2021年5月，拜登簽署E.O. 14028“提高國家網(wǎng)絡安全防御能力”，要求政府所有部門必須在60天內給出實現(xiàn)零信任架構的計劃。為此，網(wǎng)絡安全和基礎設施安全局（CISA）在2021年9月發(fā)布了零信任成熟度模型（ZTMM）1.0預覽草案；近期，CISA再次發(fā)布了新版ZTMM 2.0草案，盡管該ZTMM是根據(jù)行政命令EO 14028的要求專門為聯(lián)邦機構量身定制的，但所有組織都應審查并考慮采用下文中概述的方法。

誕生背景

最近的網(wǎng)絡事件凸顯了聯(lián)邦政府及大型企業(yè)在確保網(wǎng)絡安全方面所面臨的廣泛挑戰(zhàn)，并表明傳統(tǒng)方法已不足以保護國家免受網(wǎng)絡威脅。在領導國家努力理解、管理和降低網(wǎng)絡風險的過程中，CISA必須迎接新的挑戰(zhàn)，使用清晰、可操作、基于風險的方法來保護聯(lián)邦行政部門。

在制定和修訂本指南時，CISA參考了聯(lián)邦政府發(fā)布的以下ZTA材料：

• 管理和預算辦公室M-22-09——該備忘錄提出了一個聯(lián)邦政府零信任架構戰(zhàn)略，要求各機構在2024財年（FY）結束之前達到特定的網(wǎng)絡安全標準和目標，以強化政府在抵御日益復雜和持續(xù)的威脅活動方面的能力。該戰(zhàn)略強調了企業(yè)身份驗證和訪問控制（包括MFA），要求在可行的情況下盡早加密所有網(wǎng)絡流量，為建立自動化的安全訪問規(guī)則基礎提供支持，并將每個應用程序視為可從互聯(lián)網(wǎng)訪問。
• NIST SP 800-207——NIST SP（國家標準與技術研究院特別出版物） 800-207為企業(yè)安全架構師描述了零信任概念，以幫助理解民用非機密系統(tǒng)的零信任架構，并提供了在企業(yè)環(huán)境實施零信任遷移的路線圖。SP 800-207是多個聯(lián)邦機構之間合作的產物，并由聯(lián)邦首席信息官委員會監(jiān)督。
• 國防部零信任參考架構——國防部（DoD）的零信任參考架構描述了以數(shù)據(jù)為中心的企業(yè)標準和能力，可用于成功推進國防信息網(wǎng)絡（DoDIN）向互操作的零信任最終狀態(tài)的發(fā)展。
• NSA擁抱零信任安全模型——NSA（國家安全局）的“擁抱零信任安全模型”解釋了零信任安全模型的優(yōu)勢和實施挑戰(zhàn)，討論了制定詳細策略、投入必要資源、改進實現(xiàn)的成熟度以及全面致力于零信任模型以實現(xiàn)預期結果的重要性。該文件對考慮采用零信任模型的網(wǎng)絡安全領導者、企業(yè)網(wǎng)絡所有者和管理員將大有裨益。

零信任概念  

NIST在SP 800-207中為零信任和ZTA提供了以下定義：

“零信任提供了一系列概念和思想，旨在最大限度地減少策略實施中的不確定性，以便在面對被視為受損的網(wǎng)絡時，基于每個請求為信息系統(tǒng)和服務實施準確的、最低權限訪問策略。ZTA是企業(yè)采用零信任理念制定的網(wǎng)絡安全計劃，包括組件關系、工作流規(guī)劃和訪問策略。因此，零信任企業(yè)作為ZTA計劃的產物，包含網(wǎng)絡基礎架構（物理和虛擬）和運營策略兩大部分。”

《SP 800-207》強調，零信任的目標是“防止對數(shù)據(jù)和服務的未授權訪問，同時使訪問控制的實施盡可能細粒度。”類似地，國家安全電信咨詢委員會（NSTAC）將零信任描述為“一種網(wǎng)絡安全策略，其前提是任何用戶或資源都不能被隱性信任，而是假定妥協(xié)已經發(fā)生或即將發(fā)生，因此，不應該通過位于企業(yè)邊界的單一驗證機制授予用戶訪問敏感信息的權限。相反地，每個用戶、設備、應用程序和會話都必須持續(xù)地進行驗證。”

零信任代表了從“以位置為中心”的模型向“以身份、上下文和數(shù)據(jù)為中心”方法的轉變，并隨時間推移在用戶、系統(tǒng)、應用程序、數(shù)據(jù)和資產之間進行細粒度的安全控制。因此，采用ZTA是一項至關重要的工作，這種轉變?yōu)橹С职踩呗缘拈_發(fā)、實現(xiàn)、執(zhí)行和演進提供了必要的可見性。從根本上說，零信任可能需要組織在其網(wǎng)絡安全理念和文化上做出變革。

