云计算厂商的零信任安全清单

　　通过集中安全设备可以实现零信任安全（一种非主观环境下的无用户、界面或者应用的安全模型）流量流的物理实现。但由于单一设备必须过滤所有流量，所以零信任安全策略扩展很难实现。然而，在工作负载和完了都是虚拟的或者基于云的情况下，环境可以扩展。

　　在数据中心中，微分割是基于超极管理器网络覆盖的副产品，可以用零信任安全来扩展。前Netflix云架构师Adrian Cockcroft在播客中介绍，使用云服务，微分割通常是与生俱来的。现在他是巴特利风投的技术人员。下面我们就在各种虚拟化和云平台中来看看微分割以及零信任安全策略。

　　VMware NSX

　　VMware的网络虚拟化平台NSX过滤任何在超级管理器中来往的流量。这个功能适合创建零信任安全。VMware使用NSX分布式防火墙的可扩展性，在独立的主机之上的虚拟机之间创建了零信任安全。这个安全策略也可以在同一逻辑的Layer 2广播网络上的主机之间创建。

　　VMware的方法抽象了物理的零信任安全，同时使用分布式的基于超级管理器属性的网络覆盖。管理员可以在一个集中的关系系统中创建规则，而且强制跨分布式防火墙设备。最终实现集中管理的解决方案，每个超级管理程序可以扩展到两位数的Gpbs。

　　亚马逊Web服务

　　在云平台中，客户和第三方产品不能直接访问底层的超级管理程序。这意味着客户必须依靠服务才能实现，通过云API实现零信任安全。

　　在亚马逊Web服务（AWS）的情境中，理解公有云和内部网络之间的连接非常重要。有三种方式可以访问运行在AWS中的实例：公有互联网、基于IPsec的亚马逊虚拟私有云（VPC）以及AWS Direct Connect（亚马逊设备中的专用Layer 3回路）。所有的连接选择都需要客户端的IP终止，通过防火墙实现。亚马逊不允许客户的Layer 2流量在Direct Connect或者VPC之上延续。

　　基于AWS的连接设计，在AWS托管实例和本地结点之间存在一种天然的零信任。问题随后就变成在AWS内部，实例到实例的流量发生了什么？

　　AWS使用安全群组控制实例的网络访问。安全群组可以定义得很宽泛或者很窄。一个实例可以有一个或者数个安全群组应用。同时焦点在于IP流量，了解VPC网络不支持广播或者多路广播流量很重要。因此，无需为非IP流量过滤。

　　开发者可以使用AWS管理控制台或者AWS API创建或者分配规则。他们也可以在入站和出站流量上应用规则。默认情况下，所有的出站流量允许，同时入站流量禁止。这种颗粒的功能导致很难排查故障连接，因为的单一的实例属于多个安全群组。此外，分离的安全群组同时为Windows和Linux存在，会导致不一致或者重复的安全策略。然而，这是任何零信任安全产品适用的情况。

　　谷歌计算引擎

　　谷歌计算引擎网络类似于传统网络。每一个实例被分配到一个默认网络，允许相同网中的实例到实例的流量。谷歌提供了一个逻辑防火墙，封锁网络之间的流量。为了实现零信任安全，每一个实例必须使用本地防火墙或者IP信息包过滤系统，或者在单独网络中安置每一个实例。然而，使用本地防火墙和IP信息包过滤系统极难管理，因为CPU周期会被用来强制执行规则，可能会影响VM性能。

　　微软Azure

　　微软的Azure的网络类似谷歌计算引擎网络。VM可以在逻辑私有网络中分组。Azure允许终点访问控制列表（ACL），应用于主机层级。在主机层级处理规则有助于维护本地VM性能。类似谷歌，你无法对Azure群组中的实例应用规则。因此，在大型环境中追踪规则成为问题。

　　云提供商针对零信任安全和微分割有着健壮的模型。在微软Azure和AWS的情景中，开发者可以选择从 内部应用集成微分割安全。这样开发者可以创建可扩展的应用，并且对变更中的安全做出快速反应。