美國國防信息系統(tǒng)局（DISA）最近發(fā)布了初始零信任參考架構，信息量非常大,，具體結構可參看柯老師發(fā)文《DISA發(fā)布國防部零信任參考架構》,。本文針對Department of Defense（DOD） Zero Trust Reference Architecture中的三幅圖進行了漢化，以便讀者清晰了解其中的成熟度模型、零信任支柱，高級別運行概念，認識零信任這一理念帶來的安全觀念轉變,，不足之處請多多指教。

　　成熟度模型

　　零信任（ZT）是一個術語,，指的是一套不斷發(fā)展的網(wǎng)絡安全范式,，它將防御從靜態(tài)的網(wǎng)絡-基于邊界關注用戶、資產(chǎn)和資源,。零信任體系結構（ZTA）采用零信任原則規(guī)劃工業(yè)和企業(yè)基礎設施和工作流程,。零信任假設沒有完全基于資產(chǎn)或用戶帳戶的物理或網(wǎng)絡位置（即局域網(wǎng)相對于或基于資產(chǎn)所有權（企業(yè)或個人擁有）,。身份驗證和授權是在建立到企業(yè)資源的會話之前執(zhí)行的離散功能。

　　零信任是對企業(yè)網(wǎng)絡趨勢的一種響應,，包括遠程用戶,、自帶設備（BYOD）和不位于企業(yè)擁有的網(wǎng)絡邊界內的基于云的資產(chǎn)。零信任關注保護資源（資產(chǎn),、服務,、工作流、網(wǎng)絡帳戶等）,，而不是網(wǎng)段,，因為網(wǎng)絡位置不再被視為資源安全態(tài)勢的主要組成部分。本文檔包含了零信任體系結構（ZTA）的抽象定義,，并給出了零信任可以改善企業(yè)整體信息技術安全態(tài)勢的一般部署模型和用例,。

　　全面實施零信任的方法從前期發(fā)現(xiàn)和評估任務開始。最初的發(fā)現(xiàn)過程將識別體系結構中有關訪問和授權活動的數(shù)據(jù),。需要發(fā)現(xiàn)工作負載,、網(wǎng)絡、設備和用戶之間的關系,。

　　最終狀態(tài)ZTA要求安全策略的實現(xiàn)與特定的授權屬性和用戶和實體的信任級別相關聯(lián),。環(huán)境的先決條件評估將確定合規(guī)狀態(tài)、特權帳戶級別,，并驗證現(xiàn)有安全控制的實現(xiàn)。

　　在設計零信任體系結構之前,，必須實現(xiàn)符合現(xiàn)有IT安全策略和標準的基線保護級別,。零信任設計的成熟方面可能不會影響到所有的功能和控制，其成熟度模型見圖1,。

零信任支柱

　　零信任支柱有助于對可以在環(huán)境中執(zhí)行零信任功能的功能和技術進行分類,。DOD零信任架構的七個支柱，見圖2：

　　用戶

　　保護,，限制和強制個人,，非個人和聯(lián)盟實體訪問DAAS包括ICAM功能的使用，例如多因素身份驗證（MFA）和連續(xù)多因素身份驗證（CMFA）,。組織需要具有連續(xù)驗證,，授權和監(jiān)視活動模式的能力，以控制用戶的訪問和特權,，同時保護和保護所有交互,。RBAC和ABAC將適用于此支柱內的策略，以授權用戶訪問應用程序和數(shù)據(jù),。

　　注：DAAS在其文中的含義為數(shù)據(jù)（Data）,，應用程序（Applications）,，資產(chǎn)（Assets），服務（Services）設備

　　具有識別,、認證,、授權、庫存,、隔離,、安全、補救和控制所有的能力設備在零信任方法中是必不可少的,。企業(yè)設備的實時認證和打補丁至關重要的功能,。一些解決方案，如移動設備管理器或遵守連接程序提供數(shù)據(jù)這對于設備置信度評估很有用,。對每一個訪問都應進行其他評估請求（例如：檢查危急狀態(tài),、異常檢測、軟件版本,、保護狀態(tài),、加密支持，等等）,。

