¤ 寫在前面 ¤

歡迎加入權(quán)說安全討論群

這里有一群熱愛技術(shù)、善于思考的小伙伴

從攻克技術(shù)難點出發(fā)

挖掘網(wǎng)安行業(yè)發(fā)展趨勢

定期輸出熱點解讀、技術(shù)分析等各式干貨

掃描添加客服為好友，邀您進(jìn)群

 

THE AUTHORS

本文作者
本文由易安聯(lián)

紅岸實驗室寫作

專注網(wǎng)安行業(yè)發(fā)展方向

解讀熱門產(chǎn)品技術(shù)趨勢
                      歡迎技術(shù)大咖學(xué)習(xí)交流                      
    

摘要：2023年4月，CISA發(fā)布了ZTMM（Zero Trust Maturity Model）2.0版本，按照聯(lián)邦行政命令《改善國家網(wǎng)絡(luò)安全》（EO 14028）和美國白宮辦公廳（OMB）備忘錄《將美國政府引向零信任安全原則》（M-22-09）對其零信任成熟度模型進(jìn)行了調(diào)整完善。本文對ZTMM 2.0進(jìn)行了翻譯，旨在幫助零信任供應(yīng)商、企業(yè)用戶和安全研究人員在設(shè)計、實施零信任項目時，正確理解零信任實踐面臨的挑戰(zhàn)、成熟度路線和未來前景。

 

1.簡介  

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）是國家層面理解、管理和降低網(wǎng)絡(luò)安全風(fēng)險的領(lǐng)導(dǎo)機(jī)構(gòu)，包括為聯(lián)邦文職行政部門的網(wǎng)絡(luò)安全計劃和能力實施提供支持。CISA的零信任成熟度模型（ZTMM）提供了一種零信任的持續(xù)性實現(xiàn)途徑，以適應(yīng)快速變化的網(wǎng)絡(luò)環(huán)境和技術(shù)發(fā)展。在聯(lián)邦行政命令《改善國家網(wǎng)絡(luò)安全》（EO 14028）中，美國政府要求各聯(lián)邦機(jī)構(gòu)制定各自的零信任架構(gòu)（ZTA）實施計劃，ZTMM是設(shè)計和實施零信任遷移計劃的眾多途徑之一。

盡管ZTMM是按EO 14028專門為聯(lián)邦機(jī)構(gòu)量身定制，但所有組織都應(yīng)審查，并考慮采用該方法。

 

2.背景  

最近發(fā)生的一些網(wǎng)絡(luò)安全事件凸顯了，聯(lián)邦政府及大型企業(yè)在確保網(wǎng)絡(luò)空間安全方面所面臨的廣泛挑戰(zhàn)，傳統(tǒng)方法已經(jīng)不足以防御網(wǎng)絡(luò)威脅，來保護(hù)整個國家。作為理解、管理和降低網(wǎng)絡(luò)風(fēng)險的領(lǐng)導(dǎo)機(jī)構(gòu)，CISA必須采用清晰、可操作、基于風(fēng)險的方法，來保護(hù)聯(lián)邦民政行政部門。面對新興網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)防御措施需要提高響應(yīng)速度和靈活性，以便更快地增加對手的攻擊成本，并提高耐久性和韌性，以快速恢復(fù)到全面運(yùn)營狀態(tài)。

CISA的職責(zé)是通過推動和支持有效的網(wǎng)絡(luò)防御、增強(qiáng)國家核心功能的韌性，以及推進(jìn)強(qiáng)大的技術(shù)生態(tài)系統(tǒng)，來捍衛(wèi)和保護(hù)網(wǎng)絡(luò)空間。CISA在維護(hù)跨聯(lián)邦民政行政部門（FCEB）的網(wǎng)絡(luò)態(tài)勢感知、保護(hù).gov域、幫助組織機(jī)構(gòu)（包括聯(lián)邦民政機(jī)構(gòu)，關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營商，以及行業(yè)伙伴）管理重大網(wǎng)絡(luò)安全事件等方面發(fā)揮著關(guān)鍵作用。雖然CISA已經(jīng)具備抵御已知或可疑網(wǎng)絡(luò)威脅的能力，但不斷變化的威脅形勢和新興技術(shù)帶來了全新的挑戰(zhàn)。

EO 14028標(biāo)志著聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化的新承諾和重點方向。除其他政策要求外，該行政命令將零信任視為聯(lián)邦政府期望的安全模式，并呼吁FCEB部門制定相關(guān)計劃以實施ZTA。典型的計劃需要評估機(jī)構(gòu)的網(wǎng)絡(luò)安全狀態(tài)，并規(guī)劃如何完全實施ZTA。作為聯(lián)邦政府的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)機(jī)構(gòu)，CISA ZTMM將協(xié)助機(jī)構(gòu)制定相應(yīng)的零信任戰(zhàn)略、實施計劃的持續(xù)演進(jìn)，并提出各種CISA服務(wù)以支持跨機(jī)構(gòu)的零信任解決方案。

美國白宮辦公廳（OMB）備忘錄《將美國政府引向零信任安全原則》（M-22-09）按照ZTMM提出的零信任支柱，制定了一個聯(lián)邦ZTA戰(zhàn)略，說明了聯(lián)邦機(jī)構(gòu)要采取的具體行動，并要求各機(jī)構(gòu)在2024財年結(jié)束前實現(xiàn)網(wǎng)絡(luò)安全目標(biāo)，以加強(qiáng)FCEB的網(wǎng)絡(luò)安全防御。為了與M-22-09保持一致，CISA對ZTMM進(jìn)行了重新修訂，各FCEB部門在制定和實施零信任策略時，應(yīng)同時審閱ZTMM和該備忘錄。

 

3.零信任的含義  

國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）在SP 800-207中為零信任和ZTA提供了如下的操作性定義：

零信任由一系列概念和思想組成，能夠在基于每個請求為信息系統(tǒng)和服務(wù)實施精確的、最小特權(quán)訪問策略時，以網(wǎng)絡(luò)已遭受攻擊為假定前提，并減少策略實施中的不確定性。

ZTA是企業(yè)采用零信任理念制定的網(wǎng)絡(luò)安全規(guī)劃，包括組件關(guān)系、工作流規(guī)劃和訪問策略。因此，零信任企業(yè)作為ZTA計劃的產(chǎn)物，包含網(wǎng)絡(luò)基礎(chǔ)架構(gòu)（物理和虛擬）和運(yùn)營策略兩大部分。

《SP 800-207》強(qiáng)調(diào)，零信任的目標(biāo)是“以盡可能精細(xì)的訪問控制粒度，防止對數(shù)據(jù)和服務(wù)的未授權(quán)訪問。”同樣，國家安全電信咨詢委員會（NSTAC）將零信任描述為“一種網(wǎng)絡(luò)安全策略，其設(shè)計基礎(chǔ)是任何用戶或資源都并非隱含可信的，而是假定網(wǎng)絡(luò)已經(jīng)發(fā)生了入侵行為，或即將發(fā)生入侵，因此不應(yīng)該只通過位于企業(yè)邊界的單一驗證機(jī)制，來授予用戶對敏感信息的訪問權(quán)限。相反，每個用戶、設(shè)備、應(yīng)用程序和會話都必須持續(xù)地進(jìn)行驗證。”零信任將傳統(tǒng)的、以位置為中心的訪問模型轉(zhuǎn)變?yōu)橐陨矸?、上下文和?shù)據(jù)為中心、具有隨時間變化的細(xì)粒度安全控制，包括對用戶、系統(tǒng)、應(yīng)用程序、數(shù)據(jù)和資產(chǎn)等各種實體的控制。因此，采用ZTA是一項非常具有挑戰(zhàn)性的工作，這種轉(zhuǎn)變?yōu)橹С职踩呗缘拈_發(fā)、實現(xiàn)、執(zhí)行和演進(jìn)提供了必要的可見性。從根本上講，為了實施零信任，組織機(jī)構(gòu)可能需要在網(wǎng)絡(luò)安全理念和企業(yè)文化上做出一些改變。

邁向零信任的道路是一個逐步的過程，可能需要數(shù)年才能完成。

最初，實施零信任所需的技術(shù)和服務(wù)可能會導(dǎo)致企業(yè)的成本增加，但從長遠(yuǎn)來看，零信任向最關(guān)鍵數(shù)據(jù)和服務(wù)進(jìn)行的精準(zhǔn)投資，將使得安全投資更加明智，而不是在整個企業(yè)范圍內(nèi)采用“一刀切”的安全投資。

 

