NIST（美國國家標準與技術(shù)研究院）與其下屬單位NCCoE（國家網(wǎng)絡(luò)安全卓越中心）一唱一和：NIST推零信任標準，NCCoE搞零信任實踐。而他們背后的推動者，都是聯(lián)邦首席信息官（CIO）委員會。

　　根據(jù)聯(lián)邦首席信息官（CIO）委員會的要求，NIST于2020年8月已經(jīng)發(fā)布了NIST SP 800-207《零信任架構(gòu)》標準正式版。而NCCoE于2020年10月21日也發(fā)布了《實現(xiàn)零信任架構(gòu)》項目說明書（正式版）。

　　NCCoE《實現(xiàn)零信任架構(gòu)》項目瞄準的是零信任架構(gòu)的落地實踐，希望實現(xiàn)安全性與用戶體驗的兼得。NCCoE零信任項目旨在使用商用產(chǎn)品，建立一個與NIST《零信任架構(gòu)》標準中的概念和原則相一致的零信任架構(gòu)的實現(xiàn)示例。本項目的范圍是在通用企業(yè)IT基礎(chǔ)設(shè)施中實施零信任架構(gòu)。

　　注意到，NCCoE曾于2020年3月發(fā)布過《實現(xiàn)零信任架構(gòu)（草案）》。那么，這次發(fā)布的正式版與草案版有多大的區(qū)別呢？筆者經(jīng)過大致對比，結(jié)論是：最大差異是零信任實踐項目架構(gòu)圖，圖中以4大功能組件（數(shù)據(jù)安全、端點安全、身份與訪問管理（IAM）、安全分析）代替了原來的8大支撐性系統(tǒng)；但本質(zhì)上沒有顯著差異。

　　最值得期待的是，NCCoE零信任實踐項目將產(chǎn)生一份可公開獲取的NIST網(wǎng)絡(luò)安全實踐指南。該指南將介紹該實踐項目的詳細實施步驟。

　　《實現(xiàn)零信任架構(gòu)》項目說明書（正式版）下載地址：

　　https://csrc.nist.gov/publications/detail/white-paper/2020/10/21/implementing-a-zero-trust-architecture/final

　　01

　　項目說明書背景

　　關(guān)于NCCoE《實現(xiàn)零信任架構(gòu)》項目說明書的背景，已在引言中簡單說明。若需更多細節(jié)，請參考2020年3月NIST NCCoE發(fā)布《實現(xiàn)零信任架構(gòu)（草案）》項目說明書（中文介紹）。

　　NCCoE（國家網(wǎng)絡(luò)安全卓越中心）以實踐項目著稱，而且每一個實踐項目會有一份項目說明書（在項目開始階段）和一份實踐指南（在項目結(jié)束之后）。本次發(fā)布的是項目說明書。

　　02

　　主要區(qū)別：項目架構(gòu)圖

　　筆者逐段落對比了兩個版本的《實現(xiàn)零信任架構(gòu)》項目說明書，發(fā)現(xiàn)最大的差別在于下面的項目架構(gòu)圖：

　　圖1-NCCoE 草案版架構(gòu)（2020年3月發(fā)布）

　　圖2-NCCoE 正式版架構(gòu)（2020年10月發(fā)布）

　　功能組件包括：

　　數(shù)據(jù)安全組件：包括企業(yè)為保護其信息而開發(fā)的所有數(shù)據(jù)訪問策略和規(guī)則，以及保護靜態(tài)和傳輸中的數(shù)據(jù)的方法。

　　端點安全組件：包括保護端點（例如服務器、臺式機、移動電話、物聯(lián)網(wǎng)設(shè)備）免受威脅和攻擊的策略、技術(shù)和治理，以及保護企業(yè)免受來自托管和非托管設(shè)備的威脅的策略、技術(shù)和治理活動。

　　身份和訪問管理（IAM）組件：包括用于創(chuàng)建、存儲、管理企業(yè)用戶（即主體）帳戶和身份記錄及其對企業(yè)資源的訪問的策略、技術(shù)和治理。

　　安全分析組件：包含IT企業(yè)的所有威脅情報源和流量/活動監(jiān)控。它收集有關(guān)企業(yè)資產(chǎn)當前狀態(tài)的安全性和行為分析，并持續(xù)監(jiān)控這些資產(chǎn)，以積極應對威脅或惡意活動。這些信息可以為策略引擎提供信息，以幫助做出動態(tài)訪問決策。

　　03

　　差異分析

　　對于圖1（草案版架構(gòu)）的設(shè)計初衷，比較好理解。只要看看NIST標準中零信任架構(gòu)圖就明白了，如下圖所示：

　　圖3-NIST正式版零信任架構(gòu)（2020年8月發(fā)布）

　　比較圖1（草案版架構(gòu)）和圖3（NIST零信任架構(gòu)）可知，兩個架構(gòu)模型幾乎是完全一致的，架構(gòu)圖中兩側(cè)的8個支撐性組件（CDM系統(tǒng)、行業(yè)合規(guī)系統(tǒng)、……、SIEM系統(tǒng)）也是完全相同。

