|
【新科技讯】近日,戴尔全球首席技术官John Roese表示,要真正实现国防部对零信任的所有要求,私有云方法必不可少。“要做到零信任,你必须能够看到每个元素,并能够证明它实际上是值得信赖的,坦率地说,要在公有云中做到这一点,你有一个非常难以解决的问题。”John Roese说到。
问:关于如何更多地参与到帮助客户解决网络安全问题中,戴尔得出了哪些结论? 答:我们需要架构上的转变。架构转变就摆在我们面前——称之为零信任。遗憾的是,零信任被过度营销和混淆了。零信任本质上需要进行三个转变。首先,是转向强制且普遍的身份验证。在零信任环境中,你不能有未知的实体,无论是设备、人、应用还是数据。第二,你需要改变你的策略范式,从防止事情发生转变为确保已知良好行为的发生。这一点很难做到,但却是很必要的。第三,由于以上两点,你需要能够实时且有效地通过将威胁检测深度嵌入系统内部来检测出异常,而不是大海捞针。这听起来很简单,只是从来没有人能够做到其中之一。我们发现,几乎没有证据表明,任何人曾经成功地大规模地提供了零信任环境。据我们所知,这种环境并不存在,直到我们偶然发现美国国防部和美国政府多年来一直在做的工作,他们构建了一个参考架构。这只是给了我们一种安慰,即有“生命的证据”。现在,这成了一个特定的参考架构,军方和政府希望对其进行定义。然而,我们感到非常欣慰的是,这项工作至少证明了你可以构建一个零信任数据中心,你可以构建一个零信任的私有云基础。这并不意味着你可以让公有云成为零信任的。这并不意味着你解决了边缘问题。这并不意味着这对所有人都奏效。但是,一旦我们了解了这一点,我们认为就应该大声说出来。 问:你采用了什么方法帮助客户实现零信任? 答:坦率地说,我们帮助解决问题的方法只是减轻这种集成上的负担——试图让这些东西成为可消费使用的。我们不要再觉得零信任是无法实现的。我觉得是这样的。那么问题就变成了,好吧,这在现实世界的背景下意味着什么?这让我们开始了现在这场关于“绿地/棕地”的讨论,即到底是在全新环境中从零开发软件,还是在遗留系统之上开发和部署新的软件系统?世界上没有完全“绿地”的企业。他们都是“棕地”IT。他们已经构建好了自己的系统。他们的安全架构集合了1000多个工具,这些工具被随机放置以应对各种问题。这是过去二十年来IT的标准操作程序。正因为如此,即使你说,“我想做这个叫做零信任的新东西”,你也是在对一个活跃的基础设施、一个活跃的IT环境做这件事,这个环境中部署了大量的技术——实际上这可能与零信任是背道而驰的。但这就是现实——你不能立即把你的应用转移到公有云中,这就是行不通。你必须了解如何迁移应用,或者是否要迁移应用。“棕地”这个词描述了企业的现实情况。总的来说,企业就是一个棕地环境,是以前为运营业务而制定的技术决策和各种功能的积累。如果你是从头开始构建某些东西,这种新的[零信任]方法将非常容易实现。但现实情况是,大多数情况下,没有什么是完全从零开始构建的。 问:为什么你认为这需要通过私有云/数据中心方法来实现? 答:如今,你很难在公有云中做到这一点。但最重要的是,如果你有容量池,其中一些——可能有10%的容量被实例化为一个旨在实现零信任的绿地环境——并且你拥有适当的技能来进行应用迁移,而且控制平面都是相同的,你也有必要的工具来降低企业风险。同样地,缺失了一个环节是,你如何构建零信任的私有环境?这就是我们正在建设的东西,这就是我们有信心可以为客户可以实现的东西。 公有云在零信任方面存在问题,因为在共享的公有云环境中——一个拥有数十万客户的大型公有云——他们的整个业务就是对基础设施抽象化。他们不想让你知道下面是什么,因为那是他们的地盘,他们可以是非常灵活的。更重要的是,如果他们给了一位客户访问权限并说,“你可以进来审核,你可以一直看到组件级别”——而这个组件不只是被你使用。被其他人使用的时候,其他人必须给你许可,因为如果有人允许另一个我甚至都不认识的人看到我在云环境中使用的硬件,我会很生气。这是个悖论,要实现零信任,你必须能够看到每个组件并能够证明这些组件实际上是值得信赖的——坦率地说,在公有云中你有一个非常困难的问题需要解决。事实上,现在很多公有云都开始构建私有实例,试图建立零信任,这实际上看起来更像是一个私有的、专用的环境,其中整个堆栈专用于一个客户,这样他们就可以证明和保证所有这些组件就是零信任的。 问:你所做的和普通的数据中心有哪些不同? |
