零信任网络安全 (零信任网络安全：数字时代的专注领导力)

零信任网络安全越来越多地被各种规模和行业采用，作为改善网络安全的一种方式。

预计到2025年，网络犯罪的影响将呈指数级增长，预计将达到10.5万亿美元。在2022年，网络安全漏洞对全球经济的影响评估为6万亿美元，每次网络安全漏洞报告的平均成本为435万美元。

投资者已经认识到这个巨大产业的需求和潜力，它相当于一个国家的GDP，超过大多数国家的GDP。我们见证了风险投资、私募股权和整体并购的增长，以及一个充满活力的创业生态系统，提供了一系列复杂的网络防御解决方案。

零信任网络安全是一种安全模型，它假设任何网络、设备或用户都可能受到威胁，因此需要身份验证和授权才能访问资源。正如WEF所概述的那样，在当前的全球经济和社会政治环境下，政府和企业领导人迫切需要采用零信任网络安全。

零信任的方法鼓励我们“永不信任，始终验证”，通过限制敏感信息和系统的访问权限，通过将对敏感信息和系统的访问限制为只有经过验证和授权的人，可以帮助恢复数字信任，从而降低未经授权访问或数据泄露的风险。此外，它还可以帮助企业遵守数据安全的法规要求和行业标准。

定义零信任架构的原则如下：

•  所有的数据和服务都是资源
•  无论位置如何，所有通信都是安全的
•  对企业资源的访问基于会话
•  资源的访问是动态确定的
•  持续安全态势监测
•  严格的授权和访问强制执行
•  持续的数据收集和执行增强
•  与企业检测和响应集成

投资于零信任网络安全可以包括各种不同的技术解决方案和服务。企业为实施零信任模型可能进行的一些常见投资包括：

•  身份和访问管理(IAM)解决方案：这些解决方案可用于验证用户和设备的身份，并根据预定义的策略控制对资源的访问。
•  多因素身份验证(MFA)解决方案：通过要求用户在访问资源之前提供多种形式的身份验证，这些解决方案可用于增加额外的安全层。
•  网络分割解决方案：这些解决方案可用于分割网络，并将敏感数据和系统与网络的其他部分隔离。
•  端点安全解决方案：这些解决方案可用于保护端点设备，如笔记本电脑和移动设备免受恶意软件和其他威胁。
• 云安全解决方案：这些解决方案可用于保护云环境并保护托管在云中的数据和系统。
•  安全信息和事件管理(SIEM)解决方案：这些解决方案可用于监视和分析来自各种来源的安全相关数据，以检测和响应威胁。
•  专业服务：企业还可以投资于专业服务，如安全评估、渗透测试和事件响应计划，以帮助识别漏洞并开发强大的安全策略。

零信任网络安全投资的规模和类型将取决于企业的具体需求和要求、企业的规模，以及企业的技术成熟度、风险承受能力和稳健可行性分析的结果。

零信任网络安全的影响可能因具体行业部门以及所保护的数据或系统类型而异。在不同行业实施零信任模式的例子包括：

•  政府与国防
•  金融
•  能源
•  汽车
•  航空与航天(FAA,NASA)
•  环境(Softhread)

美国国家标准与技术研究院(NIST)概述的零信任网络安全架构可以对数据治理产生深远影响，因为它可以通过验证用户和设备的身份，以及通过基于与监管指南或特定业务规则相关的预定义策略限制对资源的访问。

然而，在部署零信任网络安全时遇到了许多挑战，例如成本、互操作性、与其他企业战略优先事项的一致性、与道德规范和风险项目的协调性等。

在制定零信任战略时，高层领导可以做些什么来更好地为成功做好准备?他们可以专注于创建一种网络弹性文化，从而提高一般企业员工的网络素养和网络流畅度，并为其技术团队优化网络特定技能。

面对全球日益复杂的网络攻击，员工管理工作应与积极的数字道德计划部署和诚实的SWAT评估相辅相成。对于希望保持或获得竞争优势的企业来说，执行强有力的FMEA分析是必要的。