　　網(wǎng)絡/環(huán)境

　　通過粒度訪問和策略限制（邏輯上和物理上）進行分段,，隔離和控制（內部和外部）網(wǎng)絡/環(huán)境。隨著外圍通過宏分段變得越來越細,，微分段為DAAS提供了更好的保護和控制,。

　　a）控制特權訪問，

　　b）管理內部和外部數(shù)據(jù)流,，以及

　　c）防止橫向移動

　　這一點至關重要,。

　　應用程序和工作負載

　　應用程序和工作負載包括本地系統(tǒng)或服務上的任務，以及在云環(huán)境中運行的應用程序或服務,。零信任工作負載涵蓋了從應用程序層到管理程序的整個應用程序堆棧,。保護和正確管理應用程序層以及計算容器和虛擬機是采用零信任的關鍵。諸如代理技術之類的應用程序交付方法使附加保護能夠包括零信任決策和執(zhí)行點,。開發(fā)的源代碼和通用庫通過DevSecOps開發(fā)實踐進行審查,，以確保應用程序從一開始就受到保護。

　　數(shù)據(jù)

　　零信任可保護關鍵數(shù)據(jù),，資產(chǎn),，應用程序和服務。清楚了解組織的DAAS對于成功實施零信任架構至關重要,。組織需要按照任務的關鍵程度對DAAS進行分類,，并使用此信息來制定全面的數(shù)據(jù)管理策略，并將其作為總體“零信任”方法的一部分。這可以通過對數(shù)據(jù)進行分類,，開發(fā)模式以及對靜態(tài)和傳輸中的數(shù)據(jù)進行加密來實現(xiàn),。DRM，DLP,，軟件定義的存儲和粒度數(shù)據(jù)標記之類的解決方案與保護關鍵數(shù)據(jù)有關,。

　　可見性和分析

　　重要的，上下文細節(jié)提供了對性能,，行為和其他零信任支柱的活動基線,。這種可見性改進了異常行為的檢測，并提供了對安全策略和實時訪問決策進行動態(tài)更改的能力,。此外,，其他監(jiān)視諸如傳感器數(shù)據(jù)和遙測技術等系統(tǒng)將被使用，這將有助于了解正在發(fā)生的事情與環(huán)境一起,，將有助于觸發(fā)警報,，用于響應。零信任企業(yè)將會捕獲并檢查流量,，超越網(wǎng)絡遙測和進入數(shù)據(jù)包本身,，以準確地發(fā)現(xiàn)流量網(wǎng)絡和觀察當前的威脅，并更智能地定向防御,。

　　自動化和編排

　　自動化手動安全流程,，以在整個企業(yè)范圍內快速，大規(guī)模地采取基于策略的行動,。SOAR提高了安全性并減少了響應時間,。安全編排集成了安全信息和事件管理（SIEM）和其他自動化安全工具，并有助于管理不同的安全系統(tǒng),。自動化安全響應需要零信任企業(yè)中所有環(huán)境中定義的流程和一致的安全策略實施,，才能提供主動的命令和控制。

　　零信任高級運行概念

　　零信任高級運行概念提供了有關如何在體系結構內實施安全措施的操作視圖,。見圖3圖片

　　獨立跟蹤非人實體（NPE）身份和用戶身份，從而允許跨執(zhí)行點驗證可信度級別的單獨路徑,。認證和授權活動將在整個企業(yè)中眾多但集中的地方進行,，包括客戶端，代理,，應用程序和數(shù)據(jù),。在每個執(zhí)行點，將日志發(fā)送到SIEM,，并執(zhí)行分析以建立可信度,。設備和用戶的可信度是獨立開發(fā)的，然后在適用于策略實施的情況下進行匯總。如果非人實體或用戶的可信度得分高于測得的閾值,，則將授權他們查看請求的數(shù)據(jù),。DLP在此過程中對數(shù)據(jù)進行保護，DLP還向SIEM提供數(shù)據(jù),，以確保數(shù)據(jù)得到正確使用,。

　　圖3中描述的決策點，組件下面標識的功能代表了最終狀態(tài)的“零信任”實施,?？刂茖Y源的訪問基于用戶和設備的風險，零信任的基本要求是可能的,，而無需實施所有已確定的功能就可以實現(xiàn),。具體內容如下：

