影音先锋成人影院,久久免费美女操B视频,五月天无码在线,美女黄网站,欧美一级做A片,豆花av免费观看,中文字幕的乱伦,日韩精品在线观看高清

背景介紹

本文的作者是陳志杰，2015至2020年有幸參與了谷歌生產(chǎn)環(huán)境零信任（Zero Trust in Production Environments）的理論和實(shí)踐。在此背景下開(kāi)發(fā)的Binary Authorization for Borg（BAB）系統(tǒng)已經(jīng)在谷歌生產(chǎn)環(huán)境中實(shí)現(xiàn)了全面覆蓋：任何人在生產(chǎn)環(huán)境中以任何服務(wù)的身份運(yùn)行任何軟件包之前，都必須為目標(biāo)服務(wù)建立一個(gè)足夠強(qiáng)的BAB安全策略。不符合BAB安全策略的程序?qū)⒉粫?huì)被允許以相應(yīng)服務(wù)的身份運(yùn)行。

在實(shí)現(xiàn)和推廣這種生產(chǎn)環(huán)境零信任的過(guò)程中，BAB團(tuán)隊(duì)走了不少?gòu)澛罚彩斋@了很多經(jīng)驗(yàn)。從2017年開(kāi)始，BAB團(tuán)隊(duì)開(kāi)始把這些實(shí)踐經(jīng)驗(yàn)上升到理論，并陸續(xù)發(fā)布了一系列的白皮書(shū)（ BeyondProd[1]，Binary Authorization for Borg[2]，SLSA: Supply-chain Levels for Software Artifacts[3]），書(shū)籍（Building Secure and Reliable Systems[4]）以及報(bào)告（Evolve to zero trust security model with Anthos security[5]，Zero Touch Prod[6]）。同時(shí)也開(kāi)始將這種零信任理念推廣到更多應(yīng)用場(chǎng)景，包括公有云上的零信任，公有云自身基礎(chǔ)設(shè)施的零信任，安卓和Chrome自身及其App的開(kāi)發(fā)零信任。

本次分享的內(nèi)容全部基于以上谷歌已經(jīng)公開(kāi)的資料，并未泄漏谷歌公司機(jī)密或者違反任何保密協(xié)議。本文中的結(jié)論僅代表作者個(gè)人觀點(diǎn)，并不一定是谷歌官方的觀點(diǎn)。

什么是零信任

什么是零信任？不同的人很有可能會(huì)給出不同的答案。有人說(shuō)零信任就是工作負(fù)載微隔離（Workload micro-segmentation）；有人說(shuō)零信任就是持續(xù)威脅監(jiān)測(cè)（Continous threat monitoring）；有人說(shuō)零信任就是用對(duì)端的信任代替對(duì)網(wǎng)絡(luò)的信任（Trust endpoints, not the network）；還有人說(shuō)零信任就是雙向TLS認(rèn)證（mTLS）。這些都有道理，但也顯然不全面。

在這里，筆者想借用一個(gè)關(guān)于機(jī)器學(xué)習(xí)的戲謔之辭：“機(jī)器學(xué)習(xí)就是美化了的統(tǒng)計(jì)學(xué)（Machine learning is glorified statistics）。”類(lèi)似的，零信任就是美化了的最小權(quán)限（Zero trust is glorified least privilege）。這明顯也不準(zhǔn)確，因?yàn)闄C(jī)器學(xué)習(xí)和零信任都要比統(tǒng)計(jì)學(xué)和最小權(quán)限更加強(qiáng)調(diào)具體的問(wèn)題和應(yīng)用場(chǎng)景。機(jī)器學(xué)習(xí)和零信任都不是單一學(xué)科和單一理論，而是為了解決實(shí)際問(wèn)題發(fā)展起來(lái)的在多個(gè)領(lǐng)域（比如數(shù)學(xué)，計(jì)算機(jī)架構(gòu)，分布式系統(tǒng)，存儲(chǔ)，網(wǎng)絡(luò)等）的創(chuàng)新實(shí)踐。

