NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院)與其下屬單位NCCoE(國(guó)家網(wǎng)絡(luò)安全卓越中心)一唱一和:NIST推零信任標(biāo)準(zhǔn),NCCoE搞零信任實(shí)踐,。而他們背后的推動(dòng)者,,都是聯(lián)邦首席信息官(CIO)委員會(huì)。
根據(jù)聯(lián)邦首席信息官(CIO)委員會(huì)的要求,,NIST于2020年8月已經(jīng)發(fā)布了NIST SP 800-207《零信任架構(gòu)》標(biāo)準(zhǔn)正式版,。而NCCoE于2020年10月21日也發(fā)布了《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說(shuō)明書(正式版)。
NCCoE《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目瞄準(zhǔn)的是零信任架構(gòu)的落地實(shí)踐,,希望實(shí)現(xiàn)安全性與用戶體驗(yàn)的兼得,。NCCoE零信任項(xiàng)目旨在使用商用產(chǎn)品,建立一個(gè)與NIST《零信任架構(gòu)》標(biāo)準(zhǔn)中的概念和原則相一致的零信任架構(gòu)的實(shí)現(xiàn)示例。本項(xiàng)目的范圍是在通用企業(yè)IT基礎(chǔ)設(shè)施中實(shí)施零信任架構(gòu),。
注意到,,NCCoE曾于2020年3月發(fā)布過(guò)《實(shí)現(xiàn)零信任架構(gòu)(草案)》。那么,,這次發(fā)布的正式版與草案版有多大的區(qū)別呢,?筆者經(jīng)過(guò)大致對(duì)比,結(jié)論是:最大差異是零信任實(shí)踐項(xiàng)目架構(gòu)圖,,圖中以4大功能組件(數(shù)據(jù)安全,、端點(diǎn)安全、身份與訪問(wèn)管理(IAM),、安全分析)代替了原來(lái)的8大支撐性系統(tǒng),;但本質(zhì)上沒(méi)有顯著差異。
最值得期待的是,,NCCoE零信任實(shí)踐項(xiàng)目將產(chǎn)生一份可公開獲取的NIST網(wǎng)絡(luò)安全實(shí)踐指南,。該指南將介紹該實(shí)踐項(xiàng)目的詳細(xì)實(shí)施步驟。
《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說(shuō)明書(正式版)下載地址:
01
項(xiàng)目說(shuō)明書背景
關(guān)于NCCoE《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說(shuō)明書的背景,,已在引言中簡(jiǎn)單說(shuō)明,。若需更多細(xì)節(jié),請(qǐng)參考2020年3月NIST NCCoE發(fā)布《實(shí)現(xiàn)零信任架構(gòu)(草案)》項(xiàng)目說(shuō)明書(中文介紹),。
NCCoE(國(guó)家網(wǎng)絡(luò)安全卓越中心)以實(shí)踐項(xiàng)目著稱,,而且每一個(gè)實(shí)踐項(xiàng)目會(huì)有一份項(xiàng)目說(shuō)明書(在項(xiàng)目開始階段)和一份實(shí)踐指南(在項(xiàng)目結(jié)束之后)。本次發(fā)布的是項(xiàng)目說(shuō)明書,。
02
主要區(qū)別:項(xiàng)目架構(gòu)圖
筆者逐段落對(duì)比了兩個(gè)版本的《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說(shuō)明書,,發(fā)現(xiàn)最大的差別在于下面的項(xiàng)目架構(gòu)圖:
圖1-NCCoE 草案版架構(gòu)(2020年3月發(fā)布)
圖2-NCCoE 正式版架構(gòu)(2020年10月發(fā)布)
功能組件包括:
