零信任是什么、不是什么

零信任作為一種安全管理哲學(xué)，近年來漸漸有了一統(tǒng)江山之勢，包括“產(chǎn)學(xué)研用管”在內(nèi)的整個安全業(yè)界基本上在零信任這個問題上達成了共識，不信大家可以看看等級保護2.0的原文，你就會發(fā)現(xiàn)，那里處處體現(xiàn)著零信任思想的光芒。

關(guān)于零信任究竟是什么，網(wǎng)上的資料已經(jīng)很多了，在這里我就不再照搬照抄了。不過我們也注意到，“零信任”這個詞除了是一個技術(shù)詞匯之外也是一個市場詞匯，被各個安全公司從自己的視角各自解讀，在這個過程中不可避免地會夾帶一些私貨，從而造成一些混亂和誤解，所以我們今天來談?wù)劻阈湃尾皇鞘裁?，也許對于幫助大家更好地理解零信任會起到一些積極的作用。

首先，零信任是一個方法論，它定義了一種安全管理的新的視角。它不是一個產(chǎn)品或者說一個技術(shù)。也就是說您買不到一個叫零信任的產(chǎn)品，您只能買到幫您實現(xiàn)零信任的某種要求的產(chǎn)品。

其次，零信任是一個過程，或者說是一個方向。它不是一個靜態(tài)的標(biāo)準(zhǔn)，或者說狀態(tài)。也就是說，你不能說我們今天來做一個零信任的項目，做過之后我們就擁有了零信任，沒有這種事情。你只能說通過一期項目，我們在一定的范圍內(nèi)，在一定的水平上，實現(xiàn)了零信任的某些能力。比如說，我們可以說我們能夠在網(wǎng)絡(luò)層面實現(xiàn)數(shù)據(jù)中心流量的全面可視和可控，但是網(wǎng)絡(luò)層之上還有應(yīng)用層，你看到了網(wǎng)絡(luò)層面的主體和通信關(guān)系，但是你還沒有理解應(yīng)用層面的服務(wù)主體和應(yīng)用訪問關(guān)系。而在應(yīng)用層之上還有更深層次的業(yè)務(wù)層面的分析與控制問題。所以說，零信任的建設(shè)應(yīng)該是一個持續(xù)的，逐漸深入，逐漸優(yōu)化的過程，也是一個在安全與業(yè)務(wù)之間的一個平衡的過程。

第三，零信任是個廣泛適用的方法論，也就是說它可以應(yīng)用于整個計算架構(gòu)的各個方面，在每一個細(xì)分的環(huán)境，每一個具體維度上都可以利用零信任的方式來做管理，而不是說零信任只能像Google那樣將之應(yīng)用于辦公網(wǎng)，面向員工的身份進行管理。我們可以看一下Forrester的這張圖：

大家可以看到，零信任可以作用于人，設(shè)備，網(wǎng)絡(luò)，工作負(fù)載等所有有數(shù)據(jù)流動的主體上。事實上，相較于辦公網(wǎng)而言，數(shù)據(jù)中心是更容易實現(xiàn)零信任的場景，也是有著更多核心業(yè)務(wù)和關(guān)鍵數(shù)據(jù)的地方，因此可以成為我們開展零信任建設(shè)的起點。

微隔離在零信任網(wǎng)絡(luò)中的地位和價值

現(xiàn)在我們說下微隔離技術(shù)。前面我們談到，相較于辦公網(wǎng)而言，數(shù)據(jù)中心網(wǎng)絡(luò)更適合成為零信任建設(shè)的起點。那么對于數(shù)據(jù)中心網(wǎng)絡(luò)而言，具體的產(chǎn)品技術(shù)是什么呢?這個在業(yè)界是有共識的，有兩個技術(shù)是當(dāng)下能夠落地的，一個是SDP，一個就是微隔離。事實上微隔離技術(shù)是最早的一種對零信任這個概念的具體技術(shù)實現(xiàn)。我們看下Forrester2019年Q4的報告：

