• 2019年12月26日 11:29

零信任安全架构的核心就是 Never Trust, Always Verify。

说白了就是针对身份实体的请求上下文做一个综合判断,最后给出allow或者deny的结论,可玩的点还是在于鉴权的proxy怎么实现,规则怎么写,怎么对接后端服务,如何配合专业研发的能力,做好system design实现高并发、高可用(毕竟原本可以直接打到后段服务的请求,现在要走一层鉴权的proxy)。

为啥中文资料说的一个比一个玄乎,你跟所谓“安全专家”请教零信任的时候,他就跟你玄学科普,只谈宏观安全建设,不谈技术细节,你拿着Google BeyondCorp的paper再跟他讨论如何落地的时候,他又避而不谈跟你扯到ATT&CK了,我…港真,直接撸BeyondCorp那篇paper,再结合公有云厂商的IAM实现来看比那些蹭流量的辣鸡水文靠谱的多。

另外,我酸了,有的时候闷头搞东西出不来成果的时候,真的很羡慕这些靠吹牛逼赚钱的“安全专家”。