在AWS的視角下，正確打開零信任安全模型

上海華訊網絡系統(tǒng)有限公司作為大中華區(qū)首家AWS安全能力（AWS Security Competency）認證合作伙伴，我們在本次亞馬遜re:Invent上格外關注安全主題，其中“AWS視角下的零信任”，這個分享是頗為引起共鳴的一個。在實際的安全咨詢和公有云項目中，我們不斷地思考如何構建適合于公有云的安全模型，如何組合、平衡紛繁復雜的安全產品和服務，以合理的成本為我們在云中的數(shù)字資產提供較為全面完整的安全保護。

目前，較為流行的安全模型或理念是零信任安全模型。零信任安全模型不是單一地以網絡相關的控制為基礎，既“雖然訪問來自可信的網絡域，但仍不信任訪問者的身份或所使用的設備，需要滿足更多的安全防護機制”，其核心在于全面分析和適度完整。當前安全領域的產品與解決方案普遍都是基于零信任安全模型發(fā)展演進的。無論數(shù)字化工作空間、無邊界網絡，還是下一代防火墻，其本質都是在網絡中心安全模型（既基于物理或邏輯的位置尋址進行安全控制的模型）的基礎上，增加對人和設備的識別和控制，構建以身份為中心的安全模型。

為什么零信任安全模型對于公有云環(huán)境如此重要？參看下圖可看出，公有云環(huán)境所面臨的安全風險結構與傳統(tǒng)數(shù)據(jù)中心有較大不同。

好在AWS提供了從方法到工具一整套安全體系以幫助用戶應對這些安全風險。AWS安全專家Quint在亞馬遜re:Invent的分享中指出，AWS是傾向于將網絡中心安全模型與身份中心安全模型合二為一的。用通俗的話說，就是既關心從哪里來到哪里去，也關心是誰，用什么方式。在過去，由于軟硬件及網絡的邊界的存在，網絡中心安全模型和身份中心安全模型往往是割裂的，通常由不同的安全產品和解決方案防護，甚至是由不同的團隊負責，這給實現(xiàn)零信任安全模型帶來了很大挑戰(zhàn)。云計算技術將軟硬件打包抽象為服務，使這種安全模型的融合成為可能。

云原生和應用架構現(xiàn)代化等新發(fā)展趨勢給安全架構的全面完整提出了更高的要求，需要考慮的層面更多。亞馬遜re:Invent在分享中以Endpoint為例，向我們展示了AWS如何通過創(chuàng)新式的設計，來應對這種挑戰(zhàn)，幫助用戶構建零信任安全模型。

一個典型的服務就是終端節(jié)點（Endpoint）。在示例中，附加到Endpoint的Policy定義了兩個Condition。其中，aws:SourceVpce指定了訪問服務的Endpoint來源，aws:PrincipalARN指定了可訪問服務的IAM Role，即網絡中心安全模型和身份中心安全模型同時出現(xiàn)在終端節(jié)點策略中。對于傳統(tǒng)網絡工程師來說，Endpoint是一個全新的網絡概念。Amazon VPC終端節(jié)點有三種類型，分別是接口終端節(jié)點（Interface Endpoint）、網關終端節(jié)點（Gateway Endpoint）和網關負載均衡終端節(jié)點（Gateway Load Balancer Endpoint）。

事實上，Endpoint大致可以看作將網絡接口、網關、負載均衡和應用防火墻四類傳統(tǒng)網絡組件融合抽象成的網絡云服務，這種功能上的整合無疑大幅降低了網絡的復雜度和構建成本，幫助用戶更容易地實現(xiàn)零信任安全模型。更重要的是，終端節(jié)點策略的邏輯和編寫方式，與基于身份的策略（Identity-based policy）、基于資源的策略（resource-based policy），以及Organization的服務控制策略（Service Control Policy，SCP）是高度一致的，從而在整個AWS環(huán)境形成了一套多層次的安全策略體系。

除了亞馬遜re:Invent分享中提到的例子，Amazon Elastic Kubernetes Service(Amazon EKS)也是一個很好實現(xiàn)身份中心安全模型的服務。在容器架構下，我們可以通過IAM roles for service account或Pod execution role、Service-Linked role、Cluster IAM role以及Node IAM role將AWS身份中心的安全模型擴展到容器環(huán)境中，實現(xiàn)容器的管理平面和計算平面到其他云服務和資源的零信任控制。