4.實施零信任的挑戰(zhàn)  

與大多數(shù)大型企業(yè)一樣，聯(lián)邦政府在實施ZTA時也面臨著多項挑戰(zhàn)。遺留系統(tǒng)通常依賴于“隱式信任”，它們僅通過少量的固定屬性對訪問和授權(quán)進(jìn)行安全評估，這與ZTA自適應(yīng)信任評估的核心原則是沖突的。為了更好地遵從零信任原則，需要一些額外的投資，來改造這些以隱式信任為基礎(chǔ)的現(xiàn)有基礎(chǔ)設(shè)施。此外，隨著技術(shù)領(lǐng)域的不斷演進(jìn)，為了更好地實現(xiàn)零信任，保持對新的解決方案的探索和持續(xù)討論也很重要。

實施零信任需要高層領(lǐng)導(dǎo)、IT人員、數(shù)據(jù)和系統(tǒng)所有者，以及遍布聯(lián)邦政府的各類用戶的參與和合作，以有效設(shè)計實現(xiàn)目標(biāo)并改善網(wǎng)絡(luò)安全態(tài)勢。聯(lián)邦政府的網(wǎng)絡(luò)安全現(xiàn)代化要求各機(jī)構(gòu)將煙囪式和孤立的IT服務(wù)和員工，轉(zhuǎn)變?yōu)榱阈湃螒?zhàn)略的協(xié)調(diào)和協(xié)作組件，并在整個機(jī)構(gòu)范圍內(nèi)購買通用架構(gòu)和治理政策，包括當(dāng)前和未來采用云技術(shù)的計劃。

不同的聯(lián)邦機(jī)構(gòu)正在從不同的起點開啟他們的零信任之旅，有的機(jī)構(gòu)可能走得更遠(yuǎn)或取得更多的進(jìn)步。但是無論起點如何，成功采用零信任都可以帶來諸多好處，包括提高生產(chǎn)力、增強(qiáng)用戶體驗、降低IT成本、提供更靈活的訪問和增強(qiáng)的安全性。

 

5.零信任成熟度模型  

ZTMM代表了在5個不同方面或支柱（參看圖1）逐步實施零信任改進(jìn)的過程，包括身份（Identity）、設(shè)備（Devices）、網(wǎng)絡(luò)（Networks）、應(yīng)用與工作負(fù)載（Applications and Workloads），以及數(shù)據(jù)（Data）。此外，還包含了一些橫跨所有支柱的能力：可見性與分析、自動化與編排，以及治理。

         

圖1零信任成熟度模型的支柱與相關(guān)能力

CISA的ZTMM是通向零信任的路徑之一。

本成熟度模型在開發(fā)時參考借鑒了大量已有的ZTA出版材料（參見第6部分）。該模型反映了NIST SP 800-207中概述的7個零信任原則：

（1）將所有數(shù)據(jù)來源和計算服務(wù)視為資源。

（2）不論網(wǎng)絡(luò)位置如何，所有通信都需要安全強(qiáng)化。

（3）以會話（per-session）為單位，對企業(yè)資源訪問進(jìn)行授權(quán)。

（4）按照動態(tài)策略確定資源訪問權(quán)限。

（5）企業(yè)監(jiān)控和度量所有自有和關(guān)聯(lián)資產(chǎn)的完整性和安全姿態(tài)。

（6）在允許訪問之前，所有資源都必須經(jīng)過嚴(yán)格、動態(tài)地認(rèn)證和授權(quán)。

（7）企業(yè)盡可能收集關(guān)于資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的狀態(tài)信息，并利用它來改善安全姿態(tài)。

隨著各機(jī)構(gòu)逐步邁向最佳的零信任實現(xiàn)，相關(guān)解決方案越來越依賴自動化流程和系統(tǒng)，這些系統(tǒng)將各個支柱進(jìn)一步整合，并更加動態(tài)地執(zhí)行策略決策。每個支柱可以獨立演進(jìn)發(fā)展，也可能比其他支柱發(fā)展地更快，直到需要進(jìn)行跨支柱的協(xié)調(diào)。然而，這種協(xié)調(diào)的實現(xiàn)需要相關(guān)支柱的能力和依賴在整個企業(yè)范圍和環(huán)境中能夠相互兼容，這就要求能夠定義一個逐步的零信任演進(jìn)路線，以分?jǐn)偝杀?，而不是一次性全部投入?/span>

按照NIST提出的零信任實施步驟，各機(jī)構(gòu)在投資零信任能力（包括ZTMM支柱和功能）建設(shè)之前，應(yīng)當(dāng)評估其當(dāng)前的企業(yè)系統(tǒng)、資源、基礎(chǔ)設(shè)施、人員和流程，幫助各機(jī)構(gòu)判斷識別能夠支撐零信任成熟度的現(xiàn)有能力，并確定需優(yōu)先解決的能力缺口。各機(jī)構(gòu)還可以規(guī)劃如何協(xié)調(diào)跨支柱的能力，以實現(xiàn)細(xì)粒度的最小特權(quán)訪問控制，并減輕額外風(fēng)險。

零信任成熟度旅程包括從傳統(tǒng)階段（Traditional）到初始（Initial）、高級（Advanced）和最佳（Optimal）三個階段，這種階段性設(shè)計將有助于促進(jìn)聯(lián)邦ZTA的實現(xiàn)，每個后續(xù)階段對保護(hù)能力、實現(xiàn)細(xì)節(jié)和技術(shù)復(fù)雜性提出了更高的要求。

圖2零信任成熟度之旅

如圖2所示，在各支柱和跨支柱的零信任成熟度不斷提高時，各機(jī)構(gòu)需預(yù)見到應(yīng)付出的努力和效益將會顯著增加。在各機(jī)構(gòu)準(zhǔn)備開啟ZTA之旅時，應(yīng)探索如何提高支柱成熟度，使之與特定的任務(wù)需求相匹配，并支持其他支柱的發(fā)展。圖3強(qiáng)調(diào)了傳統(tǒng)企業(yè)向未來發(fā)展的預(yù)期演變過程，未來企業(yè)的網(wǎng)絡(luò)安全將具有更動態(tài)的更新、自動化的流程、集成的能力和其他ZTMM最佳階段的能力特性。這些階段是動態(tài)的，并呈指數(shù)增長，從一個成熟度階段到下一階段的進(jìn)展可能會隨著時間的推移，產(chǎn)生不同范圍的影響。

圖3 零信任成熟度的演進(jìn)

各機(jī)構(gòu)應(yīng)在每個階段使用以下原則，識別、確定各個零信任技術(shù)支柱的成熟度，以取得在整個成熟度模型中的一致性。

◆傳統(tǒng)階段：手動的生命周期（從建立到廢除）管理和屬性分配（安全和日志記錄）；靜態(tài)的安全策略和解決方案，通過對不同外部系統(tǒng)的分散依賴，每次只能處理一個支柱；僅在配置時遵循最小特權(quán)原則；執(zhí)行策略的各個支柱相互獨立；手動式的響應(yīng)和緩解措施部署；只對依賴、日志和監(jiān)測進(jìn)行了少量關(guān)聯(lián)。

◆初始階段：使用了自動化屬性分配和生命周期管理、策略決策和執(zhí)行，具有與外部系統(tǒng)集成的跨支柱解決方案；通過一些對權(quán)限的響應(yīng)式調(diào)整，在配置之后實施最小特權(quán)原則；針對內(nèi)部系統(tǒng)的聚合可見性。

◆高級階段：在適用的情況下，能夠?qū)缰е牟呗?、配置的生命周期和分配進(jìn)行自動控制；集中式的可見性和身份控制；跨支柱的策略執(zhí)行；能夠?qū)︻A(yù)定義的緩解措施進(jìn)行響應(yīng)；根據(jù)風(fēng)險和態(tài)勢評估調(diào)整最小特權(quán)；向企業(yè)范圍感知的方向發(fā)展（包括外部托管資源）。

◆最佳階段：資產(chǎn)和資源能夠通過基于自動/監(jiān)測觸發(fā)器的動態(tài)策略提供自報告，實現(xiàn)完全自動化、及時的生命周期和屬性分配；對企業(yè)范圍內(nèi)的資產(chǎn)實施動態(tài)最小特權(quán)（剛好夠用，并在閾值內(nèi)）訪問；具備持續(xù)監(jiān)控的跨支柱互操作；具備全面態(tài)勢感知的集中可見性。