评估和检查现有的企业内部网络能力，与建立战略伙伴关系或寻找潜在的网络收购的选择相比，也应该提上议程。网络指标的设计和部署是一个关键步骤，需要与其他财务、运营和道德企业仪表板指标保持一致。最后，但肯定并非最不重要的是，具有前瞻性思维的领导者必须嵌入创新并不断改进其网络防御计划，以动态调整快速发展的网络环境。

未来学家设想的网络弹性项目很可能包括卫星互联网、人机界面、网络数字孪生、量子技术、联合学习等。

全球主义者和关注ESG的领导人希望，我们向万维网的下一个迭代过渡，如web3.0和web4.0，将拥有最先进的网络防御计划，并与联合国2030年可持续发展目标和联合国2050年净零议程保持一致。

就网络安全而言，我们现在正处于“遏制/控制”的时代。

“预防”和“检测”的时代——当时的重点是将攻击者拒之门外，或是在他们成功入侵后迅速找到他们——已经结束了!但这并不是说企业应该停止他们的预防和检测策略;只是最好是采取“三管齐下”的安全措施，其中也包括遏制措施。

网络安全公司Illumio的首席产品官Mario Espinoza指出，如今的黑客入侵是不可避免的，但当攻击者可以自由访问关键的基础设施、数据和资产时，它们的破坏性最大。

向“遏制”时代的演进，意味着通过主动阻止漏洞的扩散来最大限度地降低漏洞带来的影响。这就是零信任分段的概念，在零信任模型中，分段是降低风险的关键因素。通过身份分段，可以抑制大部分入侵的横向移动。企业需要将用户帐户(员工、承包商、远程工作人员，甚至特权用户)和端点都分为微分段。所有数据源和计算服务都被视为资源：笔记本电脑、台式机、物理服务器、虚拟机等实体，都被视为资源。所有这些端点都与用户(人员账户或服务账户)相关联。

Espinoza解释称，“造成最大损害的往往并非初始漏洞，而是攻击者可以在不被发现的情况下在整个企业中横向移动，从而导致业务中断和数据泄露。零信任分段就是解决这一问题的有效方案。”

混合工作，更大的攻击面

混合工作模式呈现出一种独特的困境：它们帮助企业更加相联的同时，也加剧了受到伤害的可能性。它们扩大了攻击面，从而为黑客提供了可乘之机。

例如，仅在过去两年——在疫情大流行期间，人们争相采用混合工作模式——76%的企业遭受过勒索软件攻击。

而且，对企业来说，针对混合工作环境的攻击往往更昂贵：它们的成本大约比全球平均水平高出60万美元。但是，尽管企业报告称，近一半的远程员工必须使用VPN，但66%的企业表示，他们在VPN上的用户与在办公室的用户具有相同的可见性。

ESG首席分析师Dave Gruber表示，“勒索软件和其他网络攻击通常涉及攻击链中某个位置的终端用户设备，然后横向移动至其他更高价值的资产。”

但是，预防、检测和响应机制在阻止快速移动的攻击方面可能还不够。网络犯罪分子仍在继续寻找进入的方法，并迅速横向移动。Gruber表示，跨终端设备的零信任分段等遏制策略可以主动阻止勒索软件和其他快速移动攻击扩散到关键基础设施和资产，从而降低风险。

零信任分段：增强的功能

零信任分段隔离了跨云、数据中心和端点的工作负载和设备。

Illumio和Bishop Fox模拟的一系列网络攻击发现，零信任分段可以在10分钟内终止攻击——比单一的端点检测和响应(EDR)快了近4倍。利用零信任分段的企业拥有高效攻击响应流程的可能性是其他企业的2.7倍，每年可以节省2010万美元的停机成本。

