《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > NIST《實(shí)現(xiàn)零信任架構(gòu)》正式版發(fā)布

NIST《實(shí)現(xiàn)零信任架構(gòu)》正式版發(fā)布

2020-11-17
來源:互聯(lián)網(wǎng)安全內(nèi)參

  NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)與其下屬單位NCCoE(國家網(wǎng)絡(luò)安全卓越中心)一唱一和:NIST推零信任標(biāo)準(zhǔn),,NCCoE搞零信任實(shí)踐,。而他們背后的推動(dòng)者,,都是聯(lián)邦首席信息官(CIO)委員會(huì)。

  根據(jù)聯(lián)邦首席信息官(CIO)委員會(huì)的要求,,NIST于2020年8月已經(jīng)發(fā)布了NIST SP 800-207《零信任架構(gòu)》標(biāo)準(zhǔn)正式版。而NCCoE于2020年10月21日也發(fā)布了《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說明書(正式版),。

  NCCoE《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目瞄準(zhǔn)的是零信任架構(gòu)的落地實(shí)踐,,希望實(shí)現(xiàn)安全性與用戶體驗(yàn)的兼得。NCCoE零信任項(xiàng)目旨在使用商用產(chǎn)品,,建立一個(gè)與NIST《零信任架構(gòu)》標(biāo)準(zhǔn)中的概念和原則相一致的零信任架構(gòu)的實(shí)現(xiàn)示例,。本項(xiàng)目的范圍是在通用企業(yè)IT基礎(chǔ)設(shè)施中實(shí)施零信任架構(gòu)。

  注意到,,NCCoE曾于2020年3月發(fā)布過《實(shí)現(xiàn)零信任架構(gòu)(草案)》,。那么,這次發(fā)布的正式版與草案版有多大的區(qū)別呢,?筆者經(jīng)過大致對(duì)比,,結(jié)論是:最大差異是零信任實(shí)踐項(xiàng)目架構(gòu)圖,圖中以4大功能組件(數(shù)據(jù)安全,、端點(diǎn)安全,、身份與訪問管理(IAM)、安全分析)代替了原來的8大支撐性系統(tǒng),;但本質(zhì)上沒有顯著差異,。

  最值得期待的是,NCCoE零信任實(shí)踐項(xiàng)目將產(chǎn)生一份可公開獲取的NIST網(wǎng)絡(luò)安全實(shí)踐指南,。該指南將介紹該實(shí)踐項(xiàng)目的詳細(xì)實(shí)施步驟,。

  《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說明書(正式版)下載地址:

  https://csrc.nist.gov/publications/detail/white-paper/2020/10/21/implementing-a-zero-trust-architecture/final

微信圖片_20201117133502.jpg

  01

  項(xiàng)目說明書背景

  關(guān)于NCCoE《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說明書的背景,已在引言中簡(jiǎn)單說明,。若需更多細(xì)節(jié),,請(qǐng)參考2020年3月NIST NCCoE發(fā)布《實(shí)現(xiàn)零信任架構(gòu)(草案)》項(xiàng)目說明書(中文介紹)。

  NCCoE(國家網(wǎng)絡(luò)安全卓越中心)以實(shí)踐項(xiàng)目著稱,,而且每一個(gè)實(shí)踐項(xiàng)目會(huì)有一份項(xiàng)目說明書(在項(xiàng)目開始階段)和一份實(shí)踐指南(在項(xiàng)目結(jié)束之后),。本次發(fā)布的是項(xiàng)目說明書。

  02

  主要區(qū)別:項(xiàng)目架構(gòu)圖

  筆者逐段落對(duì)比了兩個(gè)版本的《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說明書,,發(fā)現(xiàn)最大的差別在于下面的項(xiàng)目架構(gòu)圖:

微信圖片_20201117133533.jpg

  圖1-NCCoE 草案版架構(gòu)(2020年3月發(fā)布)

微信圖片_20201117133602.jpg

  圖2-NCCoE 正式版架構(gòu)(2020年10月發(fā)布)

  功能組件包括:

