絡(luò)安全。而且他們必須得有真本事，他們的產(chǎn)品確實(shí)能在零信任架構(gòu)中有一個(gè)獨(dú)特的價(jià)值，而不是來(lái)碰瓷的(deliver real Zero Trust capabilities)，看來(lái)掛羊頭賣(mài)狗肉這事兒也不光是咱國(guó)內(nèi)的特色。除了態(tài)度端正之外，首條具體的安全能力要求就是支持微隔離! 下面的那些個(gè)要求就不在本文討論了，就是讓您感覺(jué)一下微隔離在零信任技術(shù)體系中的地位是什么。

我們?cè)倏聪峦瑯釉谶@篇報(bào)告里的這個(gè)圖：

這是Forrester觀察到的市場(chǎng)上的有效供應(yīng)商。越靠右邊的戰(zhàn)略越先進(jìn)，越靠上邊的技術(shù)越好。從這張圖可以明顯的看到，就當(dāng)下而言，技術(shù)較好的是illumio，那么illumio是做啥的呢?業(yè)內(nèi)人士都知道，他就是做微隔離的，全球十三只安全獨(dú)角獸之一，微隔離市場(chǎng)的扛把子。

通過(guò)對(duì)Forrester報(bào)告的分析，大家不難理解微隔離之于零信任的價(jià)值。那么從理論上分析，為啥微隔離這么重要呢。因?yàn)槲⒏綦x要實(shí)現(xiàn)的核心能力就是兩條，數(shù)據(jù)中心內(nèi)工作負(fù)載之間的流量可視以及訪問(wèn)控制。大家可以回頭再看看前面那張圖，零信任能力究竟是個(gè)啥能力?本質(zhì)上就是倆能力，一個(gè)是看得盡量多，一個(gè)是管得盡量細(xì)。而恰恰這就是微隔離主要在做的事情。領(lǐng)先的微隔離產(chǎn)品，能夠做在十萬(wàn)點(diǎn)級(jí)別的數(shù)據(jù)中心內(nèi)做到容器間流量的識(shí)別與訪問(wèn)控制，甚至能做到基于進(jìn)程的訪問(wèn)控制，這個(gè)細(xì)粒度正是零信任所要求的。

微隔離技術(shù)的當(dāng)下和遠(yuǎn)方

作為微隔離技術(shù)在國(guó)內(nèi)的積極倡導(dǎo)者，也是只做微隔離這一件事的廠商，薔薇靈動(dòng)做了很多的微隔離項(xiàng)目，服務(wù)的客戶包括三桶油，五大行，三大運(yùn)營(yíng)商，平安、京東等等云計(jì)算領(lǐng)域的頭部企業(yè)。在這個(gè)過(guò)程中，一方面我們見(jiàn)證了微隔離技術(shù)是如何幫助用戶將一個(gè)個(gè)高度復(fù)雜的虛擬化網(wǎng)絡(luò)看清楚、管明白的。另一個(gè)方面，我們也深刻地認(rèn)識(shí)到，微隔離這項(xiàng)技術(shù)所面臨的挑戰(zhàn)仍然非常的巨大。具體而言，我可以用“多快好省”這四個(gè)字來(lái)做個(gè)概括：

1. 多: 跟得上用戶計(jì)算密度膨脹的腳步

計(jì)算密度膨脹這件事情，給我們留下的印象非常深刻。我們的一個(gè)客戶剛開(kāi)始試用我們的產(chǎn)品的時(shí)候，他們的體量在四五千點(diǎn)這樣一個(gè)級(jí)別，而今年他們的計(jì)劃是，擴(kuò)容到2萬(wàn)點(diǎn)。另一個(gè)客戶更夸張，在購(gòu)買(mǎi)我們產(chǎn)品的時(shí)候，他們的規(guī)模大概是十萬(wàn)點(diǎn)，但是今年我們?cè)诋a(chǎn)品上線的時(shí)候，他們告訴我們說(shuō)，他們剛剛做了戰(zhàn)略決策，全面容器化，目前毛估體量在100萬(wàn)點(diǎn)左右!