零信任安全模型其實并不局限于身份維度。在實際項目中，我們其實可以通過Policy condition key將其他維度增加到安全模型中。例如，aws:CurrentTime和aws:EpochTime可以在時間維度增加控制，aws:UserAgent可以在客戶端維度增加控制。另外，web identity federation和SAML-based AWS STS federation可以將身份中心安全模型擴展到IAM身份以外，增加更多可控維度，如根據(jù)用戶的部門或職級進行控制等。

Quint舉的另一個例子是Amazon WorkSpaces的應用。虛擬桌面是構建新型安全邊界的另一種手段，其本質是將高度可控的訪問終端設備限定在AWS環(huán)境范圍內，為應用訪問增加了身份和其他安全控制維度，適合于一些應用類型復雜，不易實現(xiàn)零信任安全模型的場景。除了Amazon WorkSpaces，像AWS System Manager和Amazon Cognito這樣的服務，也都可以幫助用戶將AWS的身份中心安全模型擴展到非AWS的系統(tǒng)和應用中。

零信任安全模型的建立，主要是通過多維度安全策略進行實現(xiàn)，而以AWS為代表的公有云服務，已經在一定程度上實現(xiàn)了對多維度安全策略的支持，是一個“相對完美的解決方案”。但這并不是一個開箱即用的過程，需要從架構角度進行精細化的分析。通常來說，可以將云服務進一步抽象為平臺服務和承載服務兩類。對于承載服務，又通常劃分為管理平面（如Amazon EKS中用戶不可見的管理節(jié)點、Amazon EMR中用戶可見的Master節(jié)點）、計算平面（如Amazon EKS中的Node Group）和數(shù)據(jù)平面（如Amazon Elastic Block Store(Amazon EBS)、Amazon Simple Storage Service(Amazon S3)、Amazon RDS）三部分。

對于不同的服務和組成部分，往往需要使用不同的手段來進行網絡、身份和其他維度的控制。對于身份，往往又區(qū)分為平臺用戶、系統(tǒng)及環(huán)境用戶、終端應用用戶、設備及服務等幾類身份。零信任安全模型需要對這些不同架構邊界之間的訪問關系進行詳細的分析，將安全融入到架構中，這也是AWS強調的Security By Design的意義所在。

限于篇幅，這里無法進行更多的舉例展開和代碼分析，但更重要的是，零信任安全模型是一個思考框架而不是一個技術或方法。希望通過本文的拆解舉例，能夠幫助您更好地理解AWS云服務的設計理念和運作邏輯，設計出更符合自己需求的零信任安全模型。

最后，我們總結了在構建公有云零信任安全模型實踐中的一些經驗與建議，供大家參考：

1、將身份和設備管理納入云架構中統(tǒng)一考慮，充分利用AWS IAM的Federation特性，以及云服務對IAM Role的支持，考慮設備安全和管理解決方案。

2、設定權限邊界和使用IAM訪問分析，以及借助AWS Marketplace中的Cloud Workload Protection（CWP）等第三方安全產品，幫助構建身份中心安全體系。

3、從架構角度，而不是根據(jù)經驗和單一方案來進行安全設計，尤其是從未使用過的云服務。安全產品的功能往往存在交疊的情況，只有從架構角度而不是產品角度進行考慮才能做到合理取舍。

4、除了架構層面的維度，還要從云資源的生命周期角度考慮安全。也就是說，除了運行外，構建、交付和銷毀的過程也需要考慮安全。

5、在混合云環(huán)境中，可以考慮使用統(tǒng)一的安全解決方案構建零信任安全模型，但要注意第三方方案無法覆蓋的盲點。

6、除了防護體系，以下安全支撐體系也需要著重考慮：安全信息管理（包括收集、存儲、查詢、可視化、分析支持、智能分析等）、DevSecOps、安全自動化運維。

7、風險識別與評估體系，平衡安全成本與風險，通常使用公有云原生的安全特性與安全服務可以幫助用戶簡化安全架構和降低安全成本。