圖4是ZTMM的頂層概覽，包括每個支柱在不同成熟度階段的關(guān)鍵能力，以及在不同成熟度階段的跨支柱能力特性。

圖4零信任成熟度模型概覽

這些成熟度階段以及與每個支柱相關(guān)的詳細(xì)信息，使機(jī)構(gòu)能夠評估、規(guī)劃和維護(hù)實施ZTA所需的投資。本文后續(xù)各小節(jié)將為每個支柱提供詳細(xì)信息，以支持各機(jī)構(gòu)在5個不同的支柱上實現(xiàn)向零信任的過渡，包括身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用和工作負(fù)載以及數(shù)據(jù)。每個支柱還包括了與可見性與分析、自動化與編排，以及治理能力相關(guān)的詳細(xì)信息，以支撐該支柱和整個模型之間的集成。

跨支柱能力指支持不同支柱互操作功能的相關(guān)活動，包括以下3個方面：

◆可見性與分析?？梢娦允侵笍钠髽I(yè)環(huán)境的事件特征中產(chǎn)生的可觀測指標(biāo)。對與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)進(jìn)行分析有助于提供策略決策依據(jù)、促進(jìn)應(yīng)急響應(yīng)活動，并在安全時間發(fā)生之前，建立風(fēng)險概況以開發(fā)積極的安全措施。

◆自動化與編排。零信任采用自動化工具和工作流程，在支持產(chǎn)品和服務(wù)安全響應(yīng)功能的同時，對這些功能、產(chǎn)品和服務(wù)的開發(fā)過程進(jìn)行監(jiān)管、安全保障和交互。

◆治理。指網(wǎng)絡(luò)安全策略、程序和流程（在支柱內(nèi)或跨支柱層面）的定義和執(zhí)行方式，以符合零信任原則和滿足聯(lián)邦政府要求，減輕網(wǎng)絡(luò)安全風(fēng)險。

盡管ZTMM涵蓋了聯(lián)邦企業(yè)網(wǎng)絡(luò)安全的許多關(guān)鍵方面，但也存在一些未涉及到的部分，例如，與事件響應(yīng)相關(guān)的活動，包括日志記錄、監(jiān)測、警報、取證分析、風(fēng)險承受和事后恢復(fù)等，與企業(yè)網(wǎng)絡(luò)安全態(tài)勢管理相關(guān)的特性和最佳實踐也沒有明確地納入成熟度模型。盡管成熟度模型并非排他性的技術(shù)措施，但它確實沒有解決與運(yùn)營相關(guān)的挑戰(zhàn)，包括特定類型的物聯(lián)網(wǎng)（IoT）設(shè)備或已被廣泛采用新興技術(shù)，例如欺騙平臺、可認(rèn)證的WAF、行為分析等。另外，這個模型中也沒有包括將機(jī)器學(xué)習(xí)和人工智能納入零信任解決方案的建議方法。在每個支柱的成熟度提高過程中，各機(jī)構(gòu)應(yīng)該采取措施來監(jiān)測和評估他們的安全能力、基礎(chǔ)設(shè)施和策略的性能和完整性，來發(fā)現(xiàn)未授權(quán)的訪問和變化。各機(jī)構(gòu)應(yīng)該注意不要為攻擊者創(chuàng)造新的利用機(jī)會或削弱安全協(xié)議。為了有效保障聯(lián)邦機(jī)構(gòu)企業(yè)范圍內(nèi)軟件和硬件系統(tǒng)的完整性，必要的研究和開發(fā)也是需要的。

在規(guī)劃ZTA的實施時，各機(jī)構(gòu)應(yīng)根據(jù)風(fēng)險、任務(wù)、聯(lián)邦要求和操作限制等因素做出決策。盡管該模型與聯(lián)邦企業(yè)的單一管理域或認(rèn)證邊界一致，但各機(jī)構(gòu)在評估ZTA的影響因素時，仍然需要考慮與外部合作伙伴、利益相關(guān)者和服務(wù)提供商的互動和依賴關(guān)系。另外，該成熟度模型不應(yīng)該被視為一個嚴(yán)格要求，而是一個能夠幫助機(jī)構(gòu)成功實施ZTA，并對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行整體提升的通用指南。

 

5.1 身份  

身份是指描述機(jī)構(gòu)用戶或?qū)嶓w（包括非人實體）的一個或一組屬性。

各機(jī)構(gòu)應(yīng)確保并保證用戶和實體因正確的目的，在正確的時間訪問正確的資源，且未授予他們過多的訪問權(quán)限。各機(jī)構(gòu)應(yīng)盡可能在企業(yè)范圍內(nèi)集成身份、憑據(jù)和訪問管理解決方案，以強(qiáng)制執(zhí)行強(qiáng)身份驗證、實施基于上下文的授權(quán)，并評估機(jī)構(gòu)用戶和實體的身份風(fēng)險。機(jī)構(gòu)應(yīng)在適當(dāng)?shù)那闆r下對其身份存儲和管理系統(tǒng)進(jìn)行集成，改善對企業(yè)身份、職責(zé)和權(quán)限的感知。

表1列出了零信任架構(gòu)中“身份”的相關(guān)功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

表1 “身份”支柱

功能	傳統(tǒng)階段	初始階段	高級階段	最佳階段
身份認(rèn)證	在靜態(tài)訪問授權(quán)中，使用密碼或雙因素認(rèn)證（MFA）對實體身份進(jìn)行認(rèn)證。	使用MFA對身份進(jìn)行驗證，將密碼作為MFA中的一種認(rèn)證方式，并要求驗證多個實體屬性（例如場所或活動）。	使用抗釣魚攻擊的MFA和屬性對所有身份進(jìn)行身份驗證，包括通過FIDO2或PIV實現(xiàn)的無密碼MFA的最初實現(xiàn)。	持續(xù)使用抗釣魚攻擊的MFA對身份進(jìn)行驗證，而不僅僅是在最初授權(quán)時進(jìn)行驗證。
身份庫	只使用自主管理的本地身份庫（計劃、部署和維護(hù)均由自行承擔(dān)）。	同時使用自主管理的和托管（例如，云或其他機(jī)構(gòu)）的身份庫，存儲庫之間實現(xiàn)了較少的集成（例如，單點登錄）。	開始合并和整合一些自主管理的和托管的身份庫。	根據(jù)需要在所有合作伙伴和環(huán)境中安全地整合身份庫。
風(fēng)險評估	對身份風(fēng)險進(jìn)行有限的判斷（即身份被竊取的可能性）。	使用手動方法和靜態(tài)規(guī)則來確定身份風(fēng)險，以支持可見性。	使用一些自動化分析和動態(tài)規(guī)則來確定身份風(fēng)險，以支持訪問決策和響應(yīng)動作。	基于持續(xù)分析和動態(tài)規(guī)則，實時地確定身份風(fēng)險，以提供持續(xù)的保護(hù)。
訪問管理 （新增）	永久性訪問授權(quán)，并對特權(quán)和非特權(quán)賬戶進(jìn)行周期性審核。	對訪問（包括特權(quán)訪問）進(jìn)行授權(quán)，并通過自動審核使訪問權(quán)限過期失效。	提供對基于需求和基于會話的訪問（包括特權(quán)訪問請求）授權(quán)，以適應(yīng)不同操作和資源。	使用自動化來實現(xiàn)即時授權(quán)和恰到好處的授權(quán)，以滿足個人的操作和資源需求。
可見性與分析	收集用戶和實體的活動日志（特別是特權(quán)憑據(jù)），并進(jìn)行例行的手動分析。	收集用戶和實體活動日志，進(jìn)行例行的手動分析和部分自動分析，不同類型的日志僅實現(xiàn)了少量關(guān)聯(lián)。	在某些類型的用戶和實體活動日志上進(jìn)行自動化分析，并增加收集范圍以解決可見性短板。	通過對用戶活動日志（包括基于行為的分析）進(jìn)行自動化分析，維護(hù)企業(yè)范圍的全面可見性和態(tài)勢感知。
自動化與編排	手動對自管理身份（用戶和實體）進(jìn)行編排（入職、離職和禁用），集成性較少，并定期進(jìn)行審查。	手動對特權(quán)和外部身份進(jìn)行編排，并自動編排非特權(quán)用戶和自管理實體。	手動編排特權(quán)用戶身份，并在所有環(huán)境中集成實現(xiàn)所有身份的自動編排。	基于行為、注冊和部署需求，在所有環(huán)境中實現(xiàn)完全集成的所有身份自動編排。
治理	通過靜態(tài)技術(shù)和人工審核實施身份策略（認(rèn)證、憑證、訪問、生命周期等）。	在企業(yè)范圍內(nèi)定義并實施具有少量自動化、并通過人工更新的身份策略。	在企業(yè)范圍內(nèi)實現(xiàn)自動化、并定期更新的身份策略。	在企業(yè)范圍內(nèi)，為所有用戶和實體實現(xiàn)針對所有系統(tǒng)的自動化身份策略，能夠?qū)崿F(xiàn)持續(xù)的策略實施和動態(tài)更新。