由此可見(jiàn)，我們對(duì)于零信任，不必太過(guò)拘泥于定義和理論，而是要把它跟實(shí)踐相結(jié)合，從具體的要解決的問(wèn)題和應(yīng)用場(chǎng)景出發(fā)。所以我們暫時(shí)結(jié)合本文里的問(wèn)題和應(yīng)用場(chǎng)景，將零信任定義為：從要保護(hù)的數(shù)據(jù)和權(quán)限出發(fā)，對(duì)生產(chǎn)環(huán)境中的信任的全面削減和重塑（Reduction and reconsruction of trust in production with regard to protected data and privileges）。

比定義零信任更重要的問(wèn)題是：為什么要做零信任？

為什么要做零信任

為什么要做零信任？最本質(zhì)的，是因?yàn)槲覀冇幸恍┲匾臄?shù)據(jù)或者權(quán)限需要保護(hù)，而現(xiàn)有安全體系在云原生時(shí)代已無(wú)法提供足夠的保護(hù)。用戶(hù)個(gè)人隱私數(shù)據(jù)，員工薪資數(shù)據(jù)，修改密碼的權(quán)限，關(guān)閉關(guān)鍵系統(tǒng)的權(quán)限等等都是被保護(hù)的對(duì)象。這些數(shù)據(jù)和權(quán)限最初是由基于邊界安全（Perimeter Security）的網(wǎng)絡(luò)接入控制來(lái)保護(hù)的，比如公司內(nèi)網(wǎng)和VPN，當(dāng)一臺(tái)設(shè)備連入公司內(nèi)網(wǎng)后，就繼承了獲取這些數(shù)據(jù)和權(quán)限的權(quán)利。后來(lái)，人們又開(kāi)始引入基于IP的或者基于用戶(hù)名密碼的訪問(wèn)控制，以及更加細(xì)粒度的基于身份和角色（Identity and Role）的訪問(wèn)控制。但是這些已經(jīng)無(wú)法滿(mǎn)足在云原生環(huán)境下，尤其是像谷歌這樣具有復(fù)雜的企業(yè)IT系統(tǒng)的數(shù)據(jù)和權(quán)限保護(hù)的要求。

云原生帶來(lái)了以下挑戰(zhàn)：一是企業(yè)IT系統(tǒng)已經(jīng)從單機(jī)房模式進(jìn)化到了跨云混合（multi and hybrid cloud）的模式，這導(dǎo)致了邊界的模糊和基于邊界保護(hù)的安全的低效；二是基于容器（Containers）的計(jì)算導(dǎo)致了宿主機(jī)的不確定性，同一個(gè)服務(wù)可能在不斷線的情況下隨時(shí)從一臺(tái)物理主機(jī)遷移到另一臺(tái)物理主機(jī)，這導(dǎo)致了基于主機(jī)的安全防護(hù)已經(jīng)無(wú)法進(jìn)一步實(shí)現(xiàn)基于服務(wù)邏輯的深層防護(hù)；三是微服務(wù)（Microservice）和細(xì)粒度的API增加了攻擊面，身份和角色已經(jīng)不單單是終端用戶(hù)的身份和角色，而是微服務(wù)之間交互時(shí)的更細(xì)粒度的身份和訪問(wèn)控制。

從谷歌當(dāng)時(shí)的處境出發(fā)，2015年左右時(shí)，我們?cè)趦?nèi)部已經(jīng)實(shí)現(xiàn)了比較成熟的基于密鑰和身份認(rèn)證的權(quán)限管理系統(tǒng)，但有兩個(gè)安全威脅引起了我們的注意：一是后斯諾登時(shí)代，數(shù)據(jù)中心的機(jī)器之間通信，如何建立互信，如何保證一臺(tái)被入侵的主機(jī)或者一個(gè)被入侵的服務(wù)不會(huì)影響生產(chǎn)環(huán)境中的其他部分？二是當(dāng)我們對(duì)單發(fā)（One off）的數(shù)據(jù)和權(quán)限訪問(wèn)有了很好的授權(quán)和審計(jì)系統(tǒng)之后，如何應(yīng)對(duì)像機(jī)器學(xué)習(xí)這樣批量（Batch）的數(shù)據(jù)和權(quán)限訪問(wèn)帶來(lái)的大規(guī)模數(shù)據(jù)泄漏的隱患？建立一個(gè)基于零信任的內(nèi)部風(fēng)險(xiǎn)（Insider Risk）管控系統(tǒng)迫在眉睫。