　　No.1 企業(yè)身份、憑證和訪問管理（ICAM）

　　包括身份提供者（IDP）,，自動帳戶設置（AAP）和主用戶記錄（MUR）,，用于識別和管理角色，訪問特權以及所處的環(huán)境用戶被授予或拒絕特權,。

　　1. 身份提供者（IDP）

　　一種執(zhí)行直接認證的系統(tǒng),，可以選擇代表一個或多個信息系統(tǒng)提供授權數(shù)據(jù)。該系統(tǒng)還提供對NPE的身份驗證,。

　　2. 自動帳戶設置（AAP）

　　提供身份治理服務,，如用戶授權管理、業(yè)務角色審計和執(zhí)行,，以及基于在企業(yè)以人為中心的活動（如入職和離職,、持續(xù)審查、人才管理和準備就緒培訓）中產(chǎn)生的身份數(shù)據(jù)提供和取消賬戶,。

　　3. 主用戶記錄（MUR）

　　使企業(yè)范圍內的知識,、審計和數(shù)據(jù)匯總報告誰有權訪問什么系統(tǒng)或應用程序。MUR還將為識別內部和外部威脅提供支持,。

　　No.2 客戶和身份保證（Client and Identity Assurance）1. 身份驗證決策點

　　在嘗試訪問應用程序和數(shù)據(jù)時,，它會評估用戶，NPE和/或設備的身份,。還可以評估設備是否被管理,。ICAM參考設計中提供了非用戶NPE和用戶輔助NPE的其他用例。

　　2. 授權決策點

　　為請求此類訪問決策的實體作出授權決策的系統(tǒng)實體,。它檢查訪問資源的請求,，并將其與適用于所有訪問該資源請求的策略進行比較，以確定是否應授予發(fā)出考慮中請求的請求者特定的訪問權,?？蛻魴C和設備授權是有條件訪問資源,、應用程序以及最終訪問數(shù)據(jù)的第一階段。

　　3. 能力

　　a） Comply-to-Connect （C2C）： 在設備能夠連接到內部網(wǎng)絡并不斷更新其狀態(tài)之前,，強制補丁和加固配置被應用到設備上,。

　　b） Privileged Access Management（PAM）：

　　指幫助保護、控制,、管理和監(jiān)視對關鍵資產(chǎn)的特權訪問的一類解決方案,。這包括對系統(tǒng)、應用程序和服務的管理訪問,。

　　No.3 以數(shù)據(jù)為中心的企業(yè)（Data-Centric Enterprise）1. 資源授權決策點（RADP）

　　這是一個中間決策點,，它將評估合并后的NPE和用戶，以授權訪問請求,。與前面的決策點一樣,，這將利用信任度和已定義的策略來確定是否允許訪問。能力如下：

　　宏觀分段

　　將網(wǎng)絡劃分為具有不同屬性的更小的受控段的概念可以通過應用額外的硬件或vlan來實現(xiàn),。

　　應用程序交付控制（代理）

　　應用程序交付控制器是一種設備通常位于防火墻和一個或多個應用服務器之間的數(shù)據(jù)中心（一個被稱為DMZ的區(qū)域）,。應用程序交付控制器主要執(zhí)行應用程序加速和處理服務器之間的企業(yè)級負載平衡。前幾代應用程序交付控制器可以處理各種任務,，包括但不限于內容緩存,、SSL卸載和加速服務、數(shù)據(jù)壓縮以及一些入侵防御服務,。

　　2. 應用程序授權決策點（AADP）

　　這是一個中間決策點,，它將評估組合的NPE和用戶以授權訪問請求。像以前的決策點一樣,，這將利用信任度和定義的策略來確定是否需要訪問,。能入如下：

　　微分段

　　這是創(chuàng)建邏輯網(wǎng)絡區(qū)域以隔離段的實踐。通過啟用細粒度訪問控制,，用戶,、應用程序、工作負載和設備根據(jù)邏輯屬性進行分段,，可以保護這些分段,。這也提供了與傳統(tǒng)的外圍安全相比的優(yōu)勢，因為較小的段呈現(xiàn)出較少的攻擊面（對于惡意的角色）,。在零信任架構中,，安全設置可以應用于不同類型的流量，創(chuàng)建將工作負載之間的網(wǎng)絡和應用程序流限制為顯式允許的流的策略,。分段網(wǎng)關和API訪問決策點可以將每個身份的訪問限制為顯式允許的API調用，允許粒度細化到“動詞”級別,。

