北京
做身份验证做了快七年,从Keycloak到Auth0、Okta,每一个平台翻来覆去强调的就五个字:永不信任,始终验证。很长一段时间里,我把零信任当成安全设计的终点线,仿佛只要把权限检查做到极致,系统就固若金汤。可最近参加了一次黑客马拉松之后,我发现这道终点线更像是起跑线,问题的焦点已经从“能不能做”悄悄滑到了另一个更隐蔽的方向。
那次我搭了一个叫PlanetLedger的小工具,功能简单到一句话就能讲明白——上传银行对账单,看看你的消费对环境有多大影响。但跑起来之后,这个应用的行为完全不像普通软件:你上传一份账单,它先解析交易记录,接着给商家打标签,再计算一个影响分数,同时生成洞察、推送通知,最后还不忘把这次计算结果记下来,供后面的分析使用。一切不过源自一行调用,后台却自动串起了一条行动链:记录上传→分数计算→洞察生成→分数更新。系统拿到一个请求之后不再只是吐一个响应就收工,而是持续地、自发地往下走。
如果只看权限控制,这套逻辑几乎无可挑剔。每次API调用之前,都会先验一遍权限集,确保调用方有资格执行当前动作;权限划分得足够细,任何一步都不在无授权的情况下运行。换成零信任的视角来审视,这已经是模范答卷。真正让我头疼的事情,偏偏发生在权限通过之后——系统已经可以行动了,但“应该继续行动下去吗”这个更微妙的问题,零信任完全看不见。
举个例子,PlanetLedger里有一个高影响警报:系统拿到用户得分,只要影响分数低于40分,就自动推一条“检测到多笔高影响交易”的通知。用户身份合法、操作已授权,每一步都合规得无懈可击。可你换个角度想,这条警报真该在这个时刻发出去吗?上游的分类步骤有没有可能跑偏?计算得分用的上下文是不是还没凑齐?零信任只关心每个切割好的动作有没有对应的权限,却没办法判断一连串正确步骤组合在一起,会不会输出一个完全跑偏的结果。每一步独立看都没毛病,但最终酿出的可能是一个错误。
这大概就是代理式系统和传统应用之间最微妙的那道裂缝。零信任把“谁能在什么资源上做什么”框得死死的,却没准备回答“某个行动在某个上下文里应不应该继续”。一旦系统不再只是“请求-响应”的机械模式,而变成一个能自主推进任务流的行动者,仅靠验证身份和权限就不够用了。那种“每一步都正确,结果却让人心里打鼓”的别扭感,恰恰是零信任止步的地方,也是下一代安全设计需要补上的拼图。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