數(shù)據(jù)安全組件:包括企業(yè)為保護(hù)其信息而開發(fā)的所有數(shù)據(jù)訪問(wèn)策略和規(guī)則,以及保護(hù)靜態(tài)和傳輸中的數(shù)據(jù)的方法,。
端點(diǎn)安全組件:包括保護(hù)端點(diǎn)(例如服務(wù)器,、臺(tái)式機(jī)、移動(dòng)電話,、物聯(lián)網(wǎng)設(shè)備)免受威脅和攻擊的策略,、技術(shù)和治理,以及保護(hù)企業(yè)免受來(lái)自托管和非托管設(shè)備的威脅的策略,、技術(shù)和治理活動(dòng),。
身份和訪問(wèn)管理(IAM)組件:包括用于創(chuàng)建、存儲(chǔ),、管理企業(yè)用戶(即主體)帳戶和身份記錄及其對(duì)企業(yè)資源的訪問(wèn)的策略,、技術(shù)和治理。
安全分析組件:包含IT企業(yè)的所有威脅情報(bào)源和流量/活動(dòng)監(jiān)控,。它收集有關(guān)企業(yè)資產(chǎn)當(dāng)前狀態(tài)的安全性和行為分析,,并持續(xù)監(jiān)控這些資產(chǎn),,以積極應(yīng)對(duì)威脅或惡意活動(dòng)。這些信息可以為策略引擎提供信息,,以幫助做出動(dòng)態(tài)訪問(wèn)決策,。
03
差異分析
對(duì)于圖1(草案版架構(gòu))的設(shè)計(jì)初衷,比較好理解,。只要看看NIST標(biāo)準(zhǔn)中零信任架構(gòu)圖就明白了,,如下圖所示:
圖3-NIST正式版零信任架構(gòu)(2020年8月發(fā)布)
比較圖1(草案版架構(gòu))和圖3(NIST零信任架構(gòu))可知,兩個(gè)架構(gòu)模型幾乎是完全一致的,,架構(gòu)圖中兩側(cè)的8個(gè)支撐性組件(CDM系統(tǒng),、行業(yè)合規(guī)系統(tǒng)、……,、SIEM系統(tǒng))也是完全相同,。
但是,圖2(NCCoE 正式版架構(gòu))與圖1(草案版架構(gòu))相比,,則簡(jiǎn)化了不少:
1)8個(gè)支撐性系統(tǒng)幾乎都不見了,,只留下4個(gè)功能組件:數(shù)據(jù)安全、端點(diǎn)安全,、身份與訪問(wèn)管理(IAM),、安全分析。
2)控制平面和數(shù)據(jù)平面也不再劃分了,。
筆者沒(méi)有找到官方解釋,,只好自己揣測(cè):
1)直覺告訴我們:原來(lái)的8個(gè)支撐性系統(tǒng),,看起來(lái)有點(diǎn)多,。為完整性起見,放在NIST標(biāo)準(zhǔn)中倒是無(wú)所謂,。但要在NCCoE的實(shí)踐項(xiàng)目中實(shí)施,,也許就太多了,會(huì)增加項(xiàng)目實(shí)施過(guò)程的復(fù)雜性,,可能會(huì)影響到項(xiàng)目進(jìn)展,。
2)理性分析一下:通過(guò)圖2中4大組件的功能描述,看看它們對(duì)圖1中8大支撐性系統(tǒng)的覆蓋率:
數(shù)據(jù)安全組件:覆蓋了圖1中的數(shù)據(jù)安全策略,;
端點(diǎn)安全組件:大致覆蓋圖1中的CDM系統(tǒng),;
身份與訪問(wèn)管理(IAM)組件:覆蓋了圖1中的PKI和身份管理;
安全分析組件:覆蓋了圖1中的威脅情報(bào),、SIEM,、活動(dòng)日志。
這么看來(lái),,圖2中的4個(gè)組件已經(jīng)覆蓋了圖1中的7個(gè)支撐性系統(tǒng)了,。而唯一未能覆蓋的行業(yè)合規(guī)系統(tǒng),,主要是指企業(yè)為滿足監(jiān)管制度而制定的所有政策規(guī)則。這需要結(jié)合具體行業(yè)情況而定,,也確實(shí)沒(méi)必要專門反映在項(xiàng)目實(shí)施圖中,。
換個(gè)角度想想:正式版的4大功能組件(數(shù)據(jù)安全、端點(diǎn)安全,、身份與訪問(wèn)管理(IAM),、安全分析),是不是比草案版的8大支撐性系統(tǒng)(CDM,、行業(yè)合規(guī),、威脅情報(bào)、活動(dòng)日志,、數(shù)據(jù)訪問(wèn)策略,、PKI、身份管理,、SIEM)要更加親切,、郎朗上口呢!
