NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)與其下屬單位NCCoE(國家網(wǎng)絡(luò)安全卓越中心)一唱一和:NIST推零信任標(biāo)準(zhǔn),,NCCoE搞零信任實(shí)踐,。而他們背后的推動(dòng)者,,都是聯(lián)邦首席信息官(CIO)委員會(huì)。
根據(jù)聯(lián)邦首席信息官(CIO)委員會(huì)的要求,,NIST于2020年8月已經(jīng)發(fā)布了NIST SP 800-207《零信任架構(gòu)》標(biāo)準(zhǔn)正式版。而NCCoE于2020年10月21日也發(fā)布了《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說明書(正式版),。
NCCoE《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目瞄準(zhǔn)的是零信任架構(gòu)的落地實(shí)踐,,希望實(shí)現(xiàn)安全性與用戶體驗(yàn)的兼得。NCCoE零信任項(xiàng)目旨在使用商用產(chǎn)品,,建立一個(gè)與NIST《零信任架構(gòu)》標(biāo)準(zhǔn)中的概念和原則相一致的零信任架構(gòu)的實(shí)現(xiàn)示例,。本項(xiàng)目的范圍是在通用企業(yè)IT基礎(chǔ)設(shè)施中實(shí)施零信任架構(gòu)。
注意到,,NCCoE曾于2020年3月發(fā)布過《實(shí)現(xiàn)零信任架構(gòu)(草案)》,。那么,這次發(fā)布的正式版與草案版有多大的區(qū)別呢,?筆者經(jīng)過大致對(duì)比,,結(jié)論是:最大差異是零信任實(shí)踐項(xiàng)目架構(gòu)圖,圖中以4大功能組件(數(shù)據(jù)安全,、端點(diǎn)安全,、身份與訪問管理(IAM)、安全分析)代替了原來的8大支撐性系統(tǒng),;但本質(zhì)上沒有顯著差異,。
最值得期待的是,NCCoE零信任實(shí)踐項(xiàng)目將產(chǎn)生一份可公開獲取的NIST網(wǎng)絡(luò)安全實(shí)踐指南,。該指南將介紹該實(shí)踐項(xiàng)目的詳細(xì)實(shí)施步驟,。
《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說明書(正式版)下載地址:
01
項(xiàng)目說明書背景
關(guān)于NCCoE《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說明書的背景,已在引言中簡(jiǎn)單說明,。若需更多細(xì)節(jié),,請(qǐng)參考2020年3月NIST NCCoE發(fā)布《實(shí)現(xiàn)零信任架構(gòu)(草案)》項(xiàng)目說明書(中文介紹)。
NCCoE(國家網(wǎng)絡(luò)安全卓越中心)以實(shí)踐項(xiàng)目著稱,,而且每一個(gè)實(shí)踐項(xiàng)目會(huì)有一份項(xiàng)目說明書(在項(xiàng)目開始階段)和一份實(shí)踐指南(在項(xiàng)目結(jié)束之后),。本次發(fā)布的是項(xiàng)目說明書。
02
主要區(qū)別:項(xiàng)目架構(gòu)圖
筆者逐段落對(duì)比了兩個(gè)版本的《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說明書,,發(fā)現(xiàn)最大的差別在于下面的項(xiàng)目架構(gòu)圖:
圖1-NCCoE 草案版架構(gòu)(2020年3月發(fā)布)
圖2-NCCoE 正式版架構(gòu)(2020年10月發(fā)布)
功能組件包括:
