Google推出全托管零信任安全解決方案

Google正式推出全托管零信任（Zero-Trust）安全解決方案，該解決方案使用其開放服務(wù)網(wǎng)格流量管理服務(wù)Traffic Director、憑證頒發(fā)機(jī)構(gòu)（Certificate Authority，CA）服務(wù)，以及Kubernetes服務(wù)GKE構(gòu)建而成。

Google提到，企業(yè)在追求新的安全態(tài)勢（Security Posture），來改進(jìn)應(yīng)用程序安全性時(shí)，開始將零信任安全解決方案納入考慮。而零信任安全模型，指得是一種IT系統(tǒng)的設(shè)計(jì)和實(shí)例方法，默認(rèn)不信任任何設(shè)備，即便是連接著企業(yè)內(nèi)網(wǎng)，或是之前經(jīng)過認(rèn)證的設(shè)備都一樣，通過相互驗(yàn)證（Mutual Authentication）確認(rèn)雙放身份，并僅給用戶需要完成特定任務(wù)的權(quán)限，以強(qiáng)化信息安全，進(jìn)一步防止惡意程序在企業(yè)內(nèi)部橫向移動。

因此零信任安全態(tài)勢有幾個(gè)基本模塊，包括分配和身份確認(rèn)方法，像是使用X.509憑證，還有使用相護(hù)驗(yàn)證mTLS與服務(wù)器身份驗(yàn)證TLS協(xié)議，同時(shí)系統(tǒng)還需要加密所有流量，并且進(jìn)行身份檢查和最低權(quán)限配置?；A(chǔ)設(shè)施要能支持上述的所有功能，并且易于管理且具可靠性。

Google則結(jié)合了Traffic Director和CA，來完成所有零信任安全態(tài)勢的要求。Traffic Director提供了易于使用的服務(wù)網(wǎng)格流量管理機(jī)制，該服務(wù)是一個(gè)全托管服務(wù)網(wǎng)格流量控制層，用戶可以使用Traffic Director在多個(gè)云計(jì)算地區(qū)，部署跨多個(gè)集群和虛擬機(jī)的全球負(fù)載均衡機(jī)制。而CA服務(wù)則是一個(gè)高可用度的私有CA，能夠頒發(fā)標(biāo)示身份的私有憑證，并且提供完整憑證生命周期管理的mTLS憑證基礎(chǔ)設(shè)施。Traffic Director以及CA集成共同解決了憑證頒發(fā)，和CA輪替的復(fù)雜問題。

通過Traffic Director來管理服務(wù)到服務(wù)（Service-to-Service）安全性，用戶能夠獲得服務(wù)網(wǎng)格的端到端加密、服務(wù)層級的身份驗(yàn)證，以及高精細(xì)度身份驗(yàn)證政策等功能。

Google這個(gè)零信任解決方案，在用戶的服務(wù)間實(shí)例mTLS和TLS，包括憑證生命周期管理，且網(wǎng)格內(nèi)的通信也會經(jīng)過身份驗(yàn)證和加密，用戶也能激活基于身份的驗(yàn)證，以及基于請求方法等其他參數(shù)的驗(yàn)證，Google解釋，這些驗(yàn)證方法都是創(chuàng)建在基于角色的訪問控制（RBAC）之上，讓用戶可以采取最低權(quán)限的設(shè)置，只有在經(jīng)過授權(quán)的服務(wù)，才能根據(jù)規(guī)則允許或是拒絕相互通信。

無論用戶是在服務(wù)網(wǎng)格中使用Envoy，抑或是無代理gRPC，該零信任解決方案都支持mTLS，不過無代理gRPC的授權(quán)支持，將會在今年稍晚時(shí)發(fā)布。