Google推出全托管零信任安全解決方案

Google正式推出全托管零信任（Zero-Trust）安全解決方案，該解決方案使用其開(kāi)放服務(wù)網(wǎng)格流量管理服務(wù)Traffic Director、憑證頒發(fā)機(jī)構(gòu)（Certificate Authority，CA）服務(wù)，以及Kubernetes服務(wù)GKE構(gòu)建而成。

Google提到，企業(yè)在追求新的安全態(tài)勢(shì)（Security Posture），來(lái)改進(jìn)應(yīng)用程序安全性時(shí)，開(kāi)始將零信任安全解決方案納入考慮。而零信任安全模型，指得是一種IT系統(tǒng)的設(shè)計(jì)和實(shí)例方法，默認(rèn)不信任任何設(shè)備，即便是連接著企業(yè)內(nèi)網(wǎng)，或是之前經(jīng)過(guò)認(rèn)證的設(shè)備都一樣，通過(guò)相互驗(yàn)證（Mutual Authentication）確認(rèn)雙放身份，并僅給用戶(hù)需要完成特定任務(wù)的權(quán)限，以強(qiáng)化信息安全，進(jìn)一步防止惡意程序在企業(yè)內(nèi)部橫向移動(dòng)。

因此零信任安全態(tài)勢(shì)有幾個(gè)基本模塊，包括分配和身份確認(rèn)方法，像是使用X.509憑證，還有使用相護(hù)驗(yàn)證mTLS與服務(wù)器身份驗(yàn)證TLS協(xié)議，同時(shí)系統(tǒng)還需要加密所有流量，并且進(jìn)行身份檢查和最低權(quán)限配置。基礎(chǔ)設(shè)施要能支持上述的所有功能，并且易于管理且具可靠性。

Google則結(jié)合了Traffic Director和CA，來(lái)完成所有零信任安全態(tài)勢(shì)的要求。Traffic Director提供了易于使用的服務(wù)網(wǎng)格流量管理機(jī)制，該服務(wù)是一個(gè)全托管服務(wù)網(wǎng)格流量控制層，用戶(hù)可以使用Traffic Director在多個(gè)云計(jì)算地區(qū)，部署跨多個(gè)集群和虛擬機(jī)的全球負(fù)載均衡機(jī)制。而CA服務(wù)則是一個(gè)高可用度的私有CA，能夠頒發(fā)標(biāo)示身份的私有憑證，并且提供完整憑證生命周期管理的mTLS憑證基礎(chǔ)設(shè)施。Traffic Director以及CA集成共同解決了憑證頒發(fā)，和CA輪替的復(fù)雜問(wèn)題。

通過(guò)Traffic Director來(lái)管理服務(wù)到服務(wù)（Service-to-Service）安全性，用戶(hù)能夠獲得服務(wù)網(wǎng)格的端到端加密、服務(wù)層級(jí)的身份驗(yàn)證，以及高精細(xì)度身份驗(yàn)證政策等功能。

Google這個(gè)零信任解決方案，在用戶(hù)的服務(wù)間實(shí)例mTLS和TLS，包括憑證生命周期管理，且網(wǎng)格內(nèi)的通信也會(huì)經(jīng)過(guò)身份驗(yàn)證和加密，用戶(hù)也能激活基于身份的驗(yàn)證，以及基于請(qǐng)求方法等其他參數(shù)的驗(yàn)證，Google解釋?zhuān)@些驗(yàn)證方法都是創(chuàng)建在基于角色的訪(fǎng)問(wèn)控制（RBAC）之上，讓用戶(hù)可以采取最低權(quán)限的設(shè)置，只有在經(jīng)過(guò)授權(quán)的服務(wù)，才能根據(jù)規(guī)則允許或是拒絕相互通信。

無(wú)論用戶(hù)是在服務(wù)網(wǎng)格中使用Envoy，抑或是無(wú)代理gRPC，該零信任解決方案都支持mTLS，不過(guò)無(wú)代理gRPC的授權(quán)支持，將會(huì)在今年稍晚時(shí)發(fā)布。