當(dāng)然，這一切都基于一個(gè)扎實(shí)傳統(tǒng)安全基本面：網(wǎng)絡(luò)和主機(jī)防護(hù)系統(tǒng)，可信啟動(dòng)，密鑰管理系統(tǒng)，身份認(rèn)證和管理系統(tǒng)等等。零信任是基于這個(gè)安全基本面的上層建筑。

零信任的三要素：信任鏈，身份2.0和持續(xù)訪問(wèn)控制

信任鏈，身份2.0和持續(xù)訪問(wèn)控制是零信任的三大要素。

信任鏈

零信任并不是完全沒(méi)有信任，而是明確的從幾個(gè)基本的最小化的信任根（Root of Trust）開(kāi)始，重構(gòu)信任鏈（Chain of Trust）的過(guò)程。幾個(gè)典型的例子包括：多因子認(rèn)證（MFA，Multi-Factor Authentication）是人的身份的信任根；可信平臺(tái)模塊（TPM，Trusted Platform Module）和可信啟動(dòng)（Trusted Boot）是機(jī)器的身份的信任根；而源代碼和可信編譯（Trusted Build）是軟件的信任根。對(duì)于一個(gè)龐大的IT系統(tǒng)的信任就是從這些最基本的信任根開(kāi)始，通過(guò)一系列的標(biāo)準(zhǔn)化流程（Standard Process）建立的一個(gè)完整的信任鏈（也有人稱(chēng)其為信任樹(shù) Tree of Trust 或者信任網(wǎng) Web of Trust）。

身份2.0

身份2.0是對(duì)于以上的信任鏈的標(biāo)準(zhǔn)化，以便于在安全訪問(wèn)策略中使用這些在建立信任過(guò)程中收集到的信息。在身份2.0中，一切本體（Entity）都有身份，用戶(hù)有用戶(hù)身份，員工有員工身份，機(jī)器有機(jī)器身份，軟件也有軟件身份；在身份2.0中，一切訪問(wèn)（Access）都帶有多重身份（又稱(chēng)訪問(wèn)背景 Access Context），比如對(duì)于數(shù)據(jù)庫(kù)中一行數(shù)據(jù)的訪問(wèn)就會(huì)帶有類(lèi)似 “為了幫助用戶(hù)解決一個(gè)技術(shù)問(wèn)題，員工A在用戶(hù)B的授權(quán)下通過(guò)軟件C在機(jī)器D上請(qǐng)求訪問(wèn)” 這樣的訪問(wèn)背景。

持續(xù)訪問(wèn)控制

有了身份2.0提供的豐富的身份和訪問(wèn)背景信息，我們就可以基于此建立一套持續(xù)訪問(wèn)控制體系（Continous Access Control）。持續(xù)訪問(wèn)控制會(huì)在軟件開(kāi)發(fā)和運(yùn)行的各個(gè)環(huán)節(jié)持續(xù)地進(jìn)行訪問(wèn)控制。幾個(gè)典型的例子包括：在員工登錄時(shí)要求提供多因子認(rèn)證；在部署軟件時(shí)要求軟件是從信任的源碼庫(kù)在安全的環(huán)境中編譯而來(lái)，并經(jīng)過(guò)代碼評(píng)估（Code Review）；在主機(jī)之間建立連接時(shí)要求雙方提供主機(jī)完整性證明；在微服務(wù)獲取特定用戶(hù)數(shù)據(jù)時(shí)要求提供該用戶(hù)的授權(quán)令牌（Authorization Token）。

零信任部署實(shí)例

在本節(jié)中，我們提供兩個(gè)具體的零信任部署實(shí)例：第一個(gè)是用戶(hù)如何獲取自己的數(shù)據(jù)，第二個(gè)是開(kāi)發(fā)者如何通過(guò)修改源代碼來(lái)改變生產(chǎn)環(huán)境中的數(shù)據(jù)訪問(wèn)行為。谷歌對(duì)這兩個(gè)案例的數(shù)據(jù)訪問(wèn)控制都遵循零信任的原則。

用戶(hù)訪問(wèn)自己的數(shù)據(jù)

