1.5 信任從哪里來

要考慮邊界安全模型之外的其他方案，必須對什么可信、什么不可信有深入認(rèn)識。信任等級決定了安全協(xié)議必須達(dá)到什么樣的保護(hù)強度，但安全協(xié)議的保護(hù)強度很少能夠達(dá)到要求，因此明智的做法是盡可能降低信任等級。一旦在系統(tǒng)中內(nèi)置信任，就很難將其消除。

顧名思義，零信任網(wǎng)絡(luò)是完全不可信的網(wǎng)絡(luò)，我們經(jīng)常與這樣的網(wǎng)絡(luò)打交道，它就是互聯(lián)網(wǎng)。在安全方面，互聯(lián)網(wǎng)給我們帶來了一些寶貴的經(jīng)驗和教訓(xùn)。顯然，對于面向互聯(lián)網(wǎng)的服務(wù)器，確保其安全的方式所帶來的困擾與僅供本地訪問的服務(wù)器有天壤之別，這是為什么？另外，如果能消除或只是減輕這樣的困擾，但需要以犧牲安全為代價，是否值得？

在零信任模型中，像對待面向互聯(lián)網(wǎng)的主機那樣對待所有的主機：假定它們所在的網(wǎng)絡(luò)已被攻陷，面臨危險。只有基于這樣的考慮，才能著手建立安全通信機制。大多數(shù)管理員搭建或維護(hù)過面向互聯(lián)網(wǎng)的系統(tǒng)，因此對如何保護(hù)IP通信，使其難以被攔截或篡改（當(dāng)然還有如何確保主機安全）有一定的認(rèn)識。自動化讓我們能夠在基礎(chǔ)設(shè)施中的所有系統(tǒng)中實現(xiàn)這種程度的安全。