2022零信任架构标准NISTSP800-207.docx

零信任架构标准NISTSP800-207摘要零信任（ZeroTrUSt,缩写ZT）是一组不断演进的网络安全范式，它将网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任架构（ZTA）使用零信任原则来规划企业基础设施和工作流。零信任取消了传统基于用户的物理或网络位置（即，相对公网的局域网）而授予用户帐户或者设备权限的隐式信任。认证和授权（用户和设备）是与企业资源建立会话之前执行的独立步骤。零信田耐了企业网络发展的趋势：位于园都J用户矛0三于云的资产，这些资产都不位于企业拥有的网络边界内。零信任的重心在于保护资源，而不是网段，因为网络位置不再被视为资源安全与否的主要依据。本文档包含零信任架构（ZTA）的抽象定义，并给出了零信任可以改进企业总体信息技术安全状况的通用部署模型和使用案例。关键词架构；网络空间安全；企业；网络安全；零信任目录中文翻译版说明2摘要6序言91介绍151.1与联邦木/1力勾有关的零信彳壬史161.2本文结构172零信任基本概念1921零信任原则2122零信任视角的网络243零信任体系架构的逻辑组件263.1 零信任架构的常见方案293.1.1 基于增强身份治理的ZTA303.1.2 基于微隔离的ZTA313.1.3 基于网络基础设施和软件定义边界SDP的ZTA3232抽象架构的常见部署方案32321基于设备代理/网关的部署333.1.4 基于飞地的部署343.1.5 基于资源门户的部署353.1.6 设备应用沙箱3733信任算法383.3.1信任算法的常见实现方法403.4网络/环境组件423.4.1支持ZTA的网络需求434部署场景/用例464.1 具有分支机构的企业4642多必云到云企业4743具有外包服务和/或访客的企业484.4 懿业协作504.5 具有面向公共或面向用户服务的企业515与零信任架构相关的威胁525.1 ZTA决策过程的破坏5252拒绝服务或网络中断5253凭证被盗/内部威胁535.4 网络可见性545.5 系统和网络信息的存储555.6 依赖专有数据格式或解决方案555.7 在ZTA管理中使用非人类实体（NPE）566零信任架构及与现有联邦政府引导的相互作用586.1 ZTA和NIST风险管理框架（RMF）586.2 ZT和NlST隐私框架586.3 ZTA和联邦身份、凭证和访问管理体系结构（FICAM）596.4 ZTA和可信Internet连接（TlC）3.0606.5 ZTA和ElNSTEIN（NCPS-国家网络安全保护系统）616.6 ZTA和DHS连续诊断和缓解（CDM）计划626.7 ZTA,智能云和联邦数据策略627迁移到零信任架构647.1 纯零信任雌6472零信任架构和基于边界的传统架构并存6573在基于传统架构的网络中引入零信任架构的步骤657.1.1 确定企业中的参与方677.1.2 识别企业自有资产677.1.3 确定关键流程并评估其运行风险687.1.4 如何选择零信任架构实施对象697.1.5 确定候选解决方案707.1.6 初期部署和监控717.1.7 扩大零信任架构的范围72参考资料73附录A缩略语79附录B识别ZTA当前技术水平的差距81B.1技术调查81B2阻碍立即转移至ZTA的鸿沟82B21）缺乏ZTA设计、规划和采购的通用术语827.1.8 ）关于ZTA与现有联邦网络安全政策冲突的认知83B3影响ZTA的系统性差距837.1.9 ）组件间接口的标准化837.1.10 ）解决过度依赖专有API的新兴标准84B4ZTA的认知差距与未来研究方向857.1.11 ）攻击者对ZTA的反击857.1.12 )ZTA环境中的用户体验867.1.13 )ZTA对企业和网络中断的适应能力875卜零信任架构实施89摘要911执行摘要931.l目的931.2范围9513假渤挑战961.4背景962场景982.1 场景一：员工访问企业资源982.2 场景二：员工访问互联网资源982.3 场景三：外包人员访问公司和互联网资源992.4 场景四：企业内部的服务器间通信992.5 场景五：跨企业合作1002.6 场景六：基于信任等级的企业资源访问1003顶层架构1013.1 组做表1013.2 所需要求1034相关标准和准则1055安全控制图1086附录A参考文献1131介绍企业的典型IT基础设S峻得越来越复杂。一家企业可能运营多个内部网络，拥有本地基础设施的分支机构，远程办公接入和/或移动办公的个人，以及云上的服务。这种复杂性已经超越了传统基于边界防御的网络安全策略，因为没有单一的、可以清Wi辨别的企业边界。此外,基于边界防御的网络安全控制已显示出明显的不足，一旦攻击者突破了边界,步告的横向攻击将不受阻碍。这种复杂性导致了新的网络安全理念及模型的出现，即零信任（z）。典型的零信任,主要关注于数据保护，但可以（且应该）被扩展到包括所有的企业资产（设备、基础设施组件、应用程序、卤以俗云组件）以及主体（最终用户、应用程序和其他请求资源信息的非人类实体）。在本文中将使用“主体"泛指请求资源信息的角色,除非有些段落中特指人类用户，则会以“用户"指代。零信任安全模型假设网络上已经存在攻击者，并且企业自有的网络基础设施（内网）与其他网络（比如公网）没有任何不同，不再默认内网是可信的。