Espinoza指出，EDR工具必须检测到漏洞才有效;而由于企业正处于网络攻防的“猫鼠游戏”中，它们必须不断提高这种检测能力，以保持领先地位。这就是为什么对企业来说，不仅要努力预防和发现漏洞，还要建立抵御网络攻击的能力。只有这样，一个小的漏洞才不至于中断业务运营或影响关键数据。

小漏洞不再是大灾难

Espinoza称，毫无疑问，企业在不断创新，但黑客也同样在加速演进，开发更复杂的攻击模式。而且，大多数网络攻击都是“机会主义的”。

Espinoza解释称，“虽然组织机构必须在100%的时间内都是正确的，以防止入侵，但攻击者只需要一次‘幸运’的尝试就可以渗透到网络中。随着攻击面比以往任何时候都更广，入侵变得越来越频繁和严重也就不足为奇了。”

为此，企业必须转变思维方式，必须了解自己环境中的工作负载、设备和应用程序，以及如何通信，以确定最大的漏洞。这使企业能够全面了解其网络风险，并优先考虑将产生最大影响的安全方法。

Espinoza称，“如今，越来越多的企业领导者已经认清网络入侵不可避免的现实，尽管有强大的预防、检测和响应工具很重要，但这些措施远远不足以阻止网络中横向移动且不被发现的攻击者。”

零信任分段优先考虑薄弱环节

零信任分段工具使用分段来防止恶意行为者在初始入侵后深入到企业的网络中。如此一来，安全团队就可以大大增加“首个被入侵的笔记本电脑也是最后一个”的可能性。

提供终端之间以及网络其他部分如何通信的可见性，使安全团队能够看到风险，优先保护最脆弱的区域，并更快地对事件做出反应。这意味着企业可以在混合工作时建立抵御网络威胁的能力，这样一来，一个小的漏洞就不至于蔓延成一场大灾难。

不过，Espinoza强调称，安全归根结底是一项需要通力合作的工作。员工必须了解自己的角色，了解社交工程攻击和网络钓鱼邮件，汇报可疑活动，安装最新的更新和补丁程序。安全不是可有可无的考虑事项，而必须是C级领导者的优先事项。

要点

• 零信任是一种被大量炒作的安全模型，但尽管存在营销噪音，但它对于具有安全意识的组织具有一些具体而直接的价值。
• 零信任的核心是，将授权从“在边界验证一次”转变为“随时随地验证”。
• 为此，零信任要求我们重新思考身份的概念，并摆脱基于位置的身份，例如 IP 地址。
• Kubernetes 采用者在网络层实现零信任时具有明显的优势，这要归功于基于 Sidecar 的服务网格，它提供无需更改应用程序就可实现的最细粒度的身份验证和授权。
• 虽然服务网格可以提供帮助，但 Kubernetes 安全性仍然是一个复杂而微妙的话题，需要从多个层次进行了解。

零信任是一种位于现代安全实践前沿的强大的安全模型。这也是一个容易引起轰动和炒作的术语，因此很难消除噪音。那么，究竟什么是零信任，对于 Kubernetes，它究竟意味着什么？在本文中，我们将从工程的角度探讨什么是零信任，并构建一个基本框架来理解它对 Kubernetes 运维和安全团队等的影响。

介绍

如果你正在构建现代云软件，无论是采用 Kubernetes 还是其他软件，可能都听说过“零信任”一词。零信任的安全模式变得如此重要，以至于美国联邦政府已经注意到：白宫最近发布了一份联邦零信任战略的备忘录，要求所有美国联邦机构在年底前满足特定的零信任安全标准。2024财年；国防部创建了[零信任参考架构]；美国国家安全局发布了一份Kubernetes 强化指南，专门描述了 Kubernetes 中零信任安全的最佳实践。

随着这种噪音，零信任无疑吸引了很多营销关注。但尽管有噪音，零信任不仅仅是一个空洞的术语——它代表了对未来安全的一些深刻和变革性的想法。那么具体来说，什么是零信任，为什么它突然变得如此重要？零信任对 Kubernetes 用户意味着什么？

