Google推出全托管零信任安全解決方案

Google正式推出全托管零信任（Zero-Trust）安全解決方案，該解決方案使用其開放服務網(wǎng)格流量管理服務Traffic Director、憑證頒發(fā)機構（Certificate Authority，CA）服務，以及Kubernetes服務GKE構建而成。

Google提到，企業(yè)在追求新的安全態(tài)勢（Security Posture），來改進應用程序安全性時，開始將零信任安全解決方案納入考慮。而零信任安全模型，指得是一種IT系統(tǒng)的設計和實例方法，默認不信任任何設備，即便是連接著企業(yè)內網(wǎng)，或是之前經過認證的設備都一樣，通過相互驗證（Mutual Authentication）確認雙放身份，并僅給用戶需要完成特定任務的權限，以強化信息安全，進一步防止惡意程序在企業(yè)內部橫向移動。

因此零信任安全態(tài)勢有幾個基本模塊，包括分配和身份確認方法，像是使用X.509憑證，還有使用相護驗證mTLS與服務器身份驗證TLS協(xié)議，同時系統(tǒng)還需要加密所有流量，并且進行身份檢查和最低權限配置。基礎設施要能支持上述的所有功能，并且易于管理且具可靠性。

Google則結合了Traffic Director和CA，來完成所有零信任安全態(tài)勢的要求。Traffic Director提供了易于使用的服務網(wǎng)格流量管理機制，該服務是一個全托管服務網(wǎng)格流量控制層，用戶可以使用Traffic Director在多個云計算地區(qū)，部署跨多個集群和虛擬機的全球負載均衡機制。而CA服務則是一個高可用度的私有CA，能夠頒發(fā)標示身份的私有憑證，并且提供完整憑證生命周期管理的mTLS憑證基礎設施。Traffic Director以及CA集成共同解決了憑證頒發(fā)，和CA輪替的復雜問題。

通過Traffic Director來管理服務到服務（Service-to-Service）安全性，用戶能夠獲得服務網(wǎng)格的端到端加密、服務層級的身份驗證，以及高精細度身份驗證政策等功能。

Google這個零信任解決方案，在用戶的服務間實例mTLS和TLS，包括憑證生命周期管理，且網(wǎng)格內的通信也會經過身份驗證和加密，用戶也能激活基于身份的驗證，以及基于請求方法等其他參數(shù)的驗證，Google解釋，這些驗證方法都是創(chuàng)建在基于角色的訪問控制（RBAC）之上，讓用戶可以采取最低權限的設置，只有在經過授權的服務，才能根據(jù)規(guī)則允許或是拒絕相互通信。

無論用戶是在服務網(wǎng)格中使用Envoy，抑或是無代理gRPC，該零信任解決方案都支持mTLS，不過無代理gRPC的授權支持，將會在今年稍晚時發(fā)布。