報告中的這段開場白大概是這么個意思：零信任是個挺費勁的事情，甲方自己上是沒戲的，你得找到能幫你干這個事的供應(yīng)商。那如何來評估每天圍在你門口的那么多乙方呢?有這么幾個標(biāo)準(zhǔn)：首先就是要態(tài)度端正，你必須讓他指天發(fā)誓，他們相信零信任這件事情就是人民群眾大救星，只有零信任才能拯救網(wǎng)絡(luò)安全。而且他們必須得有真本事，他們的產(chǎn)品確實能在零信任架構(gòu)中有一個獨特的價值，而不是來碰瓷的(deliver real Zero Trust capabilities)，看來掛羊頭賣狗肉這事兒也不光是咱國內(nèi)的特色。除了態(tài)度端正之外，首條具體的安全能力要求就是支持微隔離! 下面的那些個要求就不在本文討論了，就是讓您感覺一下微隔離在零信任技術(shù)體系中的地位是什么。

我們再看下同樣在這篇報告里的這個圖：

這是Forrester觀察到的市場上的有效供應(yīng)商。越靠右邊的戰(zhàn)略越先進，越靠上邊的技術(shù)越好。從這張圖可以明顯的看到，就當(dāng)下而言，技術(shù)較好的是illumio，那么illumio是做啥的呢?業(yè)內(nèi)人士都知道，他就是做微隔離的，全球十三只安全獨角獸之一，微隔離市場的扛把子。

通過對Forrester報告的分析，大家不難理解微隔離之于零信任的價值。那么從理論上分析，為啥微隔離這么重要呢。因為微隔離要實現(xiàn)的核心能力就是兩條，數(shù)據(jù)中心內(nèi)工作負(fù)載之間的流量可視以及訪問控制。大家可以回頭再看看前面那張圖，零信任能力究竟是個啥能力?本質(zhì)上就是倆能力，一個是看得盡量多，一個是管得盡量細(xì)。而恰恰這就是微隔離主要在做的事情。領(lǐng)先的微隔離產(chǎn)品，能夠做在十萬點級別的數(shù)據(jù)中心內(nèi)做到容器間流量的識別與訪問控制，甚至能做到基于進程的訪問控制，這個細(xì)粒度正是零信任所要求的。

微隔離技術(shù)的當(dāng)下和遠方

作為微隔離技術(shù)在國內(nèi)的積極倡導(dǎo)者，也是只做微隔離這一件事的廠商，薔薇靈動做了很多的微隔離項目，服務(wù)的客戶包括三桶油，五大行，三大運營商，平安、京東等等云計算領(lǐng)域的頭部企業(yè)。在這個過程中，一方面我們見證了微隔離技術(shù)是如何幫助用戶將一個個高度復(fù)雜的虛擬化網(wǎng)絡(luò)看清楚、管明白的。另一個方面，我們也深刻地認(rèn)識到，微隔離這項技術(shù)所面臨的挑戰(zhàn)仍然非常的巨大。具體而言，我可以用“多快好省”這四個字來做個概括：

1. 多: 跟得上用戶計算密度膨脹的腳步

計算密度膨脹這件事情，給我們留下的印象非常深刻。我們的一個客戶剛開始試用我們的產(chǎn)品的時候，他們的體量在四五千點這樣一個級別，而今年他們的計劃是，擴容到2萬點。另一個客戶更夸張，在購買我們產(chǎn)品的時候，他們的規(guī)模大概是十萬點，但是今年我們在產(chǎn)品上線的時候，他們告訴我們說，他們剛剛做了戰(zhàn)略決策，全面容器化，目前毛估體量在100萬點左右!

