HashiCorp Vault – 零信任,每件事都要驗證身分與授權
零信任 – 每件事都要驗證身分與授權
從傳統地端的資料中心和環境轉移到動態的雲端架構是相當複雜的,而且要面對企業安控的新挑戰。更多的系統要管理,更多的終端要監控,更多的網路要連結,也有更多的人要進行存取。安控漏洞的潛在危機可能會擴大,沒有合適的安控措施,產生破口只是時間的問題而已。
傳統資料中心的安控需要的是對以 IP 為基礎的設施範圍做管理和安控措施,包括網路、防火牆、硬體安全模組(HSM)、安全性資訊與事件管理 ( SIEM)、以及其他實體的存取限制。但是移轉到雲端後,同樣的解決方案已經不敷企業使用。
雲端基礎設施的安控需要不同的方式。
當企業轉向雲端時,以往用來衡量私有資料中心的指標逐漸不適用。現行以 IP 為基礎的範圍以及存取方式,會因為分享的資源需要被存許,而被臨時性的 IP 位址以及不斷段變動的人力所取代,因此管理如此大量的存取及 IP 會讓工作變得很瑣碎而複雜,讓橫跨雲端與地端的基礎設施、資料、以及存取的安控變得更為複雜,徒增許多成本及人力。所以這樣的轉向需要不同的安控方式,不同的授權模式,可以稱之為零信任,每件事都要驗證身分與授權。
由於這樣高度變動的環境,企業開始討論雲端安控的「零信任」方式。但是「零信任」的真實意涵為何?推動成功的先決條件有哪些?
挑戰 – 跨雲環境的零信任安控
透過 IP 控制存取
傳統保護基礎設施、資料、以及存取的方法是根源於以 IP 位址為基礎的安控解決方案,應用系統與資料庫連通,用戶存取主機及服務,伺服器間則跨網路連通 – 傳統上都是根據 IP 位址管理存取的授權或限制。這樣管理方式的企業當移往雲端的時候,因為 IP 位址的變動性,讓存取的管理以及日常作業變得加倍困難。
設備間的連結安控
設備對設備的存取,是以雲端為優先架構的企業的核心。以往以 ITIL 為基礎,用傳統的票證發送系統的方法,當要去滿足今日動態雲端環境畫的安控要求,就顯得太慢、負擔太重、也不夠彈性。
隨需求擴展規模
傳統人工管理存取及身分辨認的程序既慢、沒有效率、也不夠正確。一些安控的措施如授權令牌、密碼卡片、以及密碼等,都需要資訊人員的介入,耗工耗時,難以應付成千上萬的用戶和設備的要求。
啟用 – 跨雲的可擴展動態安控
在零信任的跨雲安控中有四大支柱:設備的身分驗證與授權、設備對設備的存取、人的身分驗證與授權、以及人對設備的存取。而橫越這四根支柱的是一個共通的需求:以身分辨識為需求的管控。以 HashiCorp 的眼光來看我們的安控模型就是築基於以身分辨識為基礎的存取及安控原則之上。而為了讓任何一部設備或任何一個用戶都能應用同一個原則必須讓系統辨認他它們是誰、身分為何、以及可以套用那些安控政策。以下就是 HashiCorp 的產品如何撐起這四根支柱讓零信任安控能確實執行:
設備的身分驗證與授權
HashiCorp Vault 讓從業者和企業可以在跨公私有雲的環境下集中保管、儲存、存取、以及發送動態密鑰如授權令牌、 密碼、憑證、以及密鑰等。Vault 提供自動化的程序透過一支 API 來集中管理人或設備的存取憑證及機敏性資料。有了 HCP Vault 你可以擁有一切的威力與安控卻可以泯除惱人的複雜度 。
設備對設備的存取
HashiCorp Consul 控制應用系統間的身分驗證來達成設備對設備的存取控制,確保只有正確的設備才能彼此溝通 。 Consul 可用來編寫授權及加密通訊的規則,將以身分辨識為基礎的存取與以自動化,將規模、效率、以及安控都予以極大化。透過 Consul 企業可以在雲上或任何一個應用系統開發服務、將網路設定自動化、以及達成安全的網路連結 。
人的身分驗證與授權
企業對內部不同的系統資料可能會有不同的身分認證平台,要能借重這些已被信賴的供應商,會是以身分辨認為基礎的存取及安控機制的大原則。HashiCorp 的產品和這些身分辨認的領導品牌都有很深的整合性 。
人對設備的存取
傳統的保護用戶存取權限的方式需要管理並發放 SSH 密鑰、VPN 憑證、以及堡壘主機,這種方式增加了憑證洩漏的危險可能,讓用戶在整個網路和系統中橫行無阻。HashiCorp Boundary 提供了一個簡易且安全的遠端存取方式,可以安全的存取動態主機及服務不需要管理憑證、IP 、或是暴露你的網路環境 。
業務上的衝擊 – 在多雲安控中
HashiCorp 的以身分辨識為基礎的安控及存取機制,為企業安全地將基礎設施、應用系統、以及資料轉移到雲環境中,打下了堅實的基礎。
快速地融入雲端架構
透過按鍵式佈建以及最佳實踐案例加速融入雲端架構 。
提升生產力
完整的管理架構提升了生產力,也降低了成本 。
多雲環境的彈性
透過一體適用於所有廠商的單一工作流,善用多雲環境的彈性 。