大多數系統不會因爲一個錯誤而崩潰。
它們崩潰是因爲那個錯誤被允許傳播得太遠。
一個漏洞在沒有限制的權限下執行。
一個自動化代理在上下文改變後仍然持續行動。
一個被泄露的憑證打開了它從未打算觸及的門。
災難很少是關於第一次失敗的,而是關於那次失敗的影響有多大。
Kite 建立在一個簡單的假設上:失敗是不可避免的。重要的是這些失敗是否能夠傳播。
與其試圖完全消除事件,Kite更關注一種更持久的東西——限制它們的影響。
爲什麼範圍比意圖更重要
安全討論通常集中在意圖上。
這個行爲是惡意的嗎?
代碼是否正確?
用戶是否被信任?
但現實世界中的事件不會等待這些答案。
一個無害的自動化如果在過度權限下運行可能會造成損害。
一個受信任的代理如果其權限從不過期,可能會變得危險。
如果一個有效的操作傳播不受控制,它仍然可能是災難性的。
真正的風險不是行爲。
這是範圍。
當權限廣泛、持久且可重用時,爆炸半徑擴大。Kite的架構旨在完全防止這種情況。
身份作爲結構,而不是特權
在Kite中,身份不是信任的標誌。
這是一種結構性邊界。
與其擁有一個擁有一切的單一身份,權限在各個層次上碎片化,每個層次回答不同的問題:
誰最終控制這個系統
允許哪些具體行爲
當這些行爲不再有效時
沒有任何身份可以回答這三個問題。
這種分離是有意的。當權限被分割時,沒有單一的失敗可以解鎖整個系統。即使是正確的操作也被限制在其預定的上下文中。
Kite內部的失敗是什麼樣子
當事情出錯時,Kite不會試圖解釋意圖或聲譽。
它檢查限制。
如果代理嘗試在其會話範圍之外執行某個操作,執行將停止。
如果會話過期,權限會自動消失。
如果憑證泄露,其有效性僅限於一個狹窄的窗口和定義的操作集。
沒有全球訪問權限可撤銷,因爲全球訪問權限並不存在。
默認情況下發生遏制,而不是緊急響應。
約束超越反應
傳統的安全模型依賴於檢測後的速度。
一個警報被觸發。
團隊會作出反應。
權限是手動撤銷的。
該模型假設人類可以比自動化系統以機器速度更快地響應。
Kite消除了這種假設。
當邊界被觸及時,權限會自行崩潰。無需干預。無需恐慌模式。系統以機械方式而非情感方式解決風險。
這種轉變減少了事件響應中最脆弱的元素:人類反應時間。
重新思考事件後問題
當系統乾淨地失敗時,事件審查會改變。
與其問爲什麼某個東西最初有訪問權限,團隊更審查權限是如何被限定的。
與其指責,不如調整邊界。
與其重新設計整個系統,不如優化會話約束。
失敗變成反饋循環,而不是生存威脅。
那是一種不同的姿態——一種鼓勵改進而不是恐懼的姿態。
使最佳實踐不可選
大多數組織已經相信限制爆炸半徑。
很少有人能始終如一地執行它。
Kite將這種哲學直接嵌入協議:
權限默認是暫時的
權限被故意限制得很窄
執行是孤立和範圍限定的
這些都是熟悉的安全原則,但在這裏它們不是指導方針或政策。它們每次都以機械方式執行,沒有例外。
爲什麼自動化提高了風險
隨着自主系統變得越來越強大,過度授權的成本呈指數級增長。
自動化不會猶豫。
代理不會自我懷疑。
錯誤傳播的速度比人類觀察到的速度快。
Kite並不試圖讓代理完美無缺。
這使它們受到限制。
較小的權限意味着較小的錯誤。而較小的錯誤不會演變成系統性失敗。
你在需要時纔會注意到的優勢
最具彈性的系統並不是那些承諾完美的正常運行時間或無瑕疵行爲的系統。
它們是那些安靜失敗的。
通過將身份視爲邊界而非憑證,Kite確保當事情破裂時——而且確實會破裂——它們是在孤立中破裂的。
這不是華麗的安全。
這並不戲劇化。
但這是一種在其他一切都處於壓力下仍然有效的類型。
而這通常是最重要的時刻。