數(shù)據(jù)安全組件:包括企業(yè)為保護(hù)其信息而開發(fā)的所有數(shù)據(jù)訪問策略和規(guī)則,,以及保護(hù)靜態(tài)和傳輸中的數(shù)據(jù)的方法。
端點(diǎn)安全組件:包括保護(hù)端點(diǎn)(例如服務(wù)器,、臺(tái)式機(jī),、移動(dòng)電話,、物聯(lián)網(wǎng)設(shè)備)免受威脅和攻擊的策略、技術(shù)和治理,,以及保護(hù)企業(yè)免受來自托管和非托管設(shè)備的威脅的策略,、技術(shù)和治理活動(dòng)。
身份和訪問管理(IAM)組件:包括用于創(chuàng)建,、存儲(chǔ),、管理企業(yè)用戶(即主體)帳戶和身份記錄及其對(duì)企業(yè)資源的訪問的策略、技術(shù)和治理,。
安全分析組件:包含IT企業(yè)的所有威脅情報(bào)源和流量/活動(dòng)監(jiān)控,。它收集有關(guān)企業(yè)資產(chǎn)當(dāng)前狀態(tài)的安全性和行為分析,并持續(xù)監(jiān)控這些資產(chǎn),,以積極應(yīng)對(duì)威脅或惡意活動(dòng),。這些信息可以為策略引擎提供信息,以幫助做出動(dòng)態(tài)訪問決策,。
03
差異分析
對(duì)于圖1(草案版架構(gòu))的設(shè)計(jì)初衷,,比較好理解。只要看看NIST標(biāo)準(zhǔn)中零信任架構(gòu)圖就明白了,,如下圖所示:
圖3-NIST正式版零信任架構(gòu)(2020年8月發(fā)布)
比較圖1(草案版架構(gòu))和圖3(NIST零信任架構(gòu))可知,,兩個(gè)架構(gòu)模型幾乎是完全一致的,架構(gòu)圖中兩側(cè)的8個(gè)支撐性組件(CDM系統(tǒng),、行業(yè)合規(guī)系統(tǒng),、……、SIEM系統(tǒng))也是完全相同,。
但是,,圖2(NCCoE 正式版架構(gòu))與圖1(草案版架構(gòu))相比,則簡(jiǎn)化了不少:
1)8個(gè)支撐性系統(tǒng)幾乎都不見了,,只留下4個(gè)功能組件:數(shù)據(jù)安全,、端點(diǎn)安全、身份與訪問管理(IAM),、安全分析,。
2)控制平面和數(shù)據(jù)平面也不再劃分了。
筆者沒有找到官方解釋,,只好自己揣測(cè):
1)直覺告訴我們:原來的8個(gè)支撐性系統(tǒng),,看起來有點(diǎn)多。為完整性起見,,放在NIST標(biāo)準(zhǔn)中倒是無所謂。但要在NCCoE的實(shí)踐項(xiàng)目中實(shí)施,,也許就太多了,,會(huì)增加項(xiàng)目實(shí)施過程的復(fù)雜性,,可能會(huì)影響到項(xiàng)目進(jìn)展。
2)理性分析一下:通過圖2中4大組件的功能描述,,看看它們對(duì)圖1中8大支撐性系統(tǒng)的覆蓋率:
數(shù)據(jù)安全組件:覆蓋了圖1中的數(shù)據(jù)安全策略,;
端點(diǎn)安全組件:大致覆蓋圖1中的CDM系統(tǒng);
身份與訪問管理(IAM)組件:覆蓋了圖1中的PKI和身份管理,;
安全分析組件:覆蓋了圖1中的威脅情報(bào),、SIEM、活動(dòng)日志,。
這么看來,,圖2中的4個(gè)組件已經(jīng)覆蓋了圖1中的7個(gè)支撐性系統(tǒng)了。而唯一未能覆蓋的行業(yè)合規(guī)系統(tǒng),,主要是指企業(yè)為滿足監(jiān)管制度而制定的所有政策規(guī)則,。這需要結(jié)合具體行業(yè)情況而定,也確實(shí)沒必要專門反映在項(xiàng)目實(shí)施圖中,。
換個(gè)角度想想:正式版的4大功能組件(數(shù)據(jù)安全,、端點(diǎn)安全、身份與訪問管理(IAM),、安全分析),,是不是比草案版的8大支撐性系統(tǒng)(CDM、行業(yè)合規(guī),、威脅情報(bào),、活動(dòng)日志、數(shù)據(jù)訪問策略,、PKI,、身份管理、SIEM)要更加親切,、郎朗上口呢,!
