美國國防信息系統(tǒng)局（DISA）最近發(fā)布了初始零信任參考架構(gòu)，信息量非常大，具體結(jié)構(gòu)可參看柯老師發(fā)文《DISA發(fā)布國防部零信任參考架構(gòu)》。本文針對Department of Defense（DOD） Zero Trust Reference Architecture中的三幅圖進行了漢化，以便讀者清晰了解其中的成熟度模型、零信任支柱，高級別運行概念，認識零信任這一理念帶來的安全觀念轉(zhuǎn)變，不足之處請多多指教。

　　成熟度模型

　　零信任（ZT）是一個術(shù)語，指的是一套不斷發(fā)展的網(wǎng)絡(luò)安全范式，它將防御從靜態(tài)的網(wǎng)絡(luò)-基于邊界關(guān)注用戶、資產(chǎn)和資源。零信任體系結(jié)構(gòu)（ZTA）采用零信任原則規(guī)劃工業(yè)和企業(yè)基礎(chǔ)設(shè)施和工作流程。零信任假設(shè)沒有完全基于資產(chǎn)或用戶帳戶的物理或網(wǎng)絡(luò)位置（即局域網(wǎng)相對于或基于資產(chǎn)所有權(quán)（企業(yè)或個人擁有）。身份驗證和授權(quán)是在建立到企業(yè)資源的會話之前執(zhí)行的離散功能。

　　零信任是對企業(yè)網(wǎng)絡(luò)趨勢的一種響應(yīng)，包括遠程用戶、自帶設(shè)備（BYOD）和不位于企業(yè)擁有的網(wǎng)絡(luò)邊界內(nèi)的基于云的資產(chǎn)。零信任關(guān)注保護資源（資產(chǎn)、服務(wù)、工作流、網(wǎng)絡(luò)帳戶等），而不是網(wǎng)段，因為網(wǎng)絡(luò)位置不再被視為資源安全態(tài)勢的主要組成部分。本文檔包含了零信任體系結(jié)構(gòu)（ZTA）的抽象定義，并給出了零信任可以改善企業(yè)整體信息技術(shù)安全態(tài)勢的一般部署模型和用例。

　　全面實施零信任的方法從前期發(fā)現(xiàn)和評估任務(wù)開始。最初的發(fā)現(xiàn)過程將識別體系結(jié)構(gòu)中有關(guān)訪問和授權(quán)活動的數(shù)據(jù)。需要發(fā)現(xiàn)工作負載、網(wǎng)絡(luò)、設(shè)備和用戶之間的關(guān)系。

　　最終狀態(tài)ZTA要求安全策略的實現(xiàn)與特定的授權(quán)屬性和用戶和實體的信任級別相關(guān)聯(lián)。環(huán)境的先決條件評估將確定合規(guī)狀態(tài)、特權(quán)帳戶級別，并驗證現(xiàn)有安全控制的實現(xiàn)。

　　在設(shè)計零信任體系結(jié)構(gòu)之前，必須實現(xiàn)符合現(xiàn)有IT安全策略和標(biāo)準(zhǔn)的基線保護級別。零信任設(shè)計的成熟方面可能不會影響到所有的功能和控制，其成熟度模型見圖1。

零信任支柱

　　零信任支柱有助于對可以在環(huán)境中執(zhí)行零信任功能的功能和技術(shù)進行分類。DOD零信任架構(gòu)的七個支柱，見圖2：

　　用戶

　　保護，限制和強制個人，非個人和聯(lián)盟實體訪問DAAS包括ICAM功能的使用，例如多因素身份驗證（MFA）和連續(xù)多因素身份驗證（CMFA）。組織需要具有連續(xù)驗證，授權(quán)和監(jiān)視活動模式的能力，以控制用戶的訪問和特權(quán)，同時保護和保護所有交互。RBAC和ABAC將適用于此支柱內(nèi)的策略，以授權(quán)用戶訪問應(yīng)用程序和數(shù)據(jù)。

　　注：DAAS在其文中的含義為數(shù)據(jù)（Data），應(yīng)用程序（Applications），資產(chǎn)（Assets），服務(wù)（Services）設(shè)備

　　具有識別、認證、授權(quán)、庫存、隔離、安全、補救和控制所有的能力設(shè)備在零信任方法中是必不可少的。企業(yè)設(shè)備的實時認證和打補丁至關(guān)重要的功能。一些解決方案，如移動設(shè)備管理器或遵守連接程序提供數(shù)據(jù)這對于設(shè)備置信度評估很有用。對每一個訪問都應(yīng)進行其他評估請求（例如：檢查危急狀態(tài)、異常檢測、軟件版本、保護狀態(tài)、加密支持，等等）。