  數(shù)據(jù)安全組件:包括企業(yè)為保護(hù)其信息而開發(fā)的所有數(shù)據(jù)訪問策略和規(guī)則,,以及保護(hù)靜態(tài)和傳輸中的數(shù)據(jù)的方法。

  端點(diǎn)安全組件:包括保護(hù)端點(diǎn)(例如服務(wù)器,、臺(tái)式機(jī),、移動(dòng)電話,、物聯(lián)網(wǎng)設(shè)備)免受威脅和攻擊的策略、技術(shù)和治理,,以及保護(hù)企業(yè)免受來自托管和非托管設(shè)備的威脅的策略,、技術(shù)和治理活動(dòng)。

  身份和訪問管理(IAM)組件:包括用于創(chuàng)建,、存儲(chǔ),、管理企業(yè)用戶(即主體)帳戶和身份記錄及其對(duì)企業(yè)資源的訪問的策略、技術(shù)和治理,。

  安全分析組件:包含IT企業(yè)的所有威脅情報(bào)源和流量/活動(dòng)監(jiān)控,。它收集有關(guān)企業(yè)資產(chǎn)當(dāng)前狀態(tài)的安全性和行為分析,并持續(xù)監(jiān)控這些資產(chǎn),,以積極應(yīng)對(duì)威脅或惡意活動(dòng),。這些信息可以為策略引擎提供信息,以幫助做出動(dòng)態(tài)訪問決策,。

  03

  差異分析

  對(duì)于圖1(草案版架構(gòu))的設(shè)計(jì)初衷,,比較好理解。只要看看NIST標(biāo)準(zhǔn)中零信任架構(gòu)圖就明白了,,如下圖所示:

微信圖片_20201117133627.jpg

  圖3-NIST正式版零信任架構(gòu)(2020年8月發(fā)布)

  比較圖1(草案版架構(gòu))和圖3(NIST零信任架構(gòu))可知,,兩個(gè)架構(gòu)模型幾乎是完全一致的,架構(gòu)圖中兩側(cè)的8個(gè)支撐性組件(CDM系統(tǒng),、行業(yè)合規(guī)系統(tǒng),、……、SIEM系統(tǒng))也是完全相同,。

  但是,,圖2(NCCoE 正式版架構(gòu))與圖1(草案版架構(gòu))相比,則簡(jiǎn)化了不少:

  1)8個(gè)支撐性系統(tǒng)幾乎都不見了,,只留下4個(gè)功能組件:數(shù)據(jù)安全,、端點(diǎn)安全、身份與訪問管理(IAM),、安全分析,。

  2)控制平面和數(shù)據(jù)平面也不再劃分了。

  筆者沒有找到官方解釋,,只好自己揣測(cè):

  1)直覺告訴我們:原來的8個(gè)支撐性系統(tǒng),,看起來有點(diǎn)多。為完整性起見,,放在NIST標(biāo)準(zhǔn)中倒是無所謂。但要在NCCoE的實(shí)踐項(xiàng)目中實(shí)施,,也許就太多了,,會(huì)增加項(xiàng)目實(shí)施過程的復(fù)雜性,,可能會(huì)影響到項(xiàng)目進(jìn)展。

  2)理性分析一下:通過圖2中4大組件的功能描述,,看看它們對(duì)圖1中8大支撐性系統(tǒng)的覆蓋率:

  數(shù)據(jù)安全組件:覆蓋了圖1中的數(shù)據(jù)安全策略,;

  端點(diǎn)安全組件:大致覆蓋圖1中的CDM系統(tǒng);

  身份與訪問管理(IAM)組件:覆蓋了圖1中的PKI和身份管理,;

  安全分析組件:覆蓋了圖1中的威脅情報(bào),、SIEM、活動(dòng)日志,。

  這么看來,,圖2中的4個(gè)組件已經(jīng)覆蓋了圖1中的7個(gè)支撐性系統(tǒng)了。而唯一未能覆蓋的行業(yè)合規(guī)系統(tǒng),,主要是指企業(yè)為滿足監(jiān)管制度而制定的所有政策規(guī)則,。這需要結(jié)合具體行業(yè)情況而定,也確實(shí)沒必要專門反映在項(xiàng)目實(shí)施圖中,。

  換個(gè)角度想想:正式版的4大功能組件(數(shù)據(jù)安全,、端點(diǎn)安全、身份與訪問管理(IAM),、安全分析),,是不是比草案版的8大支撐性系統(tǒng)(CDM、行業(yè)合規(guī),、威脅情報(bào),、活動(dòng)日志、數(shù)據(jù)訪問策略,、PKI,、身份管理、SIEM)要更加親切,、郎朗上口呢,!