什么是零信任？

正如所料，零信任从根本上讲是关于信任。它是解决安全核心问题之一的模型：是否允许 X 访问 Y？换句话说，我们是否相信 X 可以访问 Y？

当然，零信任中的“零”有点夸张。要使软件正常工作，显然某些东西需要信任其他东西。因此，零信任并不是完全消除信任，而是将信任降低到最低限度（众所周知的最小特权原则）并确保它在每一点都得到执行。

这听起来像是常识。但与技术中的许多新想法一样，理解零信任的最佳方法是了解它的反应。零信任摒弃了边界安全的观点。在边界安全模型中，在敏感组件周围实施“装甲”。例如，数据中心周围可能有一个防火墙，其任务是阻止问题流量和参与者进入。这种模型，有时被称为城堡策略，具有直观的意义：城堡的墙壁是为了将坏人拒之门外。如果你在城堡里，那么根据定义，你就是一个好人。

零信任模型表明，边界安全已经不足。根据零信任原则，即使在安全边界内，仍必须将用户、系统和网络流量视为不受信任。国防部的参考架构很好地总结了这一点：

“在安全边界之外或之内运行的任何参与者、系统、网络或服务都是不可信的。相反，我们必须验证任何试图建立访问权限的事物。从边界验证一次到对每个用户、设备、应用程序和交易的持续验证，这是我们如何保护基础设施、网络和数据的哲学的巨大范式转变。”

当然，零信任并不意味着抛弃防火墙——纵深防御是任何安全策略的重要组成部分。这也不意味着我们可以忽略所有其他重要的安全组件，例如事件记录和供应链管理。零信任只要求我们将信任检查从“一次在边界”转移到“每次，无处不在”。

然而，为了正确地做到这一点，我们需要重新考虑一些关于“信任”意味着什么以及我们如何捕捉它的基本假设。

身份

零信任最直接的影响之一是它改变了我们思考和分配身份的方式，尤其是系统身份。

在边界模型中，位置实际上就是身份。如果在防火墙内，那么是可信的；如果你在它之外，就不是。因此，基于边界的系统可以允许基于客户端 IP 地址等信息访问敏感系统。

在零信任世界中，这已经不够了。IP 地址仅用于指示位置，因此不再足以确定是否可以访问特定资源。相反，我们需要另一种形式的身份：以某种内在方式与工作负载、用户或系统相关联。而且这种身份需要以某种方式进行验证，而这种方式本身并不需要信任网络。

这是一个具有丰富含义的大要求。提供网络安全但依赖于 IP 地址等网络标识符（如 IPSec 或 Wireguard）的系统不足以实现零信任。

策略

有了新的身份模型，我们现在需要一种方法来捕获每个身份的访问类型。在上面的边界方案中，通常授予一系列 IP 地址对敏感资源的完全访问权限。例如，我们可能会设置 IP 地址过滤，以确保仅允许防火墙内的 IP 地址访问敏感服务。在零信任的情况下，我们反而需要执行必要的最低访问级别。基于身份以及任何其他相关因素，应尽可能限制对资源的访问。

虽然我们的应用程序代码可以自己做出这些授权决策，但我们通常会使用在应用程序之外指定的某种形式的策略来捕获它。拥有明确的策略允许我们在不修改应用程序代码的情况下审核和更改访问权限。

为了实现我们的零信任目标，这些策略可能非常复杂。我们可能有一个策略，它将对服务的访问限制为只有那些需要访问它的服务调用方（即，在双方都使用工作负载身份）。我们可能会进一步细化，只允许访问该服务上的某些接口（HTTP 路由、gRPC 方法）。更进一步，根据请求的用户身份限制访问。在所有情况下，目标都是最低权限——只有在非常必要时才能访问系统和数据。

执行

最后，零信任要求我们在最细粒度的级别上同时执行身份验证（确认身份）和授权（验证策略是否允许该操作）。每个授予数据或计算访问权限的系统都应该设置从外围到单个组件的安全边界。