而微隔離這件事情，要回答的是點(diǎn)和點(diǎn)之間的關(guān)系問(wèn)題。從算法復(fù)雜度的角度講，他與所管理的點(diǎn)數(shù)之間是個(gè)n的平方的關(guān)系。再考慮到，點(diǎn)和點(diǎn)之間的通信是一個(gè)時(shí)刻都在發(fā)生的事情，而微隔離需要記錄并分析每一次訪問(wèn)，然后再隨著時(shí)間的累積，這個(gè)數(shù)量級(jí)就接近了n的3次方了。這意味著什么呢，如果管理規(guī)模擴(kuò)大一倍，那么對(duì)算力的要求會(huì)擴(kuò)大8倍。所以對(duì)于大規(guī)模網(wǎng)絡(luò)的支撐是微隔離最重要的一個(gè)技術(shù)難點(diǎn)。大家這里一定要注意一個(gè)區(qū)別，不是說(shuō)你能夠部署安裝多少點(diǎn)，而是說(shuō)你能不能把這些點(diǎn)之間的關(guān)系完整、準(zhǔn)確、實(shí)時(shí)地分析出來(lái)。目前我們可以實(shí)現(xiàn)用三臺(tái)云主機(jī)作為算力，來(lái)支撐萬(wàn)點(diǎn)級(jí)別的場(chǎng)景，但是根據(jù)Illumio的公開(kāi)資料，他們要支持一萬(wàn)五千點(diǎn)的時(shí)候，就需要6臺(tái)專用的高主頻物理服務(wù)器了，大家可以想象百尺竿頭更進(jìn)一步會(huì)有多難。而這個(gè)能力，相較于我們用戶計(jì)算體量的膨脹速度而言還是不夠。

所以我這里可以給大家一個(gè)判斷標(biāo)準(zhǔn)，在過(guò)去評(píng)估防火墻的最主要指標(biāo)是吞吐量，包括延遲，每秒新建，并發(fā)等等指標(biāo)。而微隔離技術(shù)的核心指標(biāo)就在于它能夠管理的工作負(fù)載的規(guī)模。

2. 快：跟得上微服務(wù)架構(gòu)飄渺的跑位

正如您看到的，容器在計(jì)算密度膨脹這個(gè)過(guò)程中扮演了非常重要的角色。一個(gè)方面，K8S的成熟和便捷，以及對(duì)于DEVOPS理念的良好支撐，使得越來(lái)越的客戶在快速的擁抱容器。但是，從另一個(gè)方面，這也對(duì)各種運(yùn)維技術(shù)提出了很?chē)?yán)峻的挑戰(zhàn)。就微隔離技術(shù)而言，一個(gè)非常大的挑戰(zhàn)是策略計(jì)算速度問(wèn)題。

微隔離是一種典型的軟件定義安全結(jié)構(gòu)。它的策略是由一個(gè)統(tǒng)一的計(jì)算平臺(tái)來(lái)計(jì)算的，而且需要根據(jù)虛擬化環(huán)境的變化，做實(shí)時(shí)的自適應(yīng)策略重算。問(wèn)題就在這個(gè)地方，對(duì)于私有云環(huán)境而言，一個(gè)虛機(jī)的生命周期很長(zhǎng)，從幾周到幾個(gè)月乃至幾年都有可能，這個(gè)時(shí)候?qū)τ诓呗缘挠?jì)算速度其實(shí)沒(méi)有特別高的要求。但是在K8S的環(huán)境下，情況發(fā)生了巨大的變化。由于容器的創(chuàng)建和銷毀非常方便，使得容器的生命周期往往非常短，甚至只有幾分鐘。這就對(duì)策略計(jì)算的速度提出了很?chē)?yán)格的要求，再加上往往容器環(huán)境的體量都非常巨大，就讓這個(gè)策略計(jì)算的難度更高了。這種酸爽的感覺(jué)怎么形容呢，大概就是這么個(gè)意思:

給你一麻袋沙子，然后問(wèn)你每一粒沙子叫啥名?他們之間什么關(guān)系?