         

5.2 設(shè)備  

設(shè)備是指可以連接到網(wǎng)絡(luò)的任何資產(chǎn)（包括其硬件、軟件、固件等），包括服務(wù)器、臺式機(jī)、筆記本電腦、打印機(jī)、手機(jī)、物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)設(shè)備等。

設(shè)備既可能是機(jī)構(gòu)擁有的資產(chǎn)，也可能是員工、合作伙伴或訪問者的自帶資產(chǎn)（BYOD）。機(jī)構(gòu)應(yīng)該確保所有自有設(shè)備的安全性，管理那些非機(jī)構(gòu)可控的授權(quán)設(shè)備的安全風(fēng)險，并阻止未授權(quán)設(shè)備訪問資源。設(shè)備管理包括維護(hù)所有資產(chǎn)（包括其硬件、軟件、固件等）的動態(tài)清單、配置信息及相關(guān)漏洞。

企業(yè)網(wǎng)絡(luò)環(huán)境中多樣化的設(shè)備類型為實施ZTA提出了新的挑戰(zhàn)，必須按照基于風(fēng)險的流程對它們逐個進(jìn)行評估。例如，網(wǎng)絡(luò)設(shè)備、打印機(jī)等設(shè)備在身份驗證、可見性和安全性方面，只具有少量的能力選項。在維持設(shè)備可見性和控制方面，允許使用BYOD的機(jī)構(gòu)也會受到很多制約和限制。隨著技術(shù)環(huán)境的不斷變化，機(jī)構(gòu)也將繼續(xù)采用更多的設(shè)備來管理這些不斷演變的設(shè)備相關(guān)風(fēng)險。在特殊情況下，本指南可能無法適用于各機(jī)構(gòu)的特定設(shè)備。另外，各機(jī)構(gòu)也會面臨維護(hù)可信設(shè)備和服務(wù)的生命周期，并獲得技術(shù)支持的挑戰(zhàn)，因為遺留設(shè)備通常會存在更多未解決的漏洞、易受攻擊的配置和未知的風(fēng)險。最后，盡管面臨這些挑戰(zhàn)和困難，各機(jī)構(gòu)仍然應(yīng)該能夠在實現(xiàn)ZTA方面取得重大進(jìn)展。

私有化部署的計算資產(chǎn)管理需要記錄和管理物理資產(chǎn)（設(shè)備）。隨著各機(jī)構(gòu)逐漸轉(zhuǎn)向云環(huán)境，還要考慮如何管理和跟蹤機(jī)構(gòu)的云和虛擬資產(chǎn)。云資產(chǎn)包括計算資源（如虛擬機(jī)、服務(wù)器或容器）、存儲資源（如塊存儲或文件存儲）、平臺資產(chǎn)（如數(shù)據(jù)庫、Web服務(wù)器、消息總線/隊列）和網(wǎng)絡(luò)資源（如虛擬網(wǎng)絡(luò)、VPN、網(wǎng)關(guān)、DNS服務(wù)等），以及其他與托管云服務(wù)相關(guān)的虛擬資源（如人工智能模型）。

表2列出了零信任架構(gòu)中“設(shè)備”的相關(guān)功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

表2 “設(shè)備”支柱

功能	傳統(tǒng)階段	初始階段	高級階段	最佳階段
策略實施與合規(guī)監(jiān)控（新增）	在策略實施或管理軟件、配置或漏洞方面，只有少量的方法，幾乎沒有與設(shè)備合規(guī)相關(guān)的可見性。	能接收自報告的設(shè)備特征（例如，設(shè)備上的密鑰、令牌、用戶等），但其執(zhí)行機(jī)制非常有限。機(jī)構(gòu)已經(jīng)初步建立了軟件準(zhǔn)入的基本流程，并能將更新和配置推送到設(shè)備上。	能夠在初始使用設(shè)備時，對設(shè)備進(jìn)行合規(guī)驗證（即管理員可以檢查和驗證設(shè)備上的數(shù)據(jù)），并對大多數(shù)設(shè)備和虛擬資產(chǎn)實施合規(guī)策略。使用自動化方法來管理設(shè)備和虛擬資產(chǎn)、批準(zhǔn)軟件、識別漏洞和安裝補(bǔ)丁。	在設(shè)備和虛擬資產(chǎn)的整個生命周期中，持續(xù)檢查并執(zhí)行合規(guī)策略。將設(shè)備、軟件、配置和漏洞管理整合到所有機(jī)構(gòu)環(huán)境中，包括虛擬資產(chǎn)。
資產(chǎn)和供應(yīng)鏈風(fēng)險管理（新增）	沒有以全企業(yè)或跨供應(yīng)商的方式，跟蹤物理或虛擬資產(chǎn)，采用臨時性的方式對設(shè)備和服務(wù)供應(yīng)鏈進(jìn)行管理，對企業(yè)風(fēng)險的認(rèn)識非常有限。	跟蹤所有物理和部分虛擬資產(chǎn)，并按照聯(lián)邦建議，使用風(fēng)險框架（例如NIST SCRM）建立策略和控制基線，來管理供應(yīng)鏈風(fēng)險。	通過自動化流程來開發(fā)全面的企業(yè)物理、虛擬資產(chǎn)視圖，該流程可以跨多個供應(yīng)商驗證資產(chǎn)獲取、跟蹤開發(fā)周期，并提供第三方評估。	擁有全面的、實時或接近實時的、跨供應(yīng)商和服務(wù)提供商的資產(chǎn)視圖，在合適情況下，自動化其供應(yīng)鏈風(fēng)險管理，建立能容忍供應(yīng)鏈故障的操作，并融入最佳實踐。
資源訪問（原數(shù)據(jù)訪問）	在訪問資源時，未要求對于設(shè)備或虛擬資產(chǎn)的可見性。	要求某些設(shè)備或虛擬資產(chǎn)報告其特征，然后利用這些信息審批資源訪問。	在初始資源訪問時考慮設(shè)備的驗證情況或虛擬資產(chǎn)的可見性。	資源訪問時考慮設(shè)備和虛擬資產(chǎn)內(nèi)的實時風(fēng)險分析。
設(shè)備威脅保護(hù)（新增）	對部分設(shè)備手動部署了威脅保護(hù)功能。	具有一些自動化流程，用于將威脅保護(hù)能力部署和更新到設(shè)備和虛擬資產(chǎn)，并集成了少量的策略執(zhí)行和合規(guī)監(jiān)控。	將威脅保護(hù)能力整合到面向設(shè)備和虛擬資產(chǎn)的集中式解決方案中，并將其中的大部分能力與策略執(zhí)行和合規(guī)監(jiān)控集成。	為所有設(shè)備和虛擬資產(chǎn)，部署了具有先進(jìn)功能的集中式威脅保護(hù)安全解決方案，并采用統(tǒng)一方法解決設(shè)備威脅保護(hù)、策略實施和合規(guī)監(jiān)控。
可見性與分析	使用物理標(biāo)簽清單和有限的軟件監(jiān)控，定期人工查看和分析設(shè)備信息。	在可用時，使用數(shù)字標(biāo)識符（例如接口地址、數(shù)字化標(biāo)記）、手動清單和終端監(jiān)控（若可用）來監(jiān)測設(shè)備。部分設(shè)備和虛擬資產(chǎn)能通過自動化分析（例如軟件掃描器），執(zhí)行基于風(fēng)險的異常檢測。	實現(xiàn)清單的自動化采集（包括所有標(biāo)準(zhǔn)用戶設(shè)備上的終端監(jiān)控，例如臺式機(jī)、筆記本電腦、手機(jī)、平板電腦及其虛擬資產(chǎn)）和異常檢測（檢測未授權(quán)設(shè)備）。	自動化采集所有可接入網(wǎng)絡(luò)的設(shè)備和虛擬資產(chǎn)的狀態(tài)，并與身份關(guān)聯(lián)、執(zhí)行端點監(jiān)控和異常檢測，為資源訪問授權(quán)提供信息。跟蹤虛擬資產(chǎn)的供應(yīng)和銷毀模式以監(jiān)測異常。
自動化與編排	在企業(yè)范圍內(nèi)，人工完成設(shè)備供應(yīng)、配置和注冊。	使用工具和腳本來自動化處理流程，包括設(shè)備和虛擬資產(chǎn)的供應(yīng)、配置、注冊和銷毀。	實施了監(jiān)控和策略執(zhí)行機(jī)制，能識別、手動斷開或隔離不符合規(guī)定（易受攻擊、未經(jīng)驗證的證書、未注冊的MAC地址）的設(shè)備和虛擬資產(chǎn)。	擁有全自動的流程，用以實現(xiàn)設(shè)備及虛擬資產(chǎn)的供應(yīng)、注冊、監(jiān)控、隔離、修復(fù)和銷毀。
治理	制定了針對傳統(tǒng)外設(shè)的生命周期策略，但依賴人工流程來維護(hù)（例如更新、打補(bǔ)丁、殺毒）這些設(shè)備。	制定并實施了設(shè)備采購、非傳統(tǒng)計算設(shè)備和虛擬資產(chǎn)的生命周期策略，并定期對設(shè)備進(jìn)行監(jiān)測和掃描。	為設(shè)備和虛擬資產(chǎn)制定了企業(yè)級的生命周期策略，包括設(shè)備枚舉和問責(zé)，并實現(xiàn)了一些自動實施機(jī)制。	對企業(yè)范圍內(nèi)、所有可連接網(wǎng)絡(luò)的設(shè)備和虛擬資產(chǎn)實現(xiàn)了自動化的生命周期策略。