當(dāng)用戶(hù)通過(guò)谷歌的服務(wù)訪問(wèn)自己的數(shù)據(jù)時(shí)，請(qǐng)求會(huì)通過(guò)用戶(hù)和Google Front End（GFE）之間的加密連接（TLS）首先到達(dá)GFE。GFE轉(zhuǎn)用更加高效和安全的協(xié)議和數(shù)據(jù)結(jié)構(gòu)將用戶(hù)請(qǐng)求分發(fā)到各個(gè)后端服務(wù)共同完成用戶(hù)請(qǐng)求。例如TLS會(huì)被換為Application Layer TLS（ATLS）[7]。面向用戶(hù)的口令會(huì)被轉(zhuǎn)換為更加安全的End User Context Ticket（EUC）。這些置換旨在根據(jù)實(shí)際請(qǐng)求降低內(nèi)部連接和令牌的權(quán)限，使得特定的ATLS和EUC只能訪問(wèn)局限于此次請(qǐng)求的數(shù)據(jù)和權(quán)限。

以下為BeyondProd[8]原圖，圖中Developer實(shí)際應(yīng)該是User：

開(kāi)發(fā)者改變軟件數(shù)據(jù)訪問(wèn)行為

當(dāng)開(kāi)發(fā)者希望通過(guò)改變服務(wù)的代碼來(lái)改變一個(gè)服務(wù)的數(shù)據(jù)和權(quán)限訪問(wèn)行為時(shí)（開(kāi)發(fā)者無(wú)法獲取生產(chǎn)主機(jī)的任意指令運(yùn)行權(quán)限，如SSH），該代碼修改會(huì)經(jīng)過(guò)一系列的流程來(lái)將對(duì)開(kāi)發(fā)者及其團(tuán)隊(duì)的信任轉(zhuǎn)化為對(duì)新的服務(wù)的信任：流程中所有涉及的人員均通過(guò)多因子認(rèn)證來(lái)確立身份，代碼修改會(huì)被一個(gè)或以上有審批權(quán)限的人評(píng)估，只有獲得足夠多的授權(quán)的代碼才會(huì)被合并入中央代碼庫(kù)，中央代碼庫(kù)的代碼會(huì)被一個(gè)同樣受BAB保護(hù)的可信編譯服務(wù)集中編譯，測(cè)試和簽名，編譯后的軟件會(huì)在部署環(huán)節(jié)通過(guò)目標(biāo)服務(wù)的BAB策略認(rèn)證（比如GMail的服務(wù)只能運(yùn)行代碼庫(kù)特定位置的經(jīng)過(guò)充分代碼評(píng)估和測(cè)試的代碼），軟件運(yùn)行時(shí)也會(huì)根據(jù)相應(yīng)的BAB安全策略進(jìn)行運(yùn)行時(shí)隔離：不同BAB服務(wù)策略管轄的服務(wù)會(huì)被運(yùn)行在不同的隔離區(qū)。

以下為BeyondProd[8]原圖，詳情請(qǐng)參見(jiàn)原文：

實(shí)踐經(jīng)驗(yàn)和教訓(xùn)

以人為本，從流程中建立信任

在用BeyondCorp實(shí)現(xiàn)開(kāi)發(fā)環(huán)境（Corp Environment）的零信任時(shí)，我們以人為本，對(duì)員工進(jìn)行身份管理和多因子認(rèn)證。與此同時(shí)，我們建立了一套管理公司設(shè)備的流程，每個(gè)公司設(shè)備都配備TPM模塊和操作系統(tǒng)完整性驗(yàn)證。這兩項(xiàng)工作確保了正確的人用正確的設(shè)備提供可信的認(rèn)證信息。最后，我們?cè)倮眠@些認(rèn)證信息對(duì)員工訪問(wèn)開(kāi)發(fā)環(huán)境進(jìn)行持續(xù)訪問(wèn)控制。

在用BeyondProd實(shí)現(xiàn)生產(chǎn)環(huán)境（Prod Environment）的零信任時(shí)，我們同樣試圖以人和流程作為信任的根本。BeyondProd面對(duì)的問(wèn)題是，生產(chǎn)環(huán)境并不存在與人的直接交互，于是我們建立了一套把生產(chǎn)環(huán)境中的軟件溯源到這些軟件的開(kāi)發(fā)者（Software Provenance），從對(duì)開(kāi)發(fā)者的認(rèn)證和開(kāi)發(fā)流程的加固開(kāi)始，確保沒(méi)有任何單人能夠改變生產(chǎn)環(huán)境中的軟件的行為（No Unilateral Change）。

