【新科技訊】近日,戴爾全球首席技術官John Roese表示,要真正實現國防部對零信任的所有要求,私有云方法必不可少。“要做到零信任,你必須能夠看到每個元素,并能夠證明它實際上是值得信賴的,坦率地說,要在公有云中做到這一點,你有一個非常難以解決的問題。”John Roese說到。
問:關于如何更多地參與到幫助客戶解決網絡安全問題中,戴爾得出了哪些結論?
答:我們需要架構上的轉變。架構轉變就擺在我們面前——稱之為零信任。遺憾的是,零信任被過度營銷和混淆了。零信任本質上需要進行三個轉變。首先,是轉向強制且普遍的身份驗證。在零信任環境中,你不能有未知的實體,無論是設備、人、應用還是數據。第二,你需要改變你的策略范式,從防止事情發生轉變為確保已知良好行為的發生。這一點很難做到,但卻是很必要的。第三,由于以上兩點,你需要能夠實時且有效地通過將威脅檢測深度嵌入系統內部來檢測出異常,而不是大海撈針。這聽起來很簡單,只是從來沒有人能夠做到其中之一。我們發現,幾乎沒有證據表明,任何人曾經成功地大規模地提供了零信任環境。據我們所知,這種環境并不存在,直到我們偶然發現美國國防部和美國政府多年來一直在做的工作,他們構建了一個參考架構。這只是給了我們一種安慰,即有“生命的證據”。現在,這成了一個特定的參考架構,軍方和政府希望對其進行定義。然而,我們感到非常欣慰的是,這項工作至少證明了你可以構建一個零信任數據中心,你可以構建一個零信任的私有云基礎。這并不意味著你可以讓公有云成為零信任的。這并不意味著你解決了邊緣問題。這并不意味著這對所有人都奏效。但是,一旦我們了解了這一點,我們認為就應該大聲說出來。
問:你采用了什么方法幫助客戶實現零信任?
答:坦率地說,我們幫助解決問題的方法只是減輕這種集成上的負擔——試圖讓這些東西成為可消費使用的。我們不要再覺得零信任是無法實現的。我覺得是這樣的。那么問題就變成了,好吧,這在現實世界的背景下意味著什么?這讓我們開始了現在這場關于“綠地/棕地”的討論,即到底是在全新環境中從零開發軟件,還是在遺留系統之上開發和部署新的軟件系統?世界上沒有完全“綠地”的企業。他們都是“棕地”IT。他們已經構建好了自己的系統。他們的安全架構集合了1000多個工具,這些工具被隨機放置以應對各種問題。這是過去二十年來IT的標準操作程序。正因為如此,即使你說,“我想做這個叫做零信任的新東西”,你也是在對一個活躍的基礎設施、一個活躍的IT環境做這件事,這個環境中部署了大量的技術——實際上這可能與零信任是背道而馳的。但這就是現實——你不能立即把你的應用轉移到公有云中,這就是行不通。你必須了解如何遷移應用,或者是否要遷移應用。“棕地”這個詞描述了企業的現實情況。總的來說,企業就是一個棕地環境,是以前為運營業務而制定的技術決策和各種功能的積累。如果你是從頭開始構建某些東西,這種新的[零信任]方法將非常容易實現。但現實情況是,大多數情況下,沒有什么是完全從零開始構建的。
問:為什么你認為這需要通過私有云/數據中心方法來實現?
答:如今,你很難在公有云中做到這一點。但最重要的是,如果你有容量池,其中一些——可能有10%的容量被實例化為一個旨在實現零信任的綠地環境——并且你擁有適當的技能來進行應用遷移,而且控制平面都是相同的,你也有必要的工具來降低企業風險。同樣地,缺失了一個環節是,你如何構建零信任的私有環境?這就是我們正在建設的東西,這就是我們有信心可以為客戶可以實現的東西。
公有云在零信任方面存在問題,因為在共享的公有云環境中——一個擁有數十萬客戶的大型公有云——他們的整個業務就是對基礎設施抽象化。他們不想讓你知道下面是什么,因為那是他們的地盤,他們可以是非常靈活的。更重要的是,如果他們給了一位客戶訪問權限并說,“你可以進來審核,你可以一直看到組件級別”——而這個組件不只是被你使用。被其他人使用的時候,其他人必須給你許可,因為如果有人允許另一個我甚至都不認識的人看到我在云環境中使用的硬件,我會很生氣。這是個悖論,要實現零信任,你必須能夠看到每個組件并能夠證明這些組件實際上是值得信賴的——坦率地說,在公有云中你有一個非常困難的問題需要解決。事實上,現在很多公有云都開始構建私有實例,試圖建立零信任,這實際上看起來更像是一個私有的、專用的環境,其中整個堆棧專用于一個客戶,這樣他們就可以證明和保證所有這些組件就是零信任的。
問:你所做的和普通的數據中心有哪些不同?
答:有了這個由政府開發的特定參考架構,我們認為這是一個很好的起點,架構中有151項安全控制,基本上都是為了降低風險和消除橫向移動等[問題]。這個特定的參考架構是來自Arista等公司的戴爾服務器、戴爾存儲和網絡,這些都是現成的技術。然后是有大約20個軟件工具,每個工具都用于彌合其中的一些差距。例如,有明確定義的用戶認證、設備認證、應用認證和數據認證。
因此根據我剛才的描述,如果你了解身份驗證,那么大多數客戶都不會走得那么遠。他們不驗證數據和應用,他們只是對設備和用戶進行身份驗證。因此這種架構具有更強大的、集成的全棧身份驗證功能。此外從政策的角度,還有其他很多工具。事實上,系統中有一些工具可以處理諸如最小特權訪問之類的事情。這就是架構的全部,所有這些都是為了確保基礎設施上出現的任何東西,除了配置能力之外,是默認沒有訪問權限的。硬件和軟件網絡內部都有網絡工具,并創建了所謂的SDN服務鏈和微分段。當你是用戶或者應用的時候,這就是你所在的位置,而不是你出現在網絡上并想要去的任何位置,你出現在一個虛擬的網絡上,這個網絡和你以及你的應用是綁定的。你唯一可以去的地方就是那些應用所在的地方。這消除了橫向移動,也就是你進行身份驗證、進入設備,如果沒有這些網絡控制,你可能會被從PC上彈回到例如一臺可以訪問的SAP服務器上。你不能在這種環境中這樣做。
除此之外,還有遙測工具。它周圍的實際生態系統非常復雜,這就是為什么客戶會為此苦苦掙扎。但是因為現在有了參考架構,而且是預先集成的,所以客戶最終會在最上層消費一些東西,他們所要做的就是做出決定,好的,誰需要在這個基礎設施上——設備、人員、應用還是數據——他們必須做出決定并將其放入身份驗證框架中。他們必須描述這個策略——每個用戶或者組或者應用應該能夠做什么?他們可以用人類語言進行描述,并將其轉化為網絡和基礎設施行為。然后從監控的角度來看,他們將這個系統的實際實時行為和遙測視為身份驗證和策略的對等體。所以把它想象成一個零信任的神奇黑盒,他們只需將用戶添加到黑盒中,告訴它做什么,然后看它做了什么。這是一種很大的轉變。