對(duì)于另一問題:為什么控制平面和數(shù)據(jù)平面不再劃分。筆者搜索了一下兩個(gè)版本的說明書,,發(fā)現(xiàn)除了這兩張架構(gòu)圖外,,兩個(gè)版本的說明書中都只提到唯一一次“平面”(plane)問題:即在安全問題方面需要關(guān)注“零信任控制平面的失陷”。所以,,筆者推測(cè):只是作者覺得沒有必要在實(shí)踐項(xiàng)目架構(gòu)圖中刻意表現(xiàn)平面分離的原則,,而無需過多的解讀。
最后,,圖2(正式版架構(gòu))比圖1(草案版架構(gòu))多了一個(gè)有用的細(xì)節(jié):圖2中的功能組件的箭頭直接指向策略引擎(PE)組件(非常精確),,而圖1中的支撐性系統(tǒng)的箭頭則指向整個(gè)核心組件框(相當(dāng)粗糙)。
04
最終結(jié)論
盡管正式版與草案版的項(xiàng)目架構(gòu)圖看似發(fā)生了很大變化,但本質(zhì)上也沒有多大區(qū)別,。
05
我們的期待
我們還是更加期待,,NCCoE零信任實(shí)踐項(xiàng)目將產(chǎn)生的那份可公開獲取的NIST網(wǎng)絡(luò)安全實(shí)踐指南。因?yàn)樗鼘⒔榻B該實(shí)踐項(xiàng)目的詳細(xì)實(shí)施步驟,,會(huì)比目前這個(gè)項(xiàng)目說明書有更強(qiáng)的落地指導(dǎo)意義,。
NCCoE以實(shí)踐項(xiàng)目著稱,而且每一個(gè)實(shí)踐項(xiàng)目都計(jì)劃產(chǎn)生一份可免費(fèi)公開獲取的NIST網(wǎng)絡(luò)安全實(shí)踐指南(NIST Cybersecurity Practice Guide),,即SP 1800系列指南,。這些實(shí)踐指南正是筆者的關(guān)切所在。
NCCoE的實(shí)踐項(xiàng)目包含兩種類型:一是積木(Building Blocks),;二是用例(Use Cases),。積木是技術(shù)領(lǐng)域,用例是行業(yè)領(lǐng)域,。兩者分別包含了十幾個(gè)具體項(xiàng)目,。對(duì)于這些已經(jīng)完成或正在進(jìn)行的NCCoE實(shí)踐項(xiàng)目,可以參考《美國網(wǎng)絡(luò)安全 | NIST網(wǎng)絡(luò)安全實(shí)踐指南系列》,。
06
美國官方權(quán)威參考資料
美國官方發(fā)布的權(quán)威零信任參考資料(均可鏈接至譯文):
2019年4月:ACT-IAC(美國技術(shù)委員會(huì)-行業(yè)咨詢委員會(huì))發(fā)布《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》,;
2019年7月:DIB(國防創(chuàng)新委員會(huì))發(fā)布《零信任之路》;
2019年9月:NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)(草案)》,;
2019年10月:DIB(國防創(chuàng)新委員會(huì))發(fā)布《零信任架構(gòu)(ZTA)建議》,;
2020年2月:NIST發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)(第2版草案)》;
2020年3月:NIST NCCoE發(fā)布《實(shí)現(xiàn)零信任架構(gòu)(草案)》項(xiàng)目說明書,;
2020年8月:NIST發(fā)布《零信任架構(gòu)》正式版,;
2020年10月:NIST NCCoE發(fā)布《實(shí)現(xiàn)零信任架構(gòu)》(正式版)項(xiàng)目說明書,即本篇,。