雲伺服器零信任網路

❶ 想了解有什麼方式可以實現雲環境應用的零信任安全

密信零信任安全解決方案基於PKI技術，依託已經建設的密信雲密碼基礎設施和已經提供的密信雲密碼服務，為用戶提供可靠的零信任安全，不僅解決信任問題，最重要的是解決所有安全方案的目的地—數據安全問題，用數字簽名和加密來保護數據安全。如下圖所示，密信零信任安全解決方案主要有三個部分組成：統一身份認證系統、安全策略執行系統和密碼服務系統，而密碼服務系統主要由CA證書系統、密鑰管理(KM)系統、時間戳系統和數據加密服務系統(包括數字簽名服務)組成。

無論是人和物(包括終端設備、網路設備、伺服器、物體、工業設備、車輛等等)，每個個體都必須有兩張數字證書(簽名證書和加密證書)，由CA系統和KM系統共同為個體簽發數字證書，用於證明自己的數字身份和用於數據加密。這個是密信零信任安全解決方案的核心，也是目前同其他零信任安全方案不同之處，我們的方案是每個個體都要通過實名認證而獲得可信數字身份，而不是匿名方式的不可信身份，使得後面的身份認證系統和安全策略執行系統變得很簡單了，也使得信任管理更簡單。

每個個體都有數字身份，可根據業務需要把人和物分成不同級別的身份而簽發不同認證級別的簽名證書，這同現實世界的不同的應用場景使用不同的證件一樣。

人或物如果需要訪問數據資源，則需要出示相應的簽名證書來證明自己的身份，身份認證系統通過驗證用戶的數字簽名而識別其身份是否可信，如果不可信，則直接通不過。如果可信，則由安全策略執行系統來判斷用戶是否能訪問所請求的資源。組織必須根據業務需要制定不同的安全策略，如不同身份認證級別的用戶可以訪問不同的數據資源，制定好安全策略後，就可以由安全策略執行系統來控制用戶能訪問哪些資源了。當然，前提是用戶能通過可信身份認證。

第三個重要的系統是數據加密服務系統，許多零信任安全方案並沒有這塊，我們認為這塊非常重要，因為任何安全方案的最終目的是為了保護數據，零信任安全也是一樣。數據加密服務系統由數字簽名系統、加密系統和時間戳系統構成，為數據提供數字簽名服務來證明數據的所有者身份、數據的生產者身份，為數據提供加密服務，數據只有是密文才會讓數據失去被盜的價值，才會讓安全防護系統更簡單。還為數據提供時間戳服務，來證明數據生產時間，這對於需要事後審計和驗證的應用場景非常重要。

簡單來講，密信零信任安全解決方案是基於PKI技術的身份認證和數據加密解決方案，類似於現實世界的實名乘坐飛機旅行，通過實名認證乘機人和航空公司資質認定來確保飛機旅行安全。而目前市場上的零信任解決方案，需要復雜的動態持續信任評估和對訪問許可權的動態調整，這是由於非實名認證不知道誰是壞人，只能靠福爾摩斯式的不斷甄別，效率太低且容易判斷失誤。