第2章 管理信任

信任管理可能是零信任網(wǎng)絡中最重要的組成部分。在某種程度上咱們都熟悉信任這個概念，例如，你會信任家人，但不會信任大街上的陌生人，更不會信任看起來很可怕的陌生人。為什么會這樣呢？

首先，你了解家人，知道他們長什么樣、住在哪里，甚至在你出生后就認識他們。他們的身份是確定的，因此在重要的事情上，你更信任家人，而不是其他人。

相反，你對陌生人一無所知。就算你知道他們的一些事情，也不知道他們住在哪里，也不知道他們過往的情況。即便他們看起來很友好，你也不會在重要的事情上信任他們。你可能會在去洗手間時讓陌生人幫忙照看行李，但絕對不會讓他們幫忙從ATM上取錢。

總之，你根據(jù)掌握的所有信息做出判斷，確定當前的情景或人在多大程度上值得信任。請人幫忙從ATM取錢需要很高的信任等級，而請人幫忙照看行李需要的信任等級低得多，當然不會低到零信任的程度。

你甚至不會絕對信任自己，但你完全能夠確信自己采取的行動確實是自己采取的。從這種意義上說，在零信任網(wǎng)絡中，信任總是源自管理員。“零信任網(wǎng)絡中的信任”這句話看似矛盾，但其含義是在沒有天然信任的情況下，必須從某個地方產(chǎn)生信任并對其精心管理，這一點非常重要。這里存在一個小問題，管理員并非在任何時候都有空來授予信任。另外，不能無限制地增加管理員。所幸對于這個問題，我們知道如何解決，那就是信任委托，如圖2-1所示。

信任委托很重要，因為借助于它，可搭建這樣的自動化系統(tǒng)：在幾乎沒有人工干預的情況下，能夠以安全而可信的方式增大運行規(guī)模。可信的管理員必須給系統(tǒng)賦予某種信任等級，讓它能夠代表管理員采取行動。這樣的一個例子是自動擴縮容。你想讓服務器根據(jù)需要自動開通，但你如何確定新開通的服務器是你的，而不是別的服務器呢？管理員必須將這種職責委派給開通系統(tǒng)，讓它能夠創(chuàng)建新服務器并授予信任。通過這樣做，管理員就能確定新服務器確實是自己的，因為服務器是通過開通系統(tǒng)創(chuàng)建的，而開通系統(tǒng)能夠證明管理員授予了它這樣做的權力。這個以管理員為起點的信任流通常被稱為信任鏈，而管理員被稱為信任錨。

圖2-1　管理員信任特定系統(tǒng)，該系統(tǒng)又信任另一個系統(tǒng)，從而形成信任鏈