说到零信任,很难与戴尔联系。然而,现在戴尔也在谈论零信任。为什么?首先,什么是零信任?零信任,英文原文是“ZeroTrust”,字面意思是互不信任。让人联想到网络表情包:“人与人之间没有信任吗?”,“你唯一能伤害的人就是信任你的人!”这不是劝人躺下做“孤独的人”。相反,正是因为没有信任,才特别需要建立信任,通过不断验证权限来建立信任。通过持续验证提高安全性是零信任的核心思想。NIST官网对零信任有更详细的介绍(看不懂也没关系):“零信任(Zerotrust,ZT)是一组不断演进的网络安全范例的术语,它从防御转变为“静态,基于网络的边界转移到关注用户、资产和资源。零信任架构使用零信任原则来规划工业和企业基础设施和工作流程。”“零信任是对企业网络趋势的回应,其中包括远程用户、自带设备(BYOD)和不在公司拥有的网络范围内的基于云的资产。零信任专注于保护资源(资产、服务、工作流程、网络帐户等)而不是网段,因为网络位置不再被视为资源安全状况的主要组成部分。”为什么现在需要零信任?零信任的概念可以追溯到1990年代,为什么现在要谈零信任?归根结底,这是IT架构体系的变化造成的。过去,企业采购自己机房的服务器、存储、网络等硬件支撑企业信息化系统,如果说这个时期的机房是自建的独栋别墅,那么安全解决方案就是别墅的围墙,安全问题无处不在,而这堵“墙”不仅不密不透风,还经常需要维修,经常出现漏洞,一旦遇到安全漏洞,就需要相应的一套解决方案来补墙。这种自建和自管别墅见证了企业的成长壮大,围栏上的补丁也见证了历史的变迁,如今,环境变了——云计算时代已经到来,多云架构企业来了。在多云时代背景下,企业自己的独栋别墅虽然很重要,但往往需要租用/订阅外部资源。这时候,安全边界已经发生变化,自建墙已经无法覆盖所有资产。因此,零信任架构需要用新的原则重新解决安全问题。零信任解决安全问题的三个原则。首先,所有的设备和用户都必须是已知的、有清晰的面孔、有名有姓、有明确的权限范围。就像,你走进一家公司,保安允许你进入,但并不代表你值得信任。你要开财务部的门,你得证明你有权限,不然保卫部的人会来找你。其次,传统的做法是阻止有害行为,而零信任只能做被允许的事情。人只能做已知的好事,设备只能运行能运行的应用,不能进行未经授权的未知操作。这样,风险管理就变得非常简单。第三,经过身份验证的人员和设备所做的事情将被记录和监控。如果有异常活动,比如研发人员经常访问财务人员应该访问的内容,这种行为会被记录并上报。这使得发现问题和简化威胁管理变得更加容易。从认知的角度来看,零信任太苛刻了。从实施的角度来说,零信任带来的变化太大了,感觉很麻烦,乱七八糟。零信任的构成需要三层架构的紧密配合事实上,零信任架构有一个比较清晰的三层架构:业务控制层、通用控制平面和基础设施。而且,实现的顺序是从最顶层的业务控制层开始,到通用控制平面,最后到基础设施层。三层的职责不同:业务控制层管理业务层的安全。例如,研发人员可以进入实验室,非研发人员不能进入实验室。这是业务层的管理。再比如,数据只能本地化,核心数据不能输出到国外,这也是企业管理的问题。在实施层面,由于业务控制层需要梳理业务逻辑,因此需要德勤、埃森哲、凯捷等咨询公司参与。通用控制面负责用技术实现业务控制内容,本身就是一系列的技术实现。会帮助系统搞清楚自己是谁,定义自己能做什么,记录并识别自己做了什么,这三个问题。具体实现层面需要微软的ActiveDirectory、Rapid7、戴尔的SecureWorks、SentinelOne等软件解决方案。零信任环境的第三层是基础设施,它应该由控制平面来控制。然而,由于硬件层缺乏合适的协议和正确的策略模型,控制平面很难控制基础设施。在具体实现上,如果基础设施是为控制面设计的,则可以实现业务控制面和通用控制面定义的安全策略,上层也可以通过基础设施的遥测数据了解更多细节。戴尔在零信任中扮演什么角色,为什么要谈论零信任?零信任架构体系包括以上三个层次,需要很好的融合。但由于缺乏标准、职责分工明确、零信任基础设施API等,目前企业要承担大部分的集成负担,导致零信任很难实现。戴尔可以简化零信任部署。戴尔可以提供包括存储、网络、服务器、终端设备在内的多种基础设施,并更好地与控制平面结合,利用完整的三层架构构建零信任架构体系。推动零信任架构更快落地。那么,这里就文章开头的问题做一下解释,戴尔为什么要讲零信任?作为全球大型IT基础架构提供商,戴尔提供了全球约三分之一的存储、约五分之一的服务器以及无数的终端设备。戴尔在生态标准化方面具有行业号召力和影响力。在零信任问题上,戴尔正在全行业推动零信任的融合,让零信任更容易被采用,减轻企业融合的负担。以上是零信任与现代安全的三大要素,讲述了零信任的概念、作用和构成,在多云架构时代提升企业的安全水平。零信任安全架构给安全体系带来了巨大变革,为企业构建现代安全奠定了基础。现代安全具有三个要素,戴尔可以支持企业构建现代安全:首先,戴尔作为基础架构提供商可以提供信任基础。作为国际大厂,戴尔不仅拥有极高的品牌美誉度。此外,戴尔可以提供安全的交付流程。用户可以清楚地知道自己使用的戴尔产品是在哪里设计和生产的,从下单到收割部署期间是否被篡改过,确保安全。零信任是戴尔基础架构在其整个生命周期中不可或缺的一部分。戴尔从产品设计和开发之初就考虑零信任,在制造交付环节、部署、运维、退役阶段都实施零信任保障。制造和交付环节涉及的安全问题值得关注。业内曾有过零部件在发货环节被篡改,从而引发安全事故的先例。其次,戴尔作为基础架构提供商,可以简化零信任的采用。零信任架构集成的负担太重。戴尔专门为零信任架构设计了基础设施,实现与控制平面、身份管理、策略管理和威胁管理的集成。这意味着戴尔客户可以更轻松地与现有安全解决方案集成,从而简化零信任的采用。最后,戴尔作为基础架构提供商,还可以提供网络恢复计划。毕竟,零信任是用来防御安全威胁的。虽然可以提高网络防御能力,但是世界上没有绝对的安全。如果防御措施失效,未来会不会出现硬着陆?戴尔的实践证明,用户需要一个网络恢复计划来快速恢复业务。戴尔提供的这三项能力是现代企业安全的三要素。如何加强现代安全?并听听下面的分解。