注：設(shè)備生命周期包括采購、配置、跟蹤、監(jiān)控、更新、使用、清理、銷毀以及恢復(fù)等多個階段。

 

5.3 網(wǎng)絡(luò)  

網(wǎng)絡(luò)是指一個開放的通信介質(zhì)和通道，包括傳統(tǒng)通道，如機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和互聯(lián)網(wǎng)，以及其他通道，如用于傳輸信息的蜂窩和應(yīng)用層通道等。

零信任架構(gòu)使傳統(tǒng)基于邊界的安全方法發(fā)生了改變，允許機(jī)構(gòu)管理內(nèi)部和外部流量、隔離主機(jī)、實施加密、分段訪問活動，并增強(qiáng)了企業(yè)網(wǎng)絡(luò)的可見性。ZTA允許在更接近應(yīng)用程序、數(shù)據(jù)和其他資源的位置實現(xiàn)安全控制，增強(qiáng)了傳統(tǒng)基于網(wǎng)絡(luò)的保護(hù)措施，并提高了深度防御能力。由于不同應(yīng)用在訪問權(quán)限、優(yōu)先級、可達(dá)性、依賴服務(wù)和連接路徑等方面存在不同的要求，網(wǎng)絡(luò)中的每個應(yīng)用程序都可以以唯一的方式對待處理。這些網(wǎng)絡(luò)應(yīng)用要求可以被采集為應(yīng)用程序概要，然后相同的概要可以作為同一類流量進(jìn)行處理。

表3列出了零信任架構(gòu)中“網(wǎng)絡(luò)”的相關(guān)功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

表3 “網(wǎng)絡(luò)”支柱

功能	傳統(tǒng)階段	初始階段	高級階段	最佳階段
網(wǎng)絡(luò)分段	使用大邊界/宏分段來定義網(wǎng)絡(luò)架構(gòu)，網(wǎng)段內(nèi)的可達(dá)性基本不受約束。也可能依賴多服務(wù)互連（例如，不同流量按批量使用VPN隧道）的方案。	在網(wǎng)絡(luò)架構(gòu)對關(guān)鍵工作負(fù)載進(jìn)行隔離，按最小功能（權(quán)限）原則限制連通性，并向特定服務(wù)互連的網(wǎng)絡(luò)架構(gòu)過渡。	在入向/出向微邊界和特定服務(wù)互連框架中，擴(kuò)展終端和基于應(yīng)用程序概要的隔離機(jī)制。	網(wǎng)絡(luò)架構(gòu)由完全分布式的入向/出向微邊界和基于應(yīng)用程序概要的微分段組成，動態(tài)實現(xiàn)即時和適度連通性，以實現(xiàn)特定服務(wù)的互連。
網(wǎng)絡(luò)流量管理（新增）	在服務(wù)提供過程中，人工實施靜態(tài)網(wǎng)絡(luò)規(guī)則和配置來管理流量，僅具有有限的監(jiān)控能力（例如應(yīng)用程序性能監(jiān)控或異常檢測），對關(guān)鍵業(yè)務(wù)應(yīng)用的配置變更通過人工進(jìn)行審計和審核。	建立了具有不同流量管理特征的應(yīng)用程序概要，并開始將所有應(yīng)用程序映射到這些概要。將靜態(tài)規(guī)則擴(kuò)展應(yīng)用到所有應(yīng)用程序，并對應(yīng)用程序概要進(jìn)行定期手動審計。	實施動態(tài)網(wǎng)絡(luò)規(guī)則和配置，以進(jìn)行資源優(yōu)化，這些規(guī)則和配置根據(jù)自動風(fēng)險感知和具備風(fēng)險響應(yīng)的應(yīng)用程序概要評估和監(jiān)控，定期進(jìn)行調(diào)整。	實施不斷演變的動態(tài)網(wǎng)絡(luò)規(guī)則和配置，以滿足應(yīng)用程序概要的需求，根據(jù)關(guān)鍵任務(wù)、風(fēng)險等因素重新確定應(yīng)用程序優(yōu)先級。
流量加密（原加密）	對少量流量實施加密，并依靠手動或臨時流程來管理和保護(hù)加密密鑰。	對所有流向內(nèi)部應(yīng)用的流量進(jìn)行加密，對外部應(yīng)用的流量進(jìn)行盡可能的加密，規(guī)范化密鑰管理策略，并保護(hù)服務(wù)器/服務(wù)的加密密鑰。	所有應(yīng)用的內(nèi)部和外部流量均使用協(xié)議加密，對密鑰和證書的簽發(fā)和更換實施管理，并引入密碼敏捷實踐。	持續(xù)根據(jù)需求加密流量，在企業(yè)范圍執(zhí)行最小權(quán)限原則，以保證密鑰的安全管理，并盡可能廣泛地采用密碼敏捷實踐。
網(wǎng)絡(luò)彈性（新增）	根據(jù)單個應(yīng)用程序的可用性需求，按個案配置網(wǎng)絡(luò)能力，只能提供適用于非關(guān)鍵任務(wù)負(fù)載的有限彈性。	通過配置網(wǎng)絡(luò)能力，管理其他應(yīng)用程序的可用性要求，并擴(kuò)展非關(guān)鍵任務(wù)負(fù)載的彈性機(jī)制。	網(wǎng)絡(luò)功能的配置能動態(tài)管理大部分應(yīng)用程序的可用性需求和彈性機(jī)制。	能感知所有工作負(fù)載的可用性需求變化，并集成全面的交付，提供相應(yīng)的彈性機(jī)制。
可見性與分析	通過以網(wǎng)絡(luò)邊界為重點的有限監(jiān)控和分析，開始開發(fā)集中式的態(tài)勢感知。	采用基于已知入侵指標(biāo)（包括網(wǎng)絡(luò)枚舉）的網(wǎng)絡(luò)監(jiān)控，在每個網(wǎng)絡(luò)環(huán)境中開發(fā)態(tài)勢感知，并將各種環(huán)境中的不同流量關(guān)聯(lián)起來，進(jìn)行分析和威脅檢測。	通過基于異常的網(wǎng)絡(luò)檢測能力，在所有環(huán)境中開發(fā)態(tài)勢感知，并將多來源的監(jiān)測信息進(jìn)行關(guān)聯(lián)以進(jìn)行分析，并采用自動化流程進(jìn)行強(qiáng)大的威脅搜索。	在啟用企業(yè)范圍態(tài)勢感知和監(jiān)控能力的同時，維持對所有網(wǎng)絡(luò)和環(huán)境中的通信可見性，并自動對所有檢測源的監(jiān)測信息進(jìn)行關(guān)聯(lián)。
自動化與編排	使用手動流程來管理網(wǎng)絡(luò)、環(huán)境的配置和資源生命周期，定期整合策略要求和態(tài)勢感知。	使用自動化方法來管理某些網(wǎng)絡(luò)、環(huán)境的配置和資源生命周期，并確保所有資源都基于策略和監(jiān)測數(shù)據(jù)定義了生命周期。	使用自動化的變更管理方法（如CI/CD）來管理所有網(wǎng)絡(luò)、環(huán)境的配置和資源生命周期，能夠?qū)Ω兄降娘L(fēng)險進(jìn)行響應(yīng)、執(zhí)行策略和保護(hù)。	網(wǎng)絡(luò)和環(huán)境由基礎(chǔ)設(shè)施即代碼來定義，并實現(xiàn)自動化的變更管理方法，包括自動的初始化和過期失效，以應(yīng)對不斷變化的需求。
治理	通過以邊界保護(hù)為重點的方法，實施靜態(tài)的網(wǎng)絡(luò)策略（訪問、協(xié)議、分段、警告和修復(fù)）。	針對每個網(wǎng)絡(luò)分段和資源制定并實施相應(yīng)的策略，并適當(dāng)沿用企業(yè)級策略規(guī)則。	在實施個性化策略時引入了自動化，促進(jìn)從關(guān)注邊界的保護(hù)向未來過渡。	實施企業(yè)范圍的網(wǎng)絡(luò)策略，使基于應(yīng)用和用戶工作流的策略定制、局部控制、動態(tài)更新和安全外連成為可能。