矮油，沒(méi)想到你居然知道。

好吧，現(xiàn)在把袋子在地上摔個(gè)五六遍。

然后問(wèn)你，他們都叫啥名?他們之間什么關(guān)系?

你有5秒鐘的時(shí)間，5，4，3…

3. 好：企業(yè)級(jí)產(chǎn)品必須具備企業(yè)級(jí)特性

企業(yè)級(jí)產(chǎn)品的功能特性，符合冰山模型。我們能夠看得見(jiàn)摸得著的功能大概只占整個(gè)產(chǎn)品功能的10%，90%的功能都是水面之下的非功能特性，或者我們稱之為企業(yè)級(jí)特性。

談到這，我們扯個(gè)閑篇，說(shuō)說(shuō)80/20這個(gè)事。這確實(shí)是個(gè)神奇的法則，在各個(gè)領(lǐng)域似乎都有用。從產(chǎn)品研發(fā)的角度看，我們大概只需要用別人20%的工作量，就能實(shí)現(xiàn)人家產(chǎn)品80%的功能，事實(shí)上這是我們國(guó)內(nèi)過(guò)去很長(zhǎng)時(shí)間大家指導(dǎo)產(chǎn)品研發(fā)的原則，先解決有無(wú)問(wèn)題嘛，最重要的就是快，要啥自行車(chē)呀，又不是不能過(guò)…。但是企業(yè)級(jí)產(chǎn)品的本質(zhì)要求恰恰相反，我們必須要投入絕大部分的工作量去解決那剩下的20%，因?yàn)榫褪沁@20%才是決定一個(gè)產(chǎn)品能否真正被部署在核心業(yè)務(wù)系統(tǒng)的關(guān)鍵。

更嚴(yán)峻的挑戰(zhàn)是，很多時(shí)候你并不知道你缺失的企業(yè)級(jí)特性是什么，直到你在客戶現(xiàn)場(chǎng)遇到他!比如說(shuō)我們?cè)趯?shí)驗(yàn)室里能夠模擬出幾百點(diǎn)的真實(shí)環(huán)境，也可以通過(guò)流量發(fā)生器構(gòu)造出萬(wàn)點(diǎn)級(jí)別的虛假環(huán)境。但是無(wú)論如何你造不出一個(gè)萬(wàn)點(diǎn)級(jí)別的真實(shí)生產(chǎn)環(huán)境，就好像你沒(méi)辦法在你的實(shí)驗(yàn)室里真實(shí)再現(xiàn)出淘寶的全部交易一樣，哪怕只是一秒鐘的交易。所以有很多在大壓力下才會(huì)出現(xiàn)的問(wèn)題，就會(huì)被隱藏起來(lái)，一直到你的產(chǎn)品在真實(shí)的場(chǎng)景上線。這就好像你的頭上一直懸著一把達(dá)摩克里斯之劍，讓人始終有一種如坐針氈如履薄冰的感覺(jué)。

所以呢，一個(gè)方面我們始終投入很大的精力在這個(gè)方面，盡全力去提升我們的企業(yè)級(jí)特性。另一個(gè)方面呢，大家在評(píng)估微隔離產(chǎn)品的時(shí)候，一定要關(guān)注他們是否有大規(guī)模場(chǎng)景的交付經(jīng)驗(yàn)和大規(guī)模的現(xiàn)網(wǎng)穩(wěn)定運(yùn)轉(zhuǎn)的案例，要評(píng)估他們是否真的能夠支撐你的云計(jì)算發(fā)展戰(zhàn)略。

