ZeroTrustOps：大规模保护

让我们简单地开始吧。你们中有多少人厌倦了听到“零信任”这个词？“零信任”到底是什么意思？Wendy Nather(@WendyNather)在她的全天DevOps演示文稿中解释道。

在零信任的情况下，您应该假设网络上的一切都不安全。是的，您的内部网络也是如此。这并不意味着你永远不应该相信任何人。但您必须明确检查信任。因此，即使它在您的网络上并通过了防火墙，您仍然需要确保它的安全。

需要考虑的重要一点是，成功的攻击者看起来完全像内部人士。例如，攻击者一旦获得了系统管理员的凭据，就通过VPN进入，并且看起来很安全。唯一警告大家的是键盘已经换成了中文。假设你在一家俱乐部，你的保镖就是防火墙。零信任意味着调酒师仍然要求顾客出示身份证。调酒师不依赖保镖或其他任何人的检查和认证。这是因为他们可能会根据不同的政策和条件允许某人进入大门。另外，可能还没有人走进保镖的门。也许他们是从后院进来的。因此，我们需要在尽可能靠近访问点的地方验证身份。这就是为什么调酒师仍然会要你的身份证。

隐性信任是个问题。例如，科罗拉多州交通部遇到了导致勒索软件和数周停机的问题。花点时间在谷歌上搜索一下这个故事。

“这只是一个临时实例，所以不需要通常的安全配置。”

“我们将所有东西都加入内部域，即使它不是内部域，因为这会使一切顺利运行。”

“如果您是内部域的一部分，我们不需要再次检查您。”

我们有时会认为它只是一个临时实例，所以它不需要通常的安全配置。或者我们可能会认为没有人会注意到这个例子。我们不能做这些假设。

网络分段能解决问题吗？是也不是。这取决于它的粒度。但粒度越大，维护难度就越大。

另一个关于零信任的注意事项--这不是一种工具或技术。无论是在我们的网络上还是在我们的网络之外，这都是一种不同的思考资源的方式。

首先，将边界视为您做出访问控制决策的任何位置。例如，如果您不运行自己的网络，那么一切都有潜在的敌意。将您的安全性移动到您可以控制的级别。

这里有一个新的公共边界的例子：当人们在家庭和工作中使用相同的应用程序时。例如，如果我在工作时登录我的谷歌账户，大多数公司都不会在意。然而，如果我登录了我的个人账户，这就成了我雇主的问题。边界可能会受到我输入的登录信息的影响。

在三个方面，零信任可以保证你的安全：劳动力、工作量和工作场所。例如，在员工队伍中，您想知道用户是否就是他们所说的那个人。您想知道他们是否拥有正确的访问权限，以及他们的设备是否安全可信。

劳动力、工作量、工作场所幻灯片摘自Wendy Nather的“ZeroTrustOps：Secure at Scale”演示文稿。

然而，零信任不仅仅关乎用户。查看工作负载时，正在使用哪些应用程序，正在通信哪些数据？哪些数据在应用程序之间传递，以及如何保护这些数据？甚至在我们的网络中也越来越多地使用加密技术。

最后，让我们来看看工作场所。我们可能在工作日中使用物联网、智能灯泡和其他技术。我们可能需要检查员工随身携带的所有设备。它们可能是易受攻击的，那么我们如何将它们与我们网络的其余部分分开呢？

在DevOps中，您将比过去负责更多的工作：设计、编码、部署和监控应用程序。

在查看下面的图表时，请考虑所有内容是如何连接在一起的。根据对话内容的不同，您会有不同的安全协议和不同的安全顾虑。

该图表显示了Wendy Nather的“ZeroTrustOps：Scaling at Scale”演示文稿中可能进行身份验证的地方。

您可以查看所有这些内容，并看到许多进行身份验证的机会。如你所见，这张桌子并不完整。我们还有一些事情要解决。

例如，还有一个额外的问题。查看用户角色，了解他们必须使用多少种不同的身份验证方法才能证明自己是他们所说的那个人。这导致脾气暴躁的用户不得不跟踪所有这些不同的方法！

使用DevOps，您必须注意影响和规模。DevOps世界中的用户都拥有提升的权限。他们可以访问比普通用户多得多的内容。

此外，您应该查看工作负载间通信。您可能不会预料到一台服务器与另一台服务器通信时会出现问题。然而，当攻击者攻击时，他们会利用这些没有人想过要阻止的横向通信。是的，将应该可以访问系统的所有内容列入白名单是很可怕的。这可能需要时间。但它将通过零信任带来更大的安全性。

最后，要认识到自动化既有好处，也有坏处。它减轻了我们的工作量，但也驱使我们达到最低的公分母。因此，如果您必须为每个应用程序自定义一项特定内容，您可以开始为所有应用程序提供相同的通用安全策略和规则。然后，你会滑入一种万物都在与其他万物对话的状态。政策比应有的宽松。因此，您应该花时间弄清楚细粒度的安全策略。零信任并不是让所有事情都归于同一政策之下。

那么攻击者下一步会去哪里呢？如果我们阻止网络内部的横向移动，它们很可能会切换到应用程序之间的横向移动。您必须开始考虑更多地保护您的API。

例如，您的团队可能会信任您在网络研讨会上发言。但他们可能不相信你永远不会打碎东西。即使他们确实信任你，这种信任也不应该是永久性的。

想一想你信任某人做什么，什么条件需要为真，以及这种信任应该持续多久。