　　網(wǎng)絡(luò)/環(huán)境

　　通過粒度訪問和策略限制（邏輯上和物理上）進行分段，隔離和控制（內(nèi)部和外部）網(wǎng)絡(luò)/環(huán)境。隨著外圍通過宏分段變得越來越細，微分段為DAAS提供了更好的保護和控制。

　　a）控制特權(quán)訪問，

　　b）管理內(nèi)部和外部數(shù)據(jù)流，以及

　　c）防止橫向移動

　　這一點至關(guān)重要。

　　應(yīng)用程序和工作負載

　　應(yīng)用程序和工作負載包括本地系統(tǒng)或服務(wù)上的任務(wù)，以及在云環(huán)境中運行的應(yīng)用程序或服務(wù)。零信任工作負載涵蓋了從應(yīng)用程序?qū)拥焦芾沓绦虻恼麄€應(yīng)用程序堆棧。保護和正確管理應(yīng)用程序?qū)右约坝嬎闳萜骱吞摂M機是采用零信任的關(guān)鍵。諸如代理技術(shù)之類的應(yīng)用程序交付方法使附加保護能夠包括零信任決策和執(zhí)行點。開發(fā)的源代碼和通用庫通過DevSecOps開發(fā)實踐進行審查，以確保應(yīng)用程序從一開始就受到保護。

　　數(shù)據(jù)

　　零信任可保護關(guān)鍵數(shù)據(jù)，資產(chǎn)，應(yīng)用程序和服務(wù)。清楚了解組織的DAAS對于成功實施零信任架構(gòu)至關(guān)重要。組織需要按照任務(wù)的關(guān)鍵程度對DAAS進行分類，并使用此信息來制定全面的數(shù)據(jù)管理策略，并將其作為總體“零信任”方法的一部分。這可以通過對數(shù)據(jù)進行分類，開發(fā)模式以及對靜態(tài)和傳輸中的數(shù)據(jù)進行加密來實現(xiàn)。DRM，DLP，軟件定義的存儲和粒度數(shù)據(jù)標(biāo)記之類的解決方案與保護關(guān)鍵數(shù)據(jù)有關(guān)。

　　可見性和分析

　　重要的，上下文細節(jié)提供了對性能，行為和其他零信任支柱的活動基線。這種可見性改進了異常行為的檢測，并提供了對安全策略和實時訪問決策進行動態(tài)更改的能力。此外，其他監(jiān)視諸如傳感器數(shù)據(jù)和遙測技術(shù)等系統(tǒng)將被使用，這將有助于了解正在發(fā)生的事情與環(huán)境一起，將有助于觸發(fā)警報，用于響應(yīng)。零信任企業(yè)將會捕獲并檢查流量，超越網(wǎng)絡(luò)遙測和進入數(shù)據(jù)包本身，以準(zhǔn)確地發(fā)現(xiàn)流量網(wǎng)絡(luò)和觀察當(dāng)前的威脅，并更智能地定向防御。

　　自動化和編排

　　自動化手動安全流程，以在整個企業(yè)范圍內(nèi)快速，大規(guī)模地采取基于策略的行動。SOAR提高了安全性并減少了響應(yīng)時間。安全編排集成了安全信息和事件管理（SIEM）和其他自動化安全工具，并有助于管理不同的安全系統(tǒng)。自動化安全響應(yīng)需要零信任企業(yè)中所有環(huán)境中定義的流程和一致的安全策略實施，才能提供主動的命令和控制。

　　零信任高級運行概念

　　零信任高級運行概念提供了有關(guān)如何在體系結(jié)構(gòu)內(nèi)實施安全措施的操作視圖。見圖3圖片

　　獨立跟蹤非人實體（NPE）身份和用戶身份，從而允許跨執(zhí)行點驗證可信度級別的單獨路徑。認證和授權(quán)活動將在整個企業(yè)中眾多但集中的地方進行，包括客戶端，代理，應(yīng)用程序和數(shù)據(jù)。在每個執(zhí)行點，將日志發(fā)送到SIEM，并執(zhí)行分析以建立可信度。設(shè)備和用戶的可信度是獨立開發(fā)的，然后在適用于策略實施的情況下進行匯總。如果非人實體或用戶的可信度得分高于測得的閾值，則將授權(quán)他們查看請求的數(shù)據(jù)。DLP在此過程中對數(shù)據(jù)進行保護，DLP還向SIEM提供數(shù)據(jù)，以確保數(shù)據(jù)得到正確使用。

　　圖3中描述的決策點，組件下面標(biāo)識的功能代表了最終狀態(tài)的“零信任”實施?？刂茖Y源的訪問基于用戶和設(shè)備的風(fēng)險，零信任的基本要求是可能的，而無需實施所有已確定的功能就可以實現(xiàn)。具體內(nèi)容如下：