与策略类似，这种执行理想情况下是在整个堆栈中统一完成的。不是每个组件都使用自己的自定义执行代码，而是使用统一的执行层，统一之后方便审计，并将应用程序开发人员的关注点与运营和安全团队的关注点分离。

Kubernetes 零信任

我们必须从第一原则重新思考身份，以任意表达性策略的形式来将信任具象化，并将新的执行机制渗透到基础设施的各个层面。面对这些的要求，我们不可避免地经历短暂的恐慌。前面是不是提到需要在 2024 财年之前实现？

好消息是，至少对于 Kubernetes 用户来说，采用零信任的某些方面要容易得多。尽管有缺陷和复杂性，Kubernetes 是一个具有明确范围、定义良好的安全模型和明确的扩展机制的平台。这使其成为零信任实施的成功领域。

在 Kubernetes 中解决零信任网络的最直接方法之一是使用服务网格。服务网格利用了 Kubernetes 强大的“sidecar”概念，其中平台容器（译者注：此处指 sidecar 代理容器）可以在部署时以后期绑定操作功能的形式，与应用程序容器动态注入到一起，。

服务网格使用这种 sidecar 方法在运行时将代理添加到应用程序 pod 中，并连接这些代理以处理所有传入和传出流量。这允许服务网格以与应用程序代码解耦的方式交付功能。应用程序和平台之间的关注点分离是服务网格主张的核心价值：当然，这些功能可以直接在应用程序中实现，但是通过解耦，我们允许安全团队和开发人员相互独立地迭代，同时仍然努力实现安全但功能齐全的应用程序的共同目标。

由于服务网格处理进出应用程序之间的默认网络，因此它可以很好地处理零信任问题：

1. 工作负载身份可以从 Kubernetes 中的 pod 身份而不是其 IP 地址中获取。
2. 可以通过在双向 TLS 中包装连接来执行身份验证，这是 TLS 的一种变体，其使用加密信息在连接的两端进行验证。
3. 授权策略可以用 Kubernetes 术语表示，例如，通过自定义资源定义 (CRD)，明确策略并并与应用程序解耦。
4. 最重要的是，策略在跨技术栈的单个 pod 级别统一执行。每个 pod 都有自己的身份验证和授权，这意味着网络永远不受信任。

所有这些共同实现了我们的大部分零信任目标（至少对于 Kubernetes 集群而言！）。我们使用工作负载身份而不是网络身份；在最细粒度级别（pod）上执行，以及在技术栈中以一致且统一的方式应用身份验证和授权的，而无需更改应用程序。

在基本框架内，不同的服务网格实现提供了不同的权衡。例如， Linkerd[5]是一个开源、Cloud Native Computing Foundation[6] 毕业的服务网格项目，它提供了一个以简单性为目标和重点的实现，直接从 Kubernetes ServiceAccounts 提取工作负载标识来达到“零配置”，默认开启双向 TLS。同样，Linkerd 的基于 Rust 的微代理提供了一个极简的零信任实现。

当然，仅仅在集群中添加一个服务网格并不是万能的。安装后，必须完成定义、更新和评估授权策略的工作。集群运维人员必须小心确保所有新创建的 pod 都与它们的 sidecar 组件配对。当然，服务网格本身必须像集群上的任何软件一样进行维护、监控和迭代。然而，不管是不是灵丹妙药，服务网格确实提供了从集群中默认的未加密、未经身份验证的流量转变为具有强大工作负载身份和丰富授权系统的默认加密、经过身份验证的流量——这是朝着零信任迈出的一大步。

总结

零信任是一种强大的安全模型，处于现代安全实践的前沿。如果可以消除围绕它的营销噪音，那么采用零信任有一些深刻而重要的好处。虽然零信任需要对身份等核心理念进行一些根本性的改变，但如果 Kubernetes 用户能够采用服务网格并从纯粹基于边界的网络安全转变为“对每个用户、设备、应用程序和交易的持续验证”，那么他们至少有很大的优势。