Google正式推出全託管零信任(Zero-Trust)安全解決方案,該解決方案使用其開放服務網格流量管理服務Traffic Director、憑證頒發機構(Certificate Authority,CA)服務,以及Kubernetes服務GKE建構而成。

Google提到,企業在追求新的安全態勢(Security Posture),來改進應用程式安全性時,開始將零信任安全解決方案納入考慮。而零信任安全模型,指得是一種IT系統的設計和實作方法,預設不信任任何裝置,即便是連接著企業內網,或是之前經過認證的裝置都一樣,透過相互驗證(Mutual Authentication)確認雙方身份,並僅給使用者需要完成特定任務的權限,以強化資訊安全,進一步防止惡意程式在企業內部橫向移動。

因此零信任安全態勢有幾個基本模塊,包括分配和身份確認方法,像是使用X.509憑證,還有使用相互驗證mTLS與伺服器身份驗證TLS協定,同時系統還需要加密所有流量,並且進行身份檢查和最低權限配置。基礎設施要能支援上述的所有功能,並且易於管理且具可靠性。

Google則結合了Traffic Director和CA,來達成所有零信任安全態勢的要求。Traffic Director提供了易於使用的服務網格流量管理機制,該服務是一個全託管服務網格流量控制層,用戶可以使用Traffic Director在多個雲端地區,部署跨多個叢集和虛擬機器的全球負載平衡機制。而CA服務則是一個高可用度的私有CA,能夠頒發標示身份的私有憑證,並且提供完整憑證生命周期管理的mTLS憑證基礎設施。Traffic Director以及CA整合共同解決了憑證頒發,和CA輪替的複雜問題。

透過Traffic Director來管理服務到服務(Service-to-Service)安全性,用戶能夠獲得服務網格的端到端加密、服務層級的身份驗證,以及高精細度身份驗證政策等功能。

Google這個零信任解決方案,在用戶的服務間實作mTLS和TLS,包括憑證生命周期管理,且網格內的通訊也會經過身份驗證和加密,用戶也能啟用基於身份的驗證,以及基於請求方法等其他參數的驗證,Google解釋,這些驗證方法都是建立在基於角色的存取控制(RBAC)之上,讓用戶可以採取最低權限的設定,只有在經過授權的服務,才能根據規則允許或是拒絕相互通訊。

無論用戶是在服務網格中使用Envoy,抑或是無代理gRPC,該零信任解決方案都支援mTLS,不過無代理gRPC的授權支援,將會在今年稍晚時釋出。

熱門新聞

Advertisement