         

5.4 應(yīng)用和工作負(fù)載  

應(yīng)用和工作負(fù)載是指在私有化環(huán)境、移動設(shè)備和云環(huán)境中運(yùn)行的系統(tǒng)、計算機(jī)程序和服務(wù)。

各機(jī)構(gòu)應(yīng)該管理和保護(hù)其部署的應(yīng)用程序，并確保安全的應(yīng)用程序交付。精細(xì)化訪問控制和集成的威脅防護(hù)可以提供增強(qiáng)的態(tài)勢感知，并減輕應(yīng)用程序特定的威脅。根據(jù)OMB M-22-09的規(guī)定，各機(jī)構(gòu)應(yīng)逐漸使已授權(quán)用戶能夠在公共網(wǎng)絡(luò)上訪問應(yīng)用程序。在可能的情況下，各機(jī)構(gòu)應(yīng)采用基于DevSecOps和CI/CD過程的最佳實踐，包括使用非可變工作負(fù)載。各機(jī)構(gòu)應(yīng)該探索一些新的選擇，將運(yùn)營重點從認(rèn)證邊界和更新ATO（Authorization to Operate），逐漸轉(zhuǎn)向?qū)?yīng)用程序自身的支持，使其無論是從內(nèi)部訪問，還是從外部訪問都具有相同的安全性。

表4列出了零信任架構(gòu)中“應(yīng)用與工作負(fù)載”的相關(guān)功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

表4 “應(yīng)用與工作負(fù)載”支柱

功能	傳統(tǒng)階段	初始階段	高級階段	最佳階段
應(yīng)用訪問（原訪問授權(quán)）	主要基于靜態(tài)屬性對應(yīng)用訪問實施本地授權(quán)。	采用上下文信息（如身份、設(shè)備合規(guī)性和/或其他屬性）實施對應(yīng)用的每個訪問請求進(jìn)行授權(quán)，并設(shè)置授權(quán)的過期時間。	使用擴(kuò)展的上下文信息自動化應(yīng)用程序的訪問決策，并依據(jù)最小特權(quán)原則設(shè)置相應(yīng)的過期條件。	對應(yīng)用程序?qū)嵤┏掷m(xù)的訪問授權(quán)，并引入實時的風(fēng)險分析和因素，如行為/使用模式等。
應(yīng)用威脅保護(hù)（原威脅保護(hù)）	僅實現(xiàn)了威脅保護(hù)與應(yīng)用工作流的少量集成，能針對已知威脅提供一般性防護(hù)。	將威脅保護(hù)集成到關(guān)鍵業(yè)務(wù)應(yīng)用的工作流中，能針對已知威脅和一些特定應(yīng)用的威脅提供保護(hù)。	將威脅保護(hù)集成到所有應(yīng)用的工作流中，保護(hù)某些特定于應(yīng)用程序和有針對性的威脅。	將高級威脅保護(hù)集成到所有應(yīng)用工作流中，提供實時可見性和內(nèi)容感知保護(hù)，以應(yīng)對特定于應(yīng)用程序的復(fù)雜攻擊。
可訪問應(yīng)用（原可訪問性）	關(guān)鍵應(yīng)用僅在私有網(wǎng)絡(luò)和帶監(jiān)控的安全公共網(wǎng)絡(luò)連接（例如VPN）上可用。	為了滿足需要，通過代理連接的方式，將部分適用的關(guān)鍵任務(wù)應(yīng)用提供給授權(quán)用戶在開放的公共網(wǎng)絡(luò)中使用。	根據(jù)需要，把大部分適用的關(guān)鍵任務(wù)應(yīng)用通過開放的公共網(wǎng)絡(luò)連接提供給授權(quán)用戶使用。	根據(jù)需要，把所有適用的應(yīng)用通過開放的公共網(wǎng)絡(luò)提供給授權(quán)用戶和設(shè)備使用。
開發(fā)和部署工作流（新增）	使用非正式的開發(fā)、測試和生產(chǎn)環(huán)境，缺乏健全的代碼部署機(jī)制。	采用具備規(guī)范的代碼部署機(jī)制的基礎(chǔ)架構(gòu)來支持開發(fā)、測試和生產(chǎn)環(huán)境（包括自動化），通過CI/CD流水線和必要的訪問控制來，來支持最小特權(quán)原則。	由不同團(tuán)隊完成開發(fā)、安全和運(yùn)營，并取消開發(fā)人員在代碼部署時對生產(chǎn)環(huán)境的訪問權(quán)限。	在可行的情況下充分利用非可變工作負(fù)載，更改只能通過重新部署生效，并取消管理員對部署環(huán)境的訪問權(quán)限，以支持自動化的代碼部署流程。
應(yīng)用安全測試（原應(yīng)用安全）	在部署之前進(jìn)行應(yīng)用安全測試，主要通過手動測試方法實施。	在應(yīng)用部署前的安全測試中，使用靜態(tài)和動態(tài)（即應(yīng)用程序正在執(zhí)行）測試方法，包括手動的專家分析。	將應(yīng)用安全測試整合到應(yīng)用程序開發(fā)和部署流程中，包括使用周期性的動態(tài)測試方法。	在企業(yè)軟件開發(fā)生命周期中全面整合應(yīng)用程序安全測試，在已部署應(yīng)用程序中進(jìn)行例行自動化測試。
可見性與分析	對關(guān)鍵業(yè)務(wù)應(yīng)用進(jìn)行了一些性能和安全監(jiān)控，但聚合和分析能力有限。	自動采集應(yīng)用信息（例如狀態(tài)、健康度和性能）和安全監(jiān)控，以改進(jìn)日志收集、聚合和分析。	通過啟發(fā)式技術(shù)，自動化地對大部分應(yīng)用程序進(jìn)行信息采集和安全監(jiān)控，以識別應(yīng)用程序特有的和企業(yè)整體的趨勢，并逐步完善流程以填補(bǔ)可見性中存在的短板。	在所有應(yīng)用程序上執(zhí)行持續(xù)、動態(tài)的監(jiān)控，以保持企業(yè)范圍內(nèi)全面的可見性。
自動化與編排	通過手動方式，在應(yīng)用資源分配階段，設(shè)立靜態(tài)的應(yīng)用托管位置和訪問權(quán)限，并進(jìn)行有限維護(hù)和審查。	定期修改應(yīng)用配置（包括位置和訪問權(quán)限），以滿足相關(guān)的安全和性能目標(biāo)。	自動處理應(yīng)用程序配置，以應(yīng)對運(yùn)營和環(huán)境變化。	自動處理應(yīng)用程序配置，以持續(xù)優(yōu)化安全性和性能。
治理	主要依靠手動執(zhí)行策略來實現(xiàn)對應(yīng)用訪問、開發(fā)、部署、軟件資產(chǎn)管理、安全測試和評估（ST＆E）的管理，包括技術(shù)插入、修補(bǔ)漏洞和跟蹤軟件依賴。	根據(jù)任務(wù)需求（例如，軟件物料清單）來自動執(zhí)行策略進(jìn)行規(guī)范，通過自動化方式實現(xiàn)對應(yīng)用程序開發(fā)、部署、軟件資產(chǎn)管理、ST＆E，及技術(shù)插入、打補(bǔ)丁和跟蹤軟件依賴關(guān)系等方面的管理和監(jiān)管。	為應(yīng)用實施分層、定制的企業(yè)范圍內(nèi)的策略，覆蓋開發(fā)和部署生命周期的所有方面，并盡可能利用自動化的策略執(zhí)行。	完全自動化的應(yīng)用開發(fā)和部署策略，包括通過CI/CD流程動態(tài)更新應(yīng)用程序。