需要明確的是，通往零信任的道路是一個逐步的過程，可能需要數(shù)年才能完成。最初，實施零信任所需的技術和服務可能會導致企業(yè)的成本增加，但從長遠來看，零信任向最關鍵數(shù)據(jù)和服務進行的精準投資，將使安全投資更加明智，而非在整個企業(yè)范圍內采用“一刀切”的安全投資。

零信任成熟度模型解讀

ZTMM代表了跨越5個不同支柱的逐步實現(xiàn)零信任優(yōu)化的過程，包括身份（Identity）、設備（Devices）、網(wǎng)絡（Networks）、應用程序和工作負載（Applications and Workloads），以及數(shù)據(jù)（Data）。每個支柱都包含了一些橫跨所有支柱的通用功能：可見性與分析、自動化與編排，以及治理。

【圖1：零信任成熟度模型的支柱與相關能力】

該模型反映了NIST SP 800-207中概述的7個零信任原則：

1. 所有數(shù)據(jù)源和計算服務都被視為資源；
2. 無論網(wǎng)絡位置如何，所有通信都需要安全防護；
3. 以會話（per-session）為單位，對企業(yè)資源訪問進行授權；
4. 按照動態(tài)策略確定資源訪問權限；
5. 企業(yè)監(jiān)視和衡量所有自有和關聯(lián)資產的完整性和安全姿態(tài)；
6. 在允許訪問之前，所有資源都必須經過動態(tài)、嚴格地認證和授權；
7. 企業(yè)盡可能多地收集有關資產、網(wǎng)絡基礎設施和通信的狀態(tài)信息，并利用這些信息來改善安全態(tài)勢

隨著各機構向最佳零信任實現(xiàn)過渡，相關解決方案越來越依賴于自動化流程和系統(tǒng)，這些流程和系統(tǒng)更全面地跨支柱集成，并更動態(tài)地執(zhí)行策略決策。每個支柱可以獨立演進發(fā)展，也可能比其他支柱發(fā)展地更快，直到需要進行跨支柱的協(xié)調。然而，這種協(xié)調需要相關支柱能夠在整個企業(yè)范圍和環(huán)境中相互兼容才能實現(xiàn)，這就要求能夠定義一個分步實現(xiàn)的零信任演進路線，以分攤成本，而非一次性全部投入。

根據(jù)NIST提出的零信任實施步驟，各機構在投資零信任能力（包括本模型中概述的支柱和功能）之前，應評估其當前的企業(yè)系統(tǒng)、資源、基礎設施、人員和流程，以幫助各機構識別現(xiàn)有能力，來支持進一步的零信任成熟度并確定優(yōu)先級缺口。各機構還可以規(guī)劃跨支柱協(xié)調能力的機會，以實現(xiàn)細粒度、最小特權訪問控制并緩解額外風險。

從傳統(tǒng)階段（Traditional）到初始（Initial）、高級（Advanced）和最佳（Optimal）三個階段的ZTM之旅，將促進聯(lián)邦ZTA的實施。每個后續(xù)階段對保護能力、實現(xiàn)細節(jié)和技術復雜性都提出了更高的要求。

【圖2：零信任成熟度之旅】

• 傳統(tǒng)階段：手動配置生命周期（從建立到退役除）和屬性分配（安全和日志記錄）；靜態(tài)安全策略和解決方案，一次處理一個支柱與外部系統(tǒng)的離散依賴；只在配置時遵循最小特權原則；孤立的策略執(zhí)行支柱；手動響應和緩解部署；以及依賴關系、日志和監(jiān)測的有限關聯(lián)。
• 初始階段：啟用自動化屬性分配和生命周期管理、策略決策和執(zhí)行，以及與外部系統(tǒng)集成的初始跨支柱解決方案；對配置后的最小特權的一些響應性調整；針對內部系統(tǒng)的聚合可見性。
• 高級階段：在適用的情況下，對跨支柱的策略、配置的生命周期和分配進行自動控制；集中式的可見性和身份控制；跨支柱的策略執(zhí)行集成；對預定義的緩解措施進行響應；基于風險和態(tài)勢評估調整最小特權；構建企業(yè)范圍的感知（包括外部托管資源）。
• 最佳階段：完全自動化的即時生命周期及資產和資源的屬性分配，基于自動/觀察觸發(fā)器的動態(tài)策略進行自我報告；在企業(yè)范圍內對資產及其各自的依賴項實施動態(tài)的最小特權訪問（剛好夠用并在閾值內）；具備持續(xù)監(jiān)控的跨支柱互操作；具備全面態(tài)勢感知的集中可見性。