對(duì)于另一問(wèn)題:為什么控制平面和數(shù)據(jù)平面不再劃分,。筆者搜索了一下兩個(gè)版本的說(shuō)明書,,發(fā)現(xiàn)除了這兩張架構(gòu)圖外,兩個(gè)版本的說(shuō)明書中都只提到唯一一次“平面”(plane)問(wèn)題:即在安全問(wèn)題方面需要關(guān)注“零信任控制平面的失陷”,。所以,,筆者推測(cè):只是作者覺得沒(méi)有必要在實(shí)踐項(xiàng)目架構(gòu)圖中刻意表現(xiàn)平面分離的原則,而無(wú)需過(guò)多的解讀,。
最后,,圖2(正式版架構(gòu))比圖1(草案版架構(gòu))多了一個(gè)有用的細(xì)節(jié):圖2中的功能組件的箭頭直接指向策略引擎(PE)組件(非常精確),而圖1中的支撐性系統(tǒng)的箭頭則指向整個(gè)核心組件框(相當(dāng)粗糙),。
04
最終結(jié)論
盡管正式版與草案版的項(xiàng)目架構(gòu)圖看似發(fā)生了很大變化,,但本質(zhì)上也沒(méi)有多大區(qū)別。
05
我們的期待
我們還是更加期待,,NCCoE零信任實(shí)踐項(xiàng)目將產(chǎn)生的那份可公開獲取的NIST網(wǎng)絡(luò)安全實(shí)踐指南,。因?yàn)樗鼘⒔榻B該實(shí)踐項(xiàng)目的詳細(xì)實(shí)施步驟,會(huì)比目前這個(gè)項(xiàng)目說(shuō)明書有更強(qiáng)的落地指導(dǎo)意義,。
NCCoE以實(shí)踐項(xiàng)目著稱,,而且每一個(gè)實(shí)踐項(xiàng)目都計(jì)劃產(chǎn)生一份可免費(fèi)公開獲取的NIST網(wǎng)絡(luò)安全實(shí)踐指南(NIST Cybersecurity Practice Guide),即SP 1800系列指南,。這些實(shí)踐指南正是筆者的關(guān)切所在,。
NCCoE的實(shí)踐項(xiàng)目包含兩種類型:一是積木(Building Blocks);二是用例(Use Cases),。積木是技術(shù)領(lǐng)域,,用例是行業(yè)領(lǐng)域,。兩者分別包含了十幾個(gè)具體項(xiàng)目。對(duì)于這些已經(jīng)完成或正在進(jìn)行的NCCoE實(shí)踐項(xiàng)目,,可以參考《美國(guó)網(wǎng)絡(luò)安全 | NIST網(wǎng)絡(luò)安全實(shí)踐指南系列》,。
06
美國(guó)官方權(quán)威參考資料
美國(guó)官方發(fā)布的權(quán)威零信任參考資料(均可鏈接至譯文):
2019年4月:ACT-IAC(美國(guó)技術(shù)委員會(huì)-行業(yè)咨詢委員會(huì))發(fā)布《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》;
2019年7月:DIB(國(guó)防創(chuàng)新委員會(huì))發(fā)布《零信任之路》,;
2019年9月:NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院)發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)(草案)》,;
2019年10月:DIB(國(guó)防創(chuàng)新委員會(huì))發(fā)布《零信任架構(gòu)(ZTA)建議》;
2020年2月:NIST發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)(第2版草案)》,;
2020年3月:NIST NCCoE發(fā)布《實(shí)現(xiàn)零信任架構(gòu)(草案)》項(xiàng)目說(shuō)明書,;
2020年8月:NIST發(fā)布《零信任架構(gòu)》正式版;
2020年10月:NIST NCCoE發(fā)布《實(shí)現(xiàn)零信任架構(gòu)》(正式版)項(xiàng)目說(shuō)明書,,即本篇,。