安全規(guī)則等級(jí)

羅馬不是一天建成的，推廣零信任同樣是一個(gè)漸進(jìn)的過(guò)程。為了量化和激勵(lì)安全改進(jìn)，我們用安全規(guī)則等級(jí)來(lái)衡量一個(gè)安全規(guī)則是否比另一個(gè)安全規(guī)則“更安全”。比如，在Binary Authorization for Borg體系中，我們引入了以下安全等級(jí)：

安全等級(jí)〇：無(wú)保護(hù)。此為最低的安全等級(jí)，代表該服務(wù)完全不被BAB保護(hù)。這種情況有可能是因?yàn)樵撓到y(tǒng)沒(méi)有任何敏感權(quán)限，也有可能因?yàn)樵撓到y(tǒng)使用了其他的與BAB等價(jià)的保護(hù)。

安全等級(jí)一：可審計(jì)的代碼。此等級(jí)的安全規(guī)則能夠確保相應(yīng)服務(wù)所用的軟件是在一個(gè)安全可驗(yàn)證的環(huán)境中由已知的源代碼編譯而來(lái)。

安全等級(jí)二：可信的代碼。此等級(jí)的安全規(guī)則在能確保安全等級(jí)一之外，還能確保相應(yīng)服務(wù)所用的軟件是由特定代碼庫(kù)（比如Gmail自己的代碼庫(kù)）中的經(jīng)過(guò)代碼評(píng)估（Code Review）和測(cè)試的代碼編譯而來(lái)。截至2020年2月，該等級(jí)為所有谷歌服務(wù)默認(rèn)的保護(hù)等級(jí)。

安全等級(jí)三：可信的代碼和配置。此等級(jí)的安全規(guī)則在能確保安全等級(jí)二之外，還能確保相應(yīng)服務(wù)所用的配置文件也像代碼一樣經(jīng)過(guò)了同樣的安全流程（Configuration as Code）。截至2020年2月，該等級(jí)為所有谷歌重點(diǎn)保護(hù)服務(wù)的默認(rèn)等級(jí)。

報(bào)警制和授權(quán)制

在推廣零信任的過(guò)程中，為了給各方提供一個(gè)平緩的遷移體驗(yàn)，我們并沒(méi)有直接禁止所有不符合安全規(guī)則訪問(wèn)，而是在安全規(guī)則本身中提供報(bào)警制和授權(quán)制兩個(gè)模式。在報(bào)警制下，違反安全規(guī)則的訪問(wèn)并不會(huì)被阻止，而是會(huì)被記錄并報(bào)警給相關(guān)人員，而在授權(quán)制下，違反安全規(guī)則的訪問(wèn)會(huì)被立即阻止。這種雙體制的存在既給人機(jī)會(huì)根據(jù)報(bào)警不斷迭代和改進(jìn)不合規(guī)的行為，又在不合歸的行為被杜絕后提供有效的機(jī)制收緊安全規(guī)則并防止回歸（Regression）。

要安全也要穩(wěn)定

零信任的復(fù)雜度決定了其在保持系統(tǒng)穩(wěn)定性（Reliability）上也會(huì)面臨新的挑戰(zhàn)。在實(shí)踐零信任的過(guò)程中，我們?yōu)榇蠖鄶?shù)場(chǎng)景提供了應(yīng)急破壁機(jī)制（Break-glass Mechanism）。這保證了在緊急情況下，操作員能夠打破零信任系統(tǒng)的限制進(jìn)行一些復(fù)雜的應(yīng)急操作。為了持續(xù)保障安全，一旦應(yīng)急破壁機(jī)制被調(diào)用，安全團(tuán)隊(duì)會(huì)立刻收到報(bào)警，在破壁機(jī)制下的所有操作也會(huì)被詳細(xì)記錄在安全日志中。這些安全日志會(huì)被仔細(xì)審查以驗(yàn)證破壁的必要性。這些安全日志也會(huì)幫助設(shè)計(jì)新的零信任特性以避免在類(lèi)似情況下再次調(diào)用應(yīng)急破壁機(jī)制。