　　No.1 企業(yè)身份、憑證和訪問管理（ICAM）

　　包括身份提供者（IDP），自動帳戶設(shè)置（AAP）和主用戶記錄（MUR），用于識別和管理角色，訪問特權(quán)以及所處的環(huán)境用戶被授予或拒絕特權(quán)。

　　1. 身份提供者（IDP）

　　一種執(zhí)行直接認證的系統(tǒng)，可以選擇代表一個或多個信息系統(tǒng)提供授權(quán)數(shù)據(jù)。該系統(tǒng)還提供對NPE的身份驗證。

　　2. 自動帳戶設(shè)置（AAP）

　　提供身份治理服務(wù)，如用戶授權(quán)管理、業(yè)務(wù)角色審計和執(zhí)行，以及基于在企業(yè)以人為中心的活動（如入職和離職、持續(xù)審查、人才管理和準(zhǔn)備就緒培訓(xùn)）中產(chǎn)生的身份數(shù)據(jù)提供和取消賬戶。

　　3. 主用戶記錄（MUR）

　　使企業(yè)范圍內(nèi)的知識、審計和數(shù)據(jù)匯總報告誰有權(quán)訪問什么系統(tǒng)或應(yīng)用程序。MUR還將為識別內(nèi)部和外部威脅提供支持。

　　No.2 客戶和身份保證（Client and Identity Assurance）1. 身份驗證決策點

　　在嘗試訪問應(yīng)用程序和數(shù)據(jù)時，它會評估用戶，NPE和/或設(shè)備的身份。還可以評估設(shè)備是否被管理。ICAM參考設(shè)計中提供了非用戶NPE和用戶輔助NPE的其他用例。

　　2. 授權(quán)決策點

　　為請求此類訪問決策的實體作出授權(quán)決策的系統(tǒng)實體。它檢查訪問資源的請求，并將其與適用于所有訪問該資源請求的策略進行比較，以確定是否應(yīng)授予發(fā)出考慮中請求的請求者特定的訪問權(quán)。客戶機和設(shè)備授權(quán)是有條件訪問資源、應(yīng)用程序以及最終訪問數(shù)據(jù)的第一階段。

　　3. 能力

　　a） Comply-to-Connect （C2C）： 在設(shè)備能夠連接到內(nèi)部網(wǎng)絡(luò)并不斷更新其狀態(tài)之前，強制補丁和加固配置被應(yīng)用到設(shè)備上。

　　b） Privileged Access Management（PAM）：

　　指幫助保護、控制、管理和監(jiān)視對關(guān)鍵資產(chǎn)的特權(quán)訪問的一類解決方案。這包括對系統(tǒng)、應(yīng)用程序和服務(wù)的管理訪問。

　　No.3 以數(shù)據(jù)為中心的企業(yè)（Data-Centric Enterprise）1. 資源授權(quán)決策點（RADP）

　　這是一個中間決策點，它將評估合并后的NPE和用戶，以授權(quán)訪問請求。與前面的決策點一樣，這將利用信任度和已定義的策略來確定是否允許訪問。能力如下：

　　宏觀分段

　　將網(wǎng)絡(luò)劃分為具有不同屬性的更小的受控段的概念可以通過應(yīng)用額外的硬件或vlan來實現(xiàn)。

　　應(yīng)用程序交付控制（代理）

　　應(yīng)用程序交付控制器是一種設(shè)備通常位于防火墻和一個或多個應(yīng)用服務(wù)器之間的數(shù)據(jù)中心（一個被稱為DMZ的區(qū)域）。應(yīng)用程序交付控制器主要執(zhí)行應(yīng)用程序加速和處理服務(wù)器之間的企業(yè)級負載平衡。前幾代應(yīng)用程序交付控制器可以處理各種任務(wù)，包括但不限于內(nèi)容緩存、SSL卸載和加速服務(wù)、數(shù)據(jù)壓縮以及一些入侵防御服務(wù)。

　　2. 應(yīng)用程序授權(quán)決策點（AADP）

　　這是一個中間決策點，它將評估組合的NPE和用戶以授權(quán)訪問請求。像以前的決策點一樣，這將利用信任度和定義的策略來確定是否需要訪問。能入如下：

　　微分段

　　這是創(chuàng)建邏輯網(wǎng)絡(luò)區(qū)域以隔離段的實踐。通過啟用細粒度訪問控制，用戶、應(yīng)用程序、工作負載和設(shè)備根據(jù)邏輯屬性進行分段，可以保護這些分段。這也提供了與傳統(tǒng)的外圍安全相比的優(yōu)勢，因為較小的段呈現(xiàn)出較少的攻擊面（對于惡意的角色）。在零信任架構(gòu)中，安全設(shè)置可以應(yīng)用于不同類型的流量，創(chuàng)建將工作負載之間的網(wǎng)絡(luò)和應(yīng)用程序流限制為顯式允許的流的策略。分段網(wǎng)關(guān)和API訪問決策點可以將每個身份的訪問限制為顯式允許的API調(diào)用，允許粒度細化到“動詞”級別。