而微隔離這件事情，要回答的是點和點之間的關(guān)系問題。從算法復(fù)雜度的角度講，他與所管理的點數(shù)之間是個n的平方的關(guān)系。再考慮到，點和點之間的通信是一個時刻都在發(fā)生的事情，而微隔離需要記錄并分析每一次訪問，然后再隨著時間的累積，這個數(shù)量級就接近了n的3次方了。這意味著什么呢，如果管理規(guī)模擴大一倍，那么對算力的要求會擴大8倍。所以對于大規(guī)模網(wǎng)絡(luò)的支撐是微隔離最重要的一個技術(shù)難點。大家這里一定要注意一個區(qū)別，不是說你能夠部署安裝多少點，而是說你能不能把這些點之間的關(guān)系完整、準(zhǔn)確、實時地分析出來。目前我們可以實現(xiàn)用三臺云主機作為算力，來支撐萬點級別的場景，但是根據(jù)Illumio的公開資料，他們要支持一萬五千點的時候，就需要6臺專用的高主頻物理服務(wù)器了，大家可以想象百尺竿頭更進一步會有多難。而這個能力，相較于我們用戶計算體量的膨脹速度而言還是不夠。

所以我這里可以給大家一個判斷標(biāo)準(zhǔn)，在過去評估防火墻的最主要指標(biāo)是吞吐量，包括延遲，每秒新建，并發(fā)等等指標(biāo)。而微隔離技術(shù)的核心指標(biāo)就在于它能夠管理的工作負(fù)載的規(guī)模。

2. 快：跟得上微服務(wù)架構(gòu)飄渺的跑位

正如您看到的，容器在計算密度膨脹這個過程中扮演了非常重要的角色。一個方面，K8S的成熟和便捷，以及對于DEVOPS理念的良好支撐，使得越來越的客戶在快速的擁抱容器。但是，從另一個方面，這也對各種運維技術(shù)提出了很嚴(yán)峻的挑戰(zhàn)。就微隔離技術(shù)而言，一個非常大的挑戰(zhàn)是策略計算速度問題。

微隔離是一種典型的軟件定義安全結(jié)構(gòu)。它的策略是由一個統(tǒng)一的計算平臺來計算的，而且需要根據(jù)虛擬化環(huán)境的變化，做實時的自適應(yīng)策略重算。問題就在這個地方，對于私有云環(huán)境而言，一個虛機的生命周期很長，從幾周到幾個月乃至幾年都有可能，這個時候?qū)τ诓呗缘挠嬎闼俣绕鋵崨]有特別高的要求。但是在K8S的環(huán)境下，情況發(fā)生了巨大的變化。由于容器的創(chuàng)建和銷毀非常方便，使得容器的生命周期往往非常短，甚至只有幾分鐘。這就對策略計算的速度提出了很嚴(yán)格的要求，再加上往往容器環(huán)境的體量都非常巨大，就讓這個策略計算的難度更高了。這種酸爽的感覺怎么形容呢，大概就是這么個意思:

給你一麻袋沙子，然后問你每一粒沙子叫啥名?他們之間什么關(guān)系?

矮油，沒想到你居然知道。

好吧，現(xiàn)在把袋子在地上摔個五六遍。

然后問你，他們都叫啥名?他們之間什么關(guān)系?

你有5秒鐘的時間，5，4，3…

3. 好：企業(yè)級產(chǎn)品必須具備企業(yè)級特性

企業(yè)級產(chǎn)品的功能特性，符合冰山模型。我們能夠看得見摸得著的功能大概只占整個產(chǎn)品功能的10%，90%的功能都是水面之下的非功能特性，或者我們稱之為企業(yè)級特性。

談到這，我們扯個閑篇，說說80/20這個事。這確實是個神奇的法則，在各個領(lǐng)域似乎都有用。從產(chǎn)品研發(fā)的角度看，我們大概只需要用別人20%的工作量，就能實現(xiàn)人家產(chǎn)品80%的功能，事實上這是我們國內(nèi)過去很長時間大家指導(dǎo)產(chǎn)品研發(fā)的原則，先解決有無問題嘛，最重要的就是快，要啥自行車呀，又不是不能過…。但是企業(yè)級產(chǎn)品的本質(zhì)要求恰恰相反，我們必須要投入絕大部分的工作量去解決那剩下的20%，因為就是這20%才是決定一個產(chǎn)品能否真正被部署在核心業(yè)務(wù)系統(tǒng)的關(guān)鍵。