　　但是，圖2（NCCoE 正式版架構(gòu)）與圖1（草案版架構(gòu)）相比，則簡化了不少：

　　1）8個支撐性系統(tǒng)幾乎都不見了，只留下4個功能組件：數(shù)據(jù)安全、端點安全、身份與訪問管理（IAM）、安全分析。

　　2）控制平面和數(shù)據(jù)平面也不再劃分了。

　　筆者沒有找到官方解釋，只好自己揣測：

　　1）直覺告訴我們：原來的8個支撐性系統(tǒng)，看起來有點多。為完整性起見，放在NIST標準中倒是無所謂。但要在NCCoE的實踐項目中實施，也許就太多了，會增加項目實施過程的復雜性，可能會影響到項目進展。

　　2）理性分析一下：通過圖2中4大組件的功能描述，看看它們對圖1中8大支撐性系統(tǒng)的覆蓋率：

　　數(shù)據(jù)安全組件：覆蓋了圖1中的數(shù)據(jù)安全策略；

　　端點安全組件：大致覆蓋圖1中的CDM系統(tǒng)；

　　身份與訪問管理（IAM）組件：覆蓋了圖1中的PKI和身份管理；

　　安全分析組件：覆蓋了圖1中的威脅情報、SIEM、活動日志。

　　這么看來，圖2中的4個組件已經(jīng)覆蓋了圖1中的7個支撐性系統(tǒng)了。而唯一未能覆蓋的行業(yè)合規(guī)系統(tǒng)，主要是指企業(yè)為滿足監(jiān)管制度而制定的所有政策規(guī)則。這需要結(jié)合具體行業(yè)情況而定，也確實沒必要專門反映在項目實施圖中。

　　換個角度想想：正式版的4大功能組件（數(shù)據(jù)安全、端點安全、身份與訪問管理（IAM）、安全分析），是不是比草案版的8大支撐性系統(tǒng)（CDM、行業(yè)合規(guī)、威脅情報、活動日志、數(shù)據(jù)訪問策略、PKI、身份管理、SIEM）要更加親切、郎朗上口呢！

　　對于另一問題：為什么控制平面和數(shù)據(jù)平面不再劃分。筆者搜索了一下兩個版本的說明書，發(fā)現(xiàn)除了這兩張架構(gòu)圖外，兩個版本的說明書中都只提到唯一一次“平面”（plane）問題：即在安全問題方面需要關(guān)注“零信任控制平面的失陷”。所以，筆者推測：只是作者覺得沒有必要在實踐項目架構(gòu)圖中刻意表現(xiàn)平面分離的原則，而無需過多的解讀。

　　最后，圖2（正式版架構(gòu)）比圖1（草案版架構(gòu)）多了一個有用的細節(jié)：圖2中的功能組件的箭頭直接指向策略引擎（PE）組件（非常精確），而圖1中的支撐性系統(tǒng)的箭頭則指向整個核心組件框（相當粗糙）。

　　04

　　最終結(jié)論

　　盡管正式版與草案版的項目架構(gòu)圖看似發(fā)生了很大變化，但本質(zhì)上也沒有多大區(qū)別。

　　05

　　我們的期待

　　我們還是更加期待，NCCoE零信任實踐項目將產(chǎn)生的那份可公開獲取的NIST網(wǎng)絡(luò)安全實踐指南。因為它將介紹該實踐項目的詳細實施步驟，會比目前這個項目說明書有更強的落地指導意義。

　　NCCoE以實踐項目著稱，而且每一個實踐項目都計劃產(chǎn)生一份可免費公開獲取的NIST網(wǎng)絡(luò)安全實踐指南（NIST Cybersecurity Practice Guide），即SP 1800系列指南。這些實踐指南正是筆者的關(guān)切所在。

　　NCCoE的實踐項目包含兩種類型：一是積木（Building Blocks）；二是用例（Use Cases）。積木是技術(shù)領(lǐng)域，用例是行業(yè)領(lǐng)域。兩者分別包含了十幾個具體項目。對于這些已經(jīng)完成或正在進行的NCCoE實踐項目，可以參考《美國網(wǎng)絡(luò)安全 | NIST網(wǎng)絡(luò)安全實踐指南系列》。

　　06

　　美國官方權(quán)威參考資料

　　美國官方發(fā)布的權(quán)威零信任參考資料（均可鏈接至譯文）：

　　2019年4月：ACT-IAC（美國技術(shù)委員會-行業(yè)咨詢委員會）發(fā)布《零信任網(wǎng)絡(luò)安全當前趨勢》；

　　2019年7月：DIB（國防創(chuàng)新委員會）發(fā)布《零信任之路》；

　　2019年9月：NIST（美國國家標準與技術(shù)研究院）發(fā)布《零信任架構(gòu)標準（草案）》；

　　2019年10月：DIB（國防創(chuàng)新委員會）發(fā)布《零信任架構(gòu)（ZTA）建議》；

　　2020年2月：NIST發(fā)布《零信任架構(gòu)標準（第2版草案）》；

　　2020年3月：NIST NCCoE發(fā)布《實現(xiàn)零信任架構(gòu)（草案）》項目說明書；

　　2020年8月：NIST發(fā)布《零信任架構(gòu)》正式版；

　　2020年10月：NIST NCCoE發(fā)布《實現(xiàn)零信任架構(gòu)》（正式版）項目說明書，即本篇。