關(guān)注內(nèi)部風(fēng)險(xiǎn)

從防御的角度來(lái)講，內(nèi)部風(fēng)險(xiǎn)是外部風(fēng)險(xiǎn)的超集：當(dāng)攻擊者攻陷任何一個(gè)內(nèi)部人員（合法用戶(hù)或員工）的設(shè)備后，攻擊者便成了內(nèi)部人員。零信任從這個(gè)角度看就是假設(shè)任何一臺(tái)主機(jī)都有可能被攻陷。

安全基礎(chǔ)建設(shè)

零信任的實(shí)施依賴(lài)于扎實(shí)的基礎(chǔ)安全架構(gòu)，沒(méi)有基礎(chǔ)就沒(méi)有上層建筑。谷歌零信任依賴(lài)于以下基礎(chǔ)設(shè)施提供的基本安全保障：

數(shù)據(jù)加密和密鑰管理（Encryption and Key Management）
身份和訪問(wèn)管理（Identity and Access Management）
數(shù)字化人力資源管理（Digital Human Resource）
數(shù)字化設(shè)備管理（Digital Device Management）
數(shù)據(jù)中心安全（Data Center Security）
網(wǎng)絡(luò)安全（Network Security）
主機(jī)安全（Host Security）
容器隔離（Container Isolation，gVisor）
可信啟動(dòng)（Trusted Boot）
可驗(yàn)證編譯（Verifiable Build）
軟件完整性驗(yàn)證（Software Integrity Verification）
雙向TLS（mTLS）
基于服務(wù)的訪問(wèn)策略（Service Access Policy）
終端用戶(hù)令牌（End User Context Tokens）
配置即代碼（Configuration as Code）
標(biāo)準(zhǔn)化開(kāi)發(fā)和部署（Standard Development and Deployment）

其他

除以上經(jīng)驗(yàn)教訓(xùn)外，從小規(guī)模開(kāi)始迭代（Start small，then iterate），多層安全（Defense in depth），量化安全投資回報(bào)（Quantify return over investiment），通過(guò)標(biāo)準(zhǔn)化降低成本（Lowering cost through homogeneity），安全左移（Shifting left）等等，也是我們?cè)趯?shí)踐中積累下來(lái)的準(zhǔn)則，在此不再贅述。

結(jié)論

做好零信任，20%靠理論，80%靠實(shí)踐。零信任的實(shí)踐方案并不唯一，筆者希望通過(guò)分享以上的一例零信任實(shí)踐，達(dá)到拋磚引玉的目的。歡迎大家批評(píng)指正！

相關(guān)鏈接：

https://cloud.google.com/security/beyondprod
https://cloud.google.com/security/binary-authorization-for-borg
https://github.com/slsa-framework/slsa
https://sre.google/books/building-secure-reliable-systems/
https://www.youtube.com/watch?v=zCVwc3ocYfQ
https://www.usenix.org/conference/srecon19emea/presentation/czapinski
https://cloud.google.com/security/encryption-in-transit/application-layer-transport-security
https://cloud.google.com/security/beyondprod

原文鏈接：https://ckev.in/j/ztcn/

不是你需要中臺(tái)，而是一名合格的架構(gòu)師（附各大廠中臺(tái)建設(shè)PPT）

企業(yè)IT技術(shù)架構(gòu)規(guī)劃方案

論數(shù)字化轉(zhuǎn)型——轉(zhuǎn)什么，如何轉(zhuǎn)？

華為干部與人才發(fā)展手冊(cè)（附PPT）

企業(yè)10大管理流程圖，數(shù)字化轉(zhuǎn)型從業(yè)者必備！

【中臺(tái)實(shí)踐】華為大數(shù)據(jù)中臺(tái)架構(gòu)分享.pdf

華為的數(shù)字化轉(zhuǎn)型方法論

華為如何實(shí)施數(shù)字化轉(zhuǎn)型（附PPT）

超詳細(xì)280頁(yè)Docker實(shí)戰(zhàn)文檔！開(kāi)放下載

華為大數(shù)據(jù)解決方案（PPT）

零信任實(shí)踐分享