         

5.5 數(shù)據(jù)  

數(shù)據(jù)包括所有結(jié)構(gòu)化和非結(jié)構(gòu)化的文件和碎片，它們存在（或曾存在）于部署在本地或虛擬環(huán)境中的系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫、基礎(chǔ)設(shè)施和備份中，包括相關(guān)的元數(shù)據(jù)。

按照聯(lián)邦政府要求，各機(jī)構(gòu)的數(shù)據(jù)應(yīng)該在設(shè)備、應(yīng)用程序和網(wǎng)絡(luò)上得到保護(hù)。各機(jī)構(gòu)應(yīng)該建立數(shù)據(jù)清單，對其進(jìn)行分類和標(biāo)記，在數(shù)據(jù)存儲和傳輸時為其提供保護(hù)，并部署能檢測和阻止數(shù)據(jù)外泄的相關(guān)機(jī)制。各機(jī)構(gòu)應(yīng)該仔細(xì)制定和審查數(shù)據(jù)治理策略，以確保在企業(yè)范圍內(nèi)實施基于數(shù)據(jù)生命周期的安全管理。

表6列出了零信任架構(gòu)中“數(shù)據(jù)”的相關(guān)功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

表5 “數(shù)據(jù)”支柱

功能	傳統(tǒng)階段	初始階段	高級階段	最佳階段
數(shù)據(jù)清單管理	人工識別部分?jǐn)?shù)據(jù)（例如，關(guān)鍵業(yè)務(wù)數(shù)據(jù)），并為其建立清單。	采用自動化的數(shù)據(jù)清單流程，覆蓋本地和云環(huán)境中的大部分?jǐn)?shù)據(jù)，并引入防止數(shù)據(jù)丟失的保護(hù)措施。	在企業(yè)范圍內(nèi)自動建立數(shù)據(jù)清單和跟蹤，涵蓋所有適用的機(jī)構(gòu)數(shù)據(jù)，并采用基于靜態(tài)屬性和/或標(biāo)簽的數(shù)據(jù)防泄漏策略。	持續(xù)維護(hù)所有適用數(shù)據(jù)的清單，并采用強(qiáng)大的數(shù)據(jù)防泄漏策略，動態(tài)阻止可疑的數(shù)據(jù)泄露。
數(shù)據(jù)分類（新增）	采用了有限的、非正式的數(shù)據(jù)分類。	實現(xiàn)了數(shù)據(jù)分類策略，具備明確的標(biāo)簽定義和手動執(zhí)行機(jī)制。	以一致、分級、有針對性的方式自動化了一些數(shù)據(jù)分類和標(biāo)記過程，并使用簡單、結(jié)構(gòu)化的格式和定期審查來管理。	通過強(qiáng)大的技術(shù)和機(jī)制，在企業(yè)范圍內(nèi)采用了細(xì)粒度、結(jié)構(gòu)化格式自動對所有數(shù)據(jù)執(zhí)行分類和標(biāo)記。
數(shù)據(jù)可用性（新增）	主要由本地數(shù)據(jù)庫提供數(shù)據(jù)，同時提供了一些異地備份。	可以從冗余、高可用的數(shù)據(jù)存儲庫（例如，云）中提供一些數(shù)據(jù)，并為本地數(shù)據(jù)維護(hù)了異地備份。	主要從冗余、高可用的數(shù)據(jù)存儲庫中提供數(shù)據(jù)，并確?？梢栽L問歷史數(shù)據(jù)。	使用動態(tài)方法根據(jù)用戶和實體的需求調(diào)整優(yōu)化數(shù)據(jù)可用性，包括歷史數(shù)據(jù)。
數(shù)據(jù)訪問	通過靜態(tài)訪問控制，管理用戶和實體的數(shù)據(jù)訪問（例如，讀取、寫入、復(fù)制、授權(quán)他人訪問等）權(quán)限。	開始部署自動化的數(shù)據(jù)訪問控制，在企業(yè)范圍內(nèi)引入最小特權(quán)原則。	在自動化數(shù)據(jù)訪問控制中，考慮采用各種屬性，如身份、設(shè)備風(fēng)險、應(yīng)用程序、數(shù)據(jù)類別等，并在適當(dāng)情況下進(jìn)行時間限制。	在企業(yè)范圍內(nèi)自動執(zhí)行即時（just-in-time）和恰到好處（just-enough）的數(shù)據(jù)訪問控制，并持續(xù)審查權(quán)限。
數(shù)據(jù)加密	只對必要的數(shù)據(jù)進(jìn)行最低限度的加密，包括數(shù)據(jù)存儲和傳輸過程中的加密，并依賴手動或臨時流程來管理和保護(hù)加密密鑰。	對所有傳輸中的數(shù)據(jù)進(jìn)行了加密，可行的話，還對數(shù)據(jù)存儲（例如，關(guān)鍵業(yè)務(wù)數(shù)據(jù)和存儲在外部環(huán)境中的數(shù)據(jù)）進(jìn)行了加密，并開始規(guī)范密鑰管理策略和強(qiáng)化加密密鑰。	盡最大可能對企業(yè)范圍內(nèi)的所有存儲、傳輸數(shù)據(jù)進(jìn)行加密，開始采用密碼敏捷性，并保護(hù)加密密鑰（即，不使用硬編碼密鑰，并定期輪換）。	在必要時，對使用中的數(shù)據(jù)進(jìn)行加密，在企業(yè)范圍內(nèi)執(zhí)行最小權(quán)限原則以進(jìn)行安全密鑰管理，并盡可能使用最新的NIST標(biāo)準(zhǔn)和密碼敏捷性來應(yīng)用加密技術(shù)。
可見性與分析	對數(shù)據(jù)位置、訪問和使用的可見性非常有限，主要依賴手動流程進(jìn)行分析。	通過數(shù)據(jù)清單管理、分類、加密和訪問嘗試來獲得可見性，還結(jié)合了一些自動化分析和相關(guān)性分析。	采用自動化分析和相關(guān)性分析，在企業(yè)范圍內(nèi)維護(hù)更全面的數(shù)據(jù)可見性，并開始采用預(yù)測分析。	能夠全面跟蹤數(shù)據(jù)生命周期，具備強(qiáng)大的分析能力，包括預(yù)測分析，支持全面的數(shù)據(jù)視圖和持續(xù)的安全狀況評估。
自動化與編排	通過手動和非正式的流程實施數(shù)據(jù)的生命周期管理和安全策略（例如，訪問、使用、存儲、加密、配置、保護(hù)、備份、分類、清洗）。	使用了一些自動流程來實施數(shù)據(jù)的生命周期管理和安全策略。	在企業(yè)范圍內(nèi)，以一致、分級、有針對性的自動化方式對大部分?jǐn)?shù)據(jù)實施數(shù)據(jù)的生命周期掛你和安全策略。	在企業(yè)范圍內(nèi)，盡可能自動化地實施所有數(shù)據(jù)的生命周期管理和安全策略。
治理	手動實施非正式的數(shù)據(jù)治理策略(例如，保護(hù)、分類、訪問、清單化、存儲、恢復(fù)、清除等）。	定義了高級的數(shù)據(jù)治理策略，主要依賴手動、分段實施。	開始在整個企業(yè)范圍內(nèi)集成數(shù)據(jù)生命周期的策略執(zhí)行機(jī)制，實現(xiàn)數(shù)據(jù)治理策略的統(tǒng)一定義。	數(shù)據(jù)的生命周期策略盡可能統(tǒng)一一致，并在整個企業(yè)范圍內(nèi)動態(tài)執(zhí)行。

         

5.6 橫跨能力  

可見性與分析、自動化與編排、治理這3種橫跨能力為推進(jìn)5個能力支柱的集成提供了機(jī)會。各機(jī)構(gòu)在發(fā)展某一支柱的成熟度時，可以獨立地提高它的每個功能和能力?？梢娦耘c分析支持全面的可見性，為策略決策提供信息，并有利于相關(guān)響應(yīng)活動的開展。自動化與編排利用這些可見性，通過強(qiáng)大而簡單的操作，處理各種安全事件并及時響應(yīng)。治理使各機(jī)構(gòu)能夠管理和監(jiān)測其監(jiān)管、法律、環(huán)境、聯(lián)邦和運(yùn)營需求，以支持基于風(fēng)險的決策生成，還可以確保通過采用正確的人員、流程和技術(shù)，實現(xiàn)任務(wù)、風(fēng)險和合規(guī)目標(biāo)的達(dá)成。

