ISC2021 | 蔷薇灵动演讲分享：零信任的理想国

发布时间：

2021-07-30 15:41

来源：

作者：

访问量：

零信任是近年来最为火热的安全理念，受到了产业界和用户的大力追捧，6A则是零信任落地所需的具体能力细分。本次论坛以“零信任与6A”为主题，内容既涉及理念剖析，也深入实操落地，成为本届大会最受关注的论坛之一。

7月27~29日以“网络安全需要新战法，网络安全需要新框架”为主题的第九届互联网安全大会（ISC 2021）在北京国家会议中心盛大开幕。大会第三日，“零信任与6A论坛”如期举办，蔷薇灵动受邀参与并作题为《零信任的理想国》演讲。

以下是蔷薇灵动代表演讲的主要观点分享。

观点一：网络世界快速熵增亟待重建秩序

传统网络安全策略以物理边界为核心，采用静态策略进行访问控制，其基本假设是网络是静态的，网络内的每一个实体都有其固定的业务属性。然而，随着基础设施架构巨变及网络威胁环境持续恶化，原有的平衡正在被打破，网络世界正因快速熵增而失去秩序。

云计算、物联网、移动办公等新技术的普遍运用，使得访问两侧飘忽不定。以云内工作负载间的流量访控场景为例，云计算的运用使得东西向流量剧增，但云内的东西向流量无法被准确洞察，这就失去了进一步对其进行管理的基础。即便每个工作负载都部署了主机防火墙技术，但由于其静态策略难以跟上云内工作负载频繁的漂移、克隆、扩展、关闭，使得安全策略难以持续生效。同时，云内工作负载间访控计算复杂度，将随着工作负载数量的增加呈指数级增长，更易造成管理混乱。这些现实案例都是造成当前网络熵增的因素。

此外，安全对抗是永无止境的，无论是被动防护还是积极防御手段，都是在跟着威胁的节奏而行进，防御者永远难以预知攻击下一次来临时的情形，因此必须假设敌已在内，边界已不可信。

网络世界的种种混乱，体现在不可预知、不可理解和不可控制，亟需重建新的秩序。

观点二：零信任面向业务构筑有序理想国

重建网络秩序，应将安全控制与基础设施解耦，安全策略面向业务制定，零信任则提供了这样的能力。

零信任本质上是面向业务（而非网络）进行全要素纳管和细粒度控制，ID则承担了标定网络实体业务角色的任务。因此，零信任从逻辑上可以理解为一张构建于物理网络之上的管理网络，其控制平面与数据平面分离，控制平面的策略决策点（PDP）负责基于ID计算策略，并将其翻译为数据层面能够理解的网络语言，进而由数据平面的策略执行点（PDP）实现连接的阻断与放行。

零信任本身并不是一种更高超的安全对抗技术，而是提供了一套方法。以数据中心零信任场景为例，工作负载资产的身份基于其承载的业务、所处的环境、所在的位置等业务属性而标定，安全策略则基于业务逻辑而制定。

面向业务的安全策略控制不再是“虚机A”到“虚机B”的连接，而是某种业务的工作负载（如“北京公有云中心 - 测试环境 - 电商业务 – Web应用”）到某种业务工作负载（如“上海私有云中心 – 生产环境 – 支付业务 – DB应用”）的访问。由于有了业务属性，网络中所有的连接都是可理解的，而无论虚机怎么变化，基于业务属性和逻辑的安全策略总是可以以不变应万变，并实现最细粒度的访问控制。

概括而言，在无边界的网络中构建边界，在零信任的网路中重建信任，相对攻防对抗模式，零信任是一种更加能够形成闭环并取得成功的方法论。

观点三：零信任能力构建需发展产业生态

IAM、SDP、微隔离被称作零信任的“三驾马车”，IAM回答网络中有什么、能干什么的问题，SDP决定外部的流量是否可以访问内部，而微隔离则实现网络内部间互访的零信任控制。

需要指出，微隔离技术作为工作负载的“口罩”，必须具备几个特性。首先，口罩必须容易佩戴，否则难以推广，微隔离技术则需具有较低的部署难度及成本。其次，口罩必须很轻，不会让佩戴者产生不适，否则难以坚持佩戴，微隔离技术则必须保证不会对工作负载原本的稳定运行及安全可靠造成影响。第三，口罩作为用量超大的防护用品，需要具备较为经济的价格。

上述三者是实现零信任的三大核心结构性要求，也是“狭义零信任”的最小能力集合，而零信任理念作为一套技术框架，也有其更为广义的内涵。

本届论坛提了“6A”的概念，即Account & Subject、Application & Object、Authentication、Authorization、Access Control、Auditing，其实是对零信任实现过程的逻辑分解。