在这种新模式中，企业必须连续进行分析和评估其内部资产和业务功能可能面临的风险，然后采取措施减轻这些风险。在零信任状态下,这些保护通常涉及对资源（例如数据、计算资源和应用程序）的最小化授权访问，仅提共给那些被识为需要访问的用户和资产，并且对于每个访问请求持续进行身份和权限的验证。零信任架构（ZTA）基于零信任理念的企业网络安全战略，目的是防止数据泄露并限制内部横向移动攻击。本文讨论ZTA的逻辑组件、常见的部署方案以及面IiS的威胁。它还为希望将网络基础设施迁移至I摩信任设计的组织提供了总体路线图，并讨论可能对零信任战略造成影响的相关联邦政策。零信任不是单一网络体系结构，而是网络基础设施中的一知旨导原则以及系统设计和运营方法，可用于改善任何类型或敏感度等级的安全状况FIPS199。过渡到ZTA是一段过程，与T组织何评估其任务中的风险相关，无法简单地通过技术替代来完成。也就是说，许多组织已经在他们今天的企业基础设施中拥有部分零信任元素。组织应寻求逐步达成零信任的原则，完成流程更改和技术解决方案,以保护其数据资巧限Z用的业务功能。大多数企业的基础设施将以零信任/传统边界安全的混合运行的模式,同时持续进行IT现代化改造和业务流程改善。为了使零信任有效落地，组织股勾需要实施全面的信息安领口弹性的控制措施。在兼顾现有的网络安全策略和指南、访问管理、持续监控和一些最佳实践的同时，ZTA策略可以通过风险管控策略来防范常见威胁，并改善组织的安全状况。1.1 与联邦机构有关的零信任历史零信任的概念早在“零信任"T出现以前就一直存在于网络安全领域之中。国防信息系统局(DISA)和国防部(DoD)最早发布了他们的更安全的企业战略研究工作,称为"黑核"BCORE。黑核提倡从基于边界防御的安全模型转变为基于用户操作行为的安全模型。1994年的耶利哥论坛(JerichoForum)也提出了去边界化的网络安全概念,指出大型网络中单一静态防御的局限性以及应该去除基于网络位置的隐式信任JERICHO这种去边界化的思想后来演进成为约翰金德瓦格(JohnKindervag)在Forrester报告中提出的更大的零信任概念。零信任便成为一个专用词汇，用来描述从基于网翎立置的隐式信任安全模型转移到基于用户行为的持续信任评估安全模型。私营企业和高等学校教育也都拥抱了这一安全模型的演进,从基于边界的安全转换到了基于零信任理念的安全。自十多年前，美国联邦机构已经开始积极地迁移到基于零信任理念的网络安全。瞄晰松T磅设相关的能力不瞰策，从©笄三息安全管理法(FISMA)开始，然后是风险管理框架(RMF)x联邦身份、凭证和访问管理(FICAM)、可信互联网连接(TIC).持续i分解口缓解(CDM)计划。所有这些计划都旨在限制被授权方的对于数据和资源访问。这些计划最初启动时，因受限于信息系统的技术能力,安全策略大部分是静态的，只能在强制在企业t徽大的“瓶颈点上执行以获得最隹婢。但随着技术的频，对于每个访问请求进行持领、动态的、和螂度的分析和评估成为可能，这种按需授权的安全策略可以辱媛解由于被盗账号、嗦瘫i1.2 本文结构本文的结构如下： 第2节定义了零信任(ZT)和零信任架构(ZTA),并列出了为企业建立零信任架构的一些假设。本节还包括了零信任设计原则的列表。 第3节描述ZTA的逻辑组件或构成模块。以不同的方式组合ZTA组件以获得不同的实现方式并提供相同的逻辑功能是有可能的。 第4节列出了ZTA一些可能的应用场景。这些ZTA应用场景让企业环境更安全，更难被入侵，包括远程员工、云服务和访客网络等。 第5节讨论ZTA环境下企业会面临的威胁。其中许多威胁是与传统的架构网络下的威胁相似，但可能需要不同的防御技术。 第6节讨论ZTA原则如何适用和/或补充联邦机构现有的合规要求。 第7节介绍企业机构（例如联邦政府）过渡到零信任架构的着手点。这里面包括部署以零信任理念为纲领的应用程序和企业基础设施所需的常见步骤。2零信任基本概念零信任是一种以资源保护为核心的网络安全范式，其前提是信任从来不应该被隐式授予，而是必须进行持续由古。零信任体系架构种针对企业资漏瞰据安全的端到端方案，其中包括身份（人和非人的实体）、凭证、访问管理、操作、终端、主机环埸口互联基础m初始的重点应该是将资源访问限制在有实际访问需求的主体并仅授予执行任所需的最/做限（如读取、修改、删除）。传统上，组织机构（和一般的企业网络）专注于边界防御，合法认证用户被授予广泛的资源访问权限。因此，网络内未绮§权的横向攻击一直是联邦政府面临的最却感之一。可信Internet连接（TIC）和边界防火墙提供了强大的互联网网关。这有助于阻止来自互联网的攻击者，但它们在检测和阻止来自网络内部的攻击方面用处不大，并且也无法保护边界外的用户（例如，远程工作者、基于云的服务）。关于的零信任（ZT）和零信任架构（ZTA）通俗的定义如下：一个企业决定采用零信任作为它的网络安全基准原则，就需时刻将零信任架构作为一个基本原则进行规划。然后以此计划部署一个零信任环境供企业使用。此定义聚焦的问题关键包括：消除对数据和服务的非授权访问，以及使访问控制的执行尽可能精细化。也就是说，授权过和经批准的主体（用户、应用、和设备的组合）可以访问数据，同附F除其他所有主体（例如，攻击者）。进/讲，可以用“资源"T司代替"数据"，从而变为ZT和ZTA对资源进行访问（例如打印机、计算资源、IoT执行器等），而不仅仅是数据访问。为了达到降彳氐不确定性的目的（因为它们不能完全消除）,重点是通过身份验证、合樵权