更嚴(yán)峻的挑戰(zhàn)是，很多時候你并不知道你缺失的企業(yè)級特性是什么，直到你在客戶現(xiàn)場遇到他!比如說我們在實驗室里能夠模擬出幾百點的真實環(huán)境，也可以通過流量發(fā)生器構(gòu)造出萬點級別的虛假環(huán)境。但是無論如何你造不出一個萬點級別的真實生產(chǎn)環(huán)境，就好像你沒辦法在你的實驗室里真實再現(xiàn)出淘寶的全部交易一樣，哪怕只是一秒鐘的交易。所以有很多在大壓力下才會出現(xiàn)的問題，就會被隱藏起來，一直到你的產(chǎn)品在真實的場景上線。這就好像你的頭上一直懸著一把達摩克里斯之劍，讓人始終有一種如坐針氈如履薄冰的感覺。

所以呢，一個方面我們始終投入很大的精力在這個方面，盡全力去提升我們的企業(yè)級特性。另一個方面呢，大家在評估微隔離產(chǎn)品的時候，一定要關(guān)注他們是否有大規(guī)模場景的交付經(jīng)驗和大規(guī)模的現(xiàn)網(wǎng)穩(wěn)定運轉(zhuǎn)的案例，要評估他們是否真的能夠支撐你的云計算發(fā)展戰(zhàn)略。

4. 省：在產(chǎn)品發(fā)展的過程中保持克制

這一條，既是我們要分享給大家的一個產(chǎn)品設(shè)計的指導(dǎo)原則，也算是對我們自己的一個警醒吧。

首先我們要提出一個方法論，那就是“產(chǎn)品研發(fā)的不可能三角“，這個方法論是應(yīng)該我們獨家提出的(當(dāng)然，本文里的方法論基本都是我們獨家提出的)。什么是不可能三角呢：就是在產(chǎn)品功能的豐富性，產(chǎn)品功能的專業(yè)性，以及計算開銷這三者之間，你最多只能選擇兩者。

比如說，你可以選擇產(chǎn)品功能很豐富，計算開銷也比較低，那么你的每一項功能的實現(xiàn)水平勢必比較初級。比如面向中小客戶市場的產(chǎn)品，往往選擇這種產(chǎn)品戰(zhàn)略。

或者，你也可以選擇產(chǎn)品功能很豐富，而且每一項功能的實現(xiàn)水平也很高，那么你勢必需要很多的計算資源。比如我們過去的邊界型安全產(chǎn)品，一個數(shù)據(jù)中心，只需要兩臺，每臺設(shè)備都是4U，兩臺就能裝滿一個機柜。

對于微隔離而言，一個最主要的限制就是計算開銷問題。由于微隔離需要對整個數(shù)據(jù)中心內(nèi)部做點到點的訪問控制，所以他的控制點的分布應(yīng)該是盡可能的廣。正如我們前面說的，我們能做到每一個容器都有一個控制點。但是部署量如此的巨大，就要求你單個控制點的計算開銷必須盡量的小。舉個例子吧，現(xiàn)代一個云計算數(shù)據(jù)中心的造價，少則兩三個億，多則十幾個億。我們就說兩個億吧，那么如果單控制點計算開銷增長1%，就意味著這個數(shù)據(jù)中心要多拿出價值200萬的計算資源!

所以，根據(jù)不可能三角，我們就必須在功能豐富性與功能的完善性之間做個二選一的選擇，再結(jié)合我們前面對微隔離所面臨的技術(shù)挑戰(zhàn)的描述，那么其實我們能選擇的路就只有一條，那就是選擇少而精，而不是多而粗。

道理是明顯的，但是要做得到，真還挺考驗人性的。作為一家高科技創(chuàng)業(yè)企業(yè)，無論是從客戶的要求來說，還是從我們對新技術(shù)的偏好來說，我們都有極大的沖動去做更多的安全能力。但這個時候，我們就必須始終牢記我們的產(chǎn)品邊界，始終牢記，我們是要在超大規(guī)模生產(chǎn)環(huán)境交付的企業(yè)級產(chǎn)品!然后就只能看著一個個熱點生生滅滅，看著在不同的風(fēng)口中，一只只小金豬飛翔天際，看著一只只獨角獸從我們面前飛奔而過，而我們只能撣撣飛揚的塵土，回去再做下一輪的版本迭代。