  對(duì)于另一問題:為什么控制平面和數(shù)據(jù)平面不再劃分。筆者搜索了一下兩個(gè)版本的說明書,,發(fā)現(xiàn)除了這兩張架構(gòu)圖外,,兩個(gè)版本的說明書中都只提到唯一一次“平面”(plane)問題:即在安全問題方面需要關(guān)注“零信任控制平面的失陷”。所以,,筆者推測(cè):只是作者覺得沒有必要在實(shí)踐項(xiàng)目架構(gòu)圖中刻意表現(xiàn)平面分離的原則,,而無需過多的解讀。

  最后,,圖2(正式版架構(gòu))比圖1(草案版架構(gòu))多了一個(gè)有用的細(xì)節(jié):圖2中的功能組件的箭頭直接指向策略引擎(PE)組件(非常精確),,而圖1中的支撐性系統(tǒng)的箭頭則指向整個(gè)核心組件框(相當(dāng)粗糙)。

  04

  最終結(jié)論

  盡管正式版與草案版的項(xiàng)目架構(gòu)圖看似發(fā)生了很大變化,但本質(zhì)上也沒有多大區(qū)別,。

  05

  我們的期待

  我們還是更加期待,,NCCoE零信任實(shí)踐項(xiàng)目將產(chǎn)生的那份可公開獲取的NIST網(wǎng)絡(luò)安全實(shí)踐指南。因?yàn)樗鼘⒔榻B該實(shí)踐項(xiàng)目的詳細(xì)實(shí)施步驟,,會(huì)比目前這個(gè)項(xiàng)目說明書有更強(qiáng)的落地指導(dǎo)意義,。

  NCCoE以實(shí)踐項(xiàng)目著稱,而且每一個(gè)實(shí)踐項(xiàng)目都計(jì)劃產(chǎn)生一份可免費(fèi)公開獲取的NIST網(wǎng)絡(luò)安全實(shí)踐指南(NIST Cybersecurity Practice Guide),,即SP 1800系列指南,。這些實(shí)踐指南正是筆者的關(guān)切所在。

  NCCoE的實(shí)踐項(xiàng)目包含兩種類型:一是積木(Building Blocks),;二是用例(Use Cases),。積木是技術(shù)領(lǐng)域,用例是行業(yè)領(lǐng)域,。兩者分別包含了十幾個(gè)具體項(xiàng)目,。對(duì)于這些已經(jīng)完成或正在進(jìn)行的NCCoE實(shí)踐項(xiàng)目,可以參考《美國網(wǎng)絡(luò)安全 | NIST網(wǎng)絡(luò)安全實(shí)踐指南系列》,。

  06

  美國官方權(quán)威參考資料

  美國官方發(fā)布的權(quán)威零信任參考資料(均可鏈接至譯文):

  2019年4月:ACT-IAC(美國技術(shù)委員會(huì)-行業(yè)咨詢委員會(huì))發(fā)布《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》,;

  2019年7月:DIB(國防創(chuàng)新委員會(huì))發(fā)布《零信任之路》;

  2019年9月:NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)(草案)》,;

  2019年10月:DIB(國防創(chuàng)新委員會(huì))發(fā)布《零信任架構(gòu)(ZTA)建議》,;

  2020年2月:NIST發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)(第2版草案)》;

  2020年3月:NIST NCCoE發(fā)布《實(shí)現(xiàn)零信任架構(gòu)(草案)》項(xiàng)目說明書,;

  2020年8月:NIST發(fā)布《零信任架構(gòu)》正式版,;

  2020年10月:NIST NCCoE發(fā)布《實(shí)現(xiàn)零信任架構(gòu)》(正式版)項(xiàng)目說明書,即本篇,。



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。