　　DevSecOps應用程序開發(fā)

　　DevSecOps是一套軟件開發(fā)實踐,，結合了軟件開發(fā)（Dev），安全性（Sec）和信息技術操作（Ops）來確保結果的安全性并縮短開發(fā)生命周期。軟件功能,，修補程序和修補程序的出現(xiàn)頻率更高且自動化程度更高,。

　　3. 數(shù)據(jù)授權決策點（DADP）

　　數(shù)據(jù)所有者使用數(shù)據(jù)參考體系結構通過編排器或DLP/DRP服務器對數(shù)據(jù)應用標簽。能力如下：

　　Data Rights Management

　?。〝?shù)據(jù)權限管理）

　　一組訪問控制技術,，防止未經(jīng)授權的訪問，修改和重新分配數(shù)據(jù),。強制由加密數(shù)據(jù)組成,，其密鑰與數(shù)據(jù)所有者定義的策略綁定。加密密鑰將綁定到數(shù)據(jù)的安全策略,，以執(zhí)行最低權限授權,。

　　DLP

　　4. 數(shù)據(jù)

　　該流程的最后一步是訪問數(shù)據(jù)和應用程序。數(shù)據(jù)標記將用于確保所有數(shù)據(jù)的適當分類級別,，以幫助防止泄漏,。

　　數(shù)據(jù)標記

　　數(shù)據(jù)標記對于政策制定至關重要，因為這些屬性將被對齊以確定有條件的訪問,。隨著企業(yè)數(shù)據(jù)的規(guī)模和廣度,，自動化以及機器學習和人工智能將需要作為輔助標記過程的相關能力逐步引入。

　　No.4 動態(tài)訪問控制平面（Dynamic Access Control Plane）1. SOAR

　　這些術語用于定義處理威脅管理,、事件響應,、策略實施和安全策略自動化的技術。零信任架構將需要動態(tài)的策略實施和自動化,。SOAR將與分析和政策引擎協(xié)同工作,，以開發(fā)信任水平，并自動將政策交付到實施點,。能力如下：

　　自動化策略部署

　　策略將由 Engine/

　　Orchestrator基于分析自動部署,，并在實施點實現(xiàn)。

　　EDR

　　這是一個分析工具,，提供對端點上惡意事件的實時監(jiān)視和檢測,。EDR允許您在詳細的時間線中可視化威脅，而即時警報使您知道如果攻擊發(fā)生,。

　　用戶活動監(jiān)視（UAM）

　　UAM可以監(jiān)視所有類型的用戶活動,，包括所有系統(tǒng)、數(shù)據(jù),、應用程序和用戶所采取的網(wǎng)絡行為,，例如他們的網(wǎng)頁瀏覽活動，無論用戶是訪問未經(jīng)授權的或敏感的文件,。

　　2. 分析和信任度評分

　　這些技術對實體,、屬性和配置進行持續(xù)評估,，以適應部署的安全策略并對其進行風險優(yōu)化。在授權活動中利用信任分數(shù),。

　　實體行為分析

　　分析來自SIEM的數(shù)據(jù)以確定訪問級別,。

　　數(shù)據(jù)丟失防護

　　檢測潛在的數(shù)據(jù)泄露/數(shù)據(jù)過濾傳輸并通過監(jiān)控防止它們。

　　3. 利用安全信息和事件管理進行日志記錄

　　活動數(shù)據(jù)被匯總并存儲在SIEM中,，SIEM同時提供了安全信息管理（SIM）和安全事件管理（SEM）功能,。能力如下：

　　實體活動審核

　　零信任體系結構將要求記錄所有活動，以確保進行適當?shù)姆治龊托湃味仍u分,。每個執(zhí)行點以及用戶和實體的行為分析將為制定訪問決策提供操作環(huán)境,。