4. 省：在產(chǎn)品發(fā)展的過(guò)程中保持克制

這一條，既是我們要分享給大家的一個(gè)產(chǎn)品設(shè)計(jì)的指導(dǎo)原則，也算是對(duì)我們自己的一個(gè)警醒吧。

首先我們要提出一個(gè)方法論，那就是“產(chǎn)品研發(fā)的不可能三角“，這個(gè)方法論是應(yīng)該我們獨(dú)家提出的(當(dāng)然，本文里的方法論基本都是我們獨(dú)家提出的)。什么是不可能三角呢：就是在產(chǎn)品功能的豐富性，產(chǎn)品功能的專業(yè)性，以及計(jì)算開(kāi)銷這三者之間，你最多只能選擇兩者。

比如說(shuō)，你可以選擇產(chǎn)品功能很豐富，計(jì)算開(kāi)銷也比較低，那么你的每一項(xiàng)功能的實(shí)現(xiàn)水平勢(shì)必比較初級(jí)。比如面向中小客戶市場(chǎng)的產(chǎn)品，往往選擇這種產(chǎn)品戰(zhàn)略。

或者，你也可以選擇產(chǎn)品功能很豐富，而且每一項(xiàng)功能的實(shí)現(xiàn)水平也很高，那么你勢(shì)必需要很多的計(jì)算資源。比如我們過(guò)去的邊界型安全產(chǎn)品，一個(gè)數(shù)據(jù)中心，只需要兩臺(tái)，每臺(tái)設(shè)備都是4U，兩臺(tái)就能裝滿一個(gè)機(jī)柜。

對(duì)于微隔離而言，一個(gè)最主要的限制就是計(jì)算開(kāi)銷問(wèn)題。由于微隔離需要對(duì)整個(gè)數(shù)據(jù)中心內(nèi)部做點(diǎn)到點(diǎn)的訪問(wèn)控制，所以他的控制點(diǎn)的分布應(yīng)該是盡可能的廣。正如我們前面說(shuō)的，我們能做到每一個(gè)容器都有一個(gè)控制點(diǎn)。但是部署量如此的巨大，就要求你單個(gè)控制點(diǎn)的計(jì)算開(kāi)銷必須盡量的小。舉個(gè)例子吧，現(xiàn)代一個(gè)云計(jì)算數(shù)據(jù)中心的造價(jià)，少則兩三個(gè)億，多則十幾個(gè)億。我們就說(shuō)兩個(gè)億吧，那么如果單控制點(diǎn)計(jì)算開(kāi)銷增長(zhǎng)1%，就意味著這個(gè)數(shù)據(jù)中心要多拿出價(jià)值200萬(wàn)的計(jì)算資源!

所以，根據(jù)不可能三角，我們就必須在功能豐富性與功能的完善性之間做個(gè)二選一的選擇，再結(jié)合我們前面對(duì)微隔離所面臨的技術(shù)挑戰(zhàn)的描述，那么其實(shí)我們能選擇的路就只有一條，那就是選擇少而精，而不是多而粗。

道理是明顯的，但是要做得到，真還挺考驗(yàn)人性的。作為一家高科技創(chuàng)業(yè)企業(yè)，無(wú)論是從客戶的要求來(lái)說(shuō)，還是從我們對(duì)新技術(shù)的偏好來(lái)說(shuō)，我們都有極大的沖動(dòng)去做更多的安全能力。但這個(gè)時(shí)候，我們就必須始終牢記我們的產(chǎn)品邊界，始終牢記，我們是要在超大規(guī)模生產(chǎn)環(huán)境交付的企業(yè)級(jí)產(chǎn)品!然后就只能看著一個(gè)個(gè)熱點(diǎn)生生滅滅，看著在不同的風(fēng)口中，一只只小金豬飛翔天際，看著一只只獨(dú)角獸從我們面前飛奔而過(guò)，而我們只能撣撣飛揚(yáng)的塵土，回去再做下一輪的版本迭代。