表6提供了每種橫跨能力的高級成熟度演進(jìn)情況。

表6 橫跨能力

功能	傳統(tǒng)階段	初始階段	高級階段	最佳階段
可見性與分析	在企業(yè)范圍內(nèi)，手動收集了有限的日志，日志質(zhì)量較差，且僅進(jìn)行了最基本的分析。	開始自動收集和分析關(guān)鍵業(yè)務(wù)的日志和事件，并定期評估可見性方面的短板。	擴(kuò)大了自動化日志和事件的收集范圍內(nèi)（包括虛擬環(huán)境），以進(jìn)行跨多個來源的集中式關(guān)聯(lián)分析分析。	通過對日志和事件的集中、動態(tài)監(jiān)控和高級分析，全面實現(xiàn)企業(yè)范圍內(nèi)的可見性。
自動化與編排	依靠靜態(tài)和手動流程，來編排操作和響應(yīng)活動，自動化程度有限。	開始自動化編排和響應(yīng)活動，以支持關(guān)鍵任務(wù)功能。	在企業(yè)范圍內(nèi)，實現(xiàn)自動化編排和響應(yīng)活動，并利用多源上下文信息來指導(dǎo)策略決策。	編排和響應(yīng)活動能動態(tài)響應(yīng)整個企業(yè)范圍內(nèi)的需求變化和環(huán)境變化。
治理	在整個企業(yè)中以非正式方式實施策略，主要通過手動流程或靜態(tài)技術(shù)執(zhí)行策略。	定義并開始實施適用于整個企業(yè)范圍的策略，但是缺乏自動化，需要手動更新。	實施分層和定制的企業(yè)級策略，并盡可能利用自動化技術(shù)來支持策略執(zhí)行。訪問控制策略的決策利用了來自多個來源的上下文信息。	實施完全自動化的企業(yè)級策略，能通過持續(xù)的策略執(zhí)行和動態(tài)更新，實現(xiàn)定制化的本地控制。

6.參考  

在制定和修訂本指南時，CISA參考了聯(lián)邦政府發(fā)布的以下ZTA材料。

（1）M-22-09（管理和預(yù)算辦公室）

該備忘錄提出了一個聯(lián)邦政府的零信任架構(gòu)戰(zhàn)略，要求各機(jī)構(gòu)在2024財年結(jié)束之前滿足特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo)，以增強(qiáng)政府在抵御日益復(fù)雜和持久的威脅行動方面的能力。該戰(zhàn)略包含了以下部分，強(qiáng)調(diào)了企業(yè)身份驗證和訪問控制（包括MFA），要求在可行的情況下盡早加密所有網(wǎng)絡(luò)流量，為建立自動化的安全訪問規(guī)則基礎(chǔ)提供支持，并將每個應(yīng)用程序視為可從互聯(lián)網(wǎng)訪問。

（2）SP 800-207（國家標(biāo)準(zhǔn)與技術(shù)研究院特別出版物）

NIST SP 800-207為企業(yè)安全架構(gòu)師描述了零信任概念，以幫助理解用于民用非機(jī)密系統(tǒng)的零信任架構(gòu)，并提供了在企業(yè)環(huán)境實施零信任遷移的路線圖。SP 800-207是多個聯(lián)邦機(jī)構(gòu)之間合作的成果，并由聯(lián)邦首席信息官委員會監(jiān)督。NIST正在開發(fā)并發(fā)布其他的ZTA實施指南。

（3）零信任參考架構(gòu)（國防部）

國防部（DoD）的零信任參考架構(gòu)描述了數(shù)據(jù)為中心的企業(yè)標(biāo)準(zhǔn)和能力，可用于成功推進(jìn)國防信息網(wǎng)絡(luò)（DoDIN）向互操作的零信任終狀態(tài)的發(fā)展。

（4）擁抱零信任安全模型（國家安全局）

NSA在擁抱零信任安全模型中，解釋了零信任安全模型的好處和實施挑戰(zhàn)，討論了建立詳細(xì)策略、投入必要資源、成熟實施、全面承諾零信任模型以達(dá)到預(yù)期效果的重要性。該文件的建議將幫助考慮采用這種現(xiàn)代網(wǎng)絡(luò)安全模型的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者、企業(yè)網(wǎng)絡(luò)所有者和管理員。

NSA的《擁抱零信任安全模型》解釋了零信任安全模型的優(yōu)勢和實施挑戰(zhàn)，強(qiáng)調(diào)了制定詳細(xì)策略、投入必要資源、改進(jìn)實現(xiàn)的成熟度以及全面投入零信任模型對實現(xiàn)預(yù)期結(jié)果的重要性。該文檔對考慮采用零信任模型的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者、企業(yè)網(wǎng)絡(luò)所有者和管理員將非常有幫助。

 

7.CISA資源  

CISA計劃在零信任的各個支柱領(lǐng)域提供網(wǎng)絡(luò)安全支持和指導(dǎo)，包括將這些支柱集成到ZTA中。以下文件是各機(jī)構(gòu)遷移到零信任所需的有用資源。隨著機(jī)構(gòu)開發(fā)ZTA，CISA將繼續(xù)審查和完善這些資源。

（1）持續(xù)診斷和緩解

CDM指南可在CDM官網(wǎng)（https://www.cisa.gov/cdm）上找到。

（2）高價值資產(chǎn)

HVA指南可在CISA官網(wǎng)（https://www.cisa.gov/hva-pmo）上找到。

High Value Asset Control Overlay, Version 2.0, January 2021

High Value Asset Control Overlay FAQ, Version 1.0, January 2018

Securing High Value Assets, July 2018

CISA Insights: Securing High Value Assets, September 2019

Binding Operational Directive 18-02—Securing High Value Assets, May 2018

（3）國家網(wǎng)絡(luò)安全保護(hù)系統(tǒng)（National Cybersecurity Protection System）

NCPS 指南可以在NCPS 官網(wǎng)（https://www.cisa.gov/publication/national-cybersecurity-protection-system-documents）上找到。

National Cybersecurity Protection System (NCPS) Cloud Interface Reference Architecture

Volume 1: General Guidance, Version 1.4, May 2021

National Cybersecurity Protection System (NCPS) Cloud Interface Reference Architecture

Volume 2: Reporting Pattern Catalog DRAFT, Version 1.1, May 2021

（4）網(wǎng)絡(luò)安全共享服務(wù)提供（原質(zhì)量服務(wù)管理辦公室）

Quality Services Management Office Fact Sheet

Centralized Mission Support Capabilities for the Federal Government (M-19-16), April 2019

（5）可信互聯(lián)連接

TIC指南可以在 TIC官方庫（https://www.cisa.gov/publication/tic-30-core-guidance-documents）中找到。

Trusted Internet Connections 3.0 Program Guidebook, Version 1.1, July 2021

Trusted Internet Connections 3.0 Reference Architecture, Version 1.1, July 2021

Trusted Internet Connections 3.0 Security Capabilities Catalog, Version 2.0, October 2021

Trusted Internet Connections 3.0 Traditional TIC Use Case, Version 1.0, April 2021

Trusted Internet Connections 3.0 Branch Office Use Case, Version 1.0, April 2021

Trusted Internet Connections 3.0 Remote User Use Case, Version 1.0, October 2021

Trusted Internet Connections 3.0 Cloud Use Case, DRAFT, June 2022

（6）其他資源

Cloud Security Technical Reference Architecture

Applying Zero Trust Principles to Enterprise Mobility

Secure Cloud Business Applications (SCuBA) Technical Reference Architecture (TRA) (Draft)

Extensible Visibility Reference Framework (eVRF) Guidebook (Draft)

Multifactor Authentication

Applying Zero Trust Principles to Enterprise Mobility

Cyber Resilience Review Assessments

govCAR Factsheet

Cybersummit 2021 Session Day 2: Zero Trust 



 

---

詳情請關(guān)注安在新媒體，一家信息安全領(lǐng)域媒體，以“做有內(nèi)涵的泛黑客媒體”為方向，線上通過自媒體，采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò)，通過介紹他們的經(jīng)歷、感悟、對行業(yè)的看法等來剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò)；致力于建立完整的信息發(fā)布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

 

官網(wǎng)：http://anzerclub.com/

市場部聯(lián)系（廠商）：徐倩（微信：Madeline_Sue）

市場部聯(lián)系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）