　　DevSecOps應(yīng)用程序開發(fā)

　　DevSecOps是一套軟件開發(fā)實踐，結(jié)合了軟件開發(fā)（Dev），安全性（Sec）和信息技術(shù)操作（Ops）來確保結(jié)果的安全性并縮短開發(fā)生命周期。軟件功能，修補程序和修補程序的出現(xiàn)頻率更高且自動化程度更高。

　　3. 數(shù)據(jù)授權(quán)決策點（DADP）

　　數(shù)據(jù)所有者使用數(shù)據(jù)參考體系結(jié)構(gòu)通過編排器或DLP/DRP服務(wù)器對數(shù)據(jù)應(yīng)用標(biāo)簽。能力如下：

　　Data Rights Management

　?。〝?shù)據(jù)權(quán)限管理）

　　一組訪問控制技術(shù)，防止未經(jīng)授權(quán)的訪問，修改和重新分配數(shù)據(jù)。強制由加密數(shù)據(jù)組成，其密鑰與數(shù)據(jù)所有者定義的策略綁定。加密密鑰將綁定到數(shù)據(jù)的安全策略，以執(zhí)行最低權(quán)限授權(quán)。

　　DLP

　　4. 數(shù)據(jù)

　　該流程的最后一步是訪問數(shù)據(jù)和應(yīng)用程序。數(shù)據(jù)標(biāo)記將用于確保所有數(shù)據(jù)的適當(dāng)分類級別，以幫助防止泄漏。

　　數(shù)據(jù)標(biāo)記

　　數(shù)據(jù)標(biāo)記對于政策制定至關(guān)重要，因為這些屬性將被對齊以確定有條件的訪問。隨著企業(yè)數(shù)據(jù)的規(guī)模和廣度，自動化以及機器學(xué)習(xí)和人工智能將需要作為輔助標(biāo)記過程的相關(guān)能力逐步引入。

　　No.4 動態(tài)訪問控制平面（Dynamic Access Control Plane）1. SOAR

　　這些術(shù)語用于定義處理威脅管理、事件響應(yīng)、策略實施和安全策略自動化的技術(shù)。零信任架構(gòu)將需要動態(tài)的策略實施和自動化。SOAR將與分析和政策引擎協(xié)同工作，以開發(fā)信任水平，并自動將政策交付到實施點。能力如下：

　　自動化策略部署

　　策略將由 Engine/

　　Orchestrator基于分析自動部署，并在實施點實現(xiàn)。

　　EDR

　　這是一個分析工具，提供對端點上惡意事件的實時監(jiān)視和檢測。EDR允許您在詳細的時間線中可視化威脅，而即時警報使您知道如果攻擊發(fā)生。

　　用戶活動監(jiān)視（UAM）

　　UAM可以監(jiān)視所有類型的用戶活動，包括所有系統(tǒng)、數(shù)據(jù)、應(yīng)用程序和用戶所采取的網(wǎng)絡(luò)行為，例如他們的網(wǎng)頁瀏覽活動，無論用戶是訪問未經(jīng)授權(quán)的或敏感的文件。

　　2. 分析和信任度評分

　　這些技術(shù)對實體、屬性和配置進行持續(xù)評估，以適應(yīng)部署的安全策略并對其進行風(fēng)險優(yōu)化。在授權(quán)活動中利用信任分數(shù)。

　　實體行為分析

　　分析來自SIEM的數(shù)據(jù)以確定訪問級別。

　　數(shù)據(jù)丟失防護

　　檢測潛在的數(shù)據(jù)泄露/數(shù)據(jù)過濾傳輸并通過監(jiān)控防止它們。

　　3. 利用安全信息和事件管理進行日志記錄

　　活動數(shù)據(jù)被匯總并存儲在SIEM中，SIEM同時提供了安全信息管理（SIM）和安全事件管理（SEM）功能。能力如下：

　　實體活動審核

　　零信任體系結(jié)構(gòu)將要求記錄所有活動，以確保進行適當(dāng)?shù)姆治龊托湃味仍u分。每個執(zhí)行點以及用戶和實體的行為分析將為制定訪問決策提供操作環(huán)境。