圖3提供了ZTMM的高級概述，包括每個支柱在不同成熟度階段的關鍵能力，以及在不同成熟度階段的跨支柱能力特性。

【圖3：零信任成熟度模型概覽】

這些成熟度階段以及與每個支柱相關的詳細信息，允許機構評估、規(guī)劃和維護實施ZTA所需的投資。在規(guī)劃ZTA的實施時，各機構應根據(jù)風險、任務和操作限制等因素做出決策。各機構在評估ZTA的影響因素時，仍需考慮與外部合作伙伴、利益相關者和服務提供商的互動和依賴關系。此外，該成熟度模型不應被視為一組嚴格的要求，而應被視為幫助機構成功實施ZTA，并對網(wǎng)絡安全態(tài)勢進行整體改進的通用指南。

身份  

身份是指描述機構用戶或實體（包括非人實體）的一個或一組屬性。

各機構應確保并強制用戶和實體在正確的時間，為正確的目的訪問正確的資源，而不授予過度的訪問權限。各機構應盡可能在企業(yè)范圍內集成身份、憑據(jù)和訪問管理解決方案，以強制執(zhí)行強身份驗證、實施基于上下文的授權，并評估機構用戶和實體的身份風險。在適當?shù)那闆r下，各機構應整合其身份存儲和管理系統(tǒng)，以增強對企業(yè)身份、職責和權限的認知。

下表列出了零信任架構中“身份”的相關功能，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

設備  

設備是指可以連接到網(wǎng)絡的任何資產（包括其硬件、軟件、固件等），包括服務器、臺式機、筆記本電腦、打印機、手機、物聯(lián)網(wǎng)設備、網(wǎng)絡設備等。

設備可以是機構所有的資產，也可以是員工、合作伙伴或訪客的自帶設備（BYOD）資產。機構應確保所有自有設備的安全性，管理非機構控制的授權設備的風險，以阻止未授權設備訪問資源。設備管理包括維護所有資產（包括其硬件、軟件、固件等）的動態(tài)清單、配置信息及相關漏洞。

許多設備存在特定的ZTA挑戰(zhàn)，必須根據(jù)具體情況進行評估，作為基于風險的流程的一部分。例如，網(wǎng)絡設備、打印機等設備可能只提供有限的身份驗證、可見性和安全性選項。采取BYOD政策的機構可能會有更少的選項來保持這些設備的可見性和控制。隨著技術環(huán)境的不斷變化，機構也將繼續(xù)采用更多的設備來管理這些不斷演變的設備相關風險。在某些情況下，本指南可能無法適用于各機構的特定設備。各機構也將面臨確?？尚旁O備及其服務未達到使用壽命并仍在其生命周期支持范圍內的挑戰(zhàn)，因為遺留設備通常會存在更多未解決的漏洞、易受攻擊的配置和未知的風險。

然而，盡管存在這些挑戰(zhàn)，各機構仍然應該能夠在實現(xiàn)ZTA方面取得重大進展。本地計算資產管理涉及記錄和管理物理資產（設備）。隨著各機構逐漸遷移至云，這為管理和跟蹤機構的云和虛擬資產創(chuàng)造了新的機會。云資產包括計算資源（如虛擬機、服務器或容器）、存儲資源（如塊存儲或文件存儲）、平臺資產（如數(shù)據(jù)庫、Web服務器、消息總線/隊列）和網(wǎng)絡資源（如虛擬網(wǎng)絡、VPN、網(wǎng)關、DNS服務等），以及其他與托管云服務相關的虛擬資源（如人工智能模型）。

下表列出了零信任架構中“設備”的相關功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

網(wǎng)絡  

網(wǎng)絡是指一個開放的通信媒介，包括傳統(tǒng)的通道（如機構內部網(wǎng)絡、無線網(wǎng)絡和互聯(lián)網(wǎng)）以及其他通道（如用于傳輸信息的蜂窩和應用程序級通道等）。

ZTA實現(xiàn)了從傳統(tǒng)的“以邊界為中心”的安全方法的改變，允許機構管理內部和外部流量、隔離主機、強制加密、分段活動，并增強了企業(yè)網(wǎng)絡的可見性。ZTA允許在更接近應用程序、數(shù)據(jù)和其他資源的位置實現(xiàn)安全控制，并增強傳統(tǒng)的基于網(wǎng)絡的保護措施，提高了深度防御能力。

下表列出了零信任架構中“網(wǎng)絡”的相關功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

應用程序和工作負載  

應用程序和工作負載包括在本地環(huán)境、移動設備和云環(huán)境中運行的系統(tǒng)、計算機程序和服務。

各機構應管理和保護其部署的應用程序，并確保安全的應用程序交付。細粒度訪問控制和集成的威脅防護可以提供增強的態(tài)勢感知，并減輕特定于應用程序的威脅。各機構還應探索一些新的選擇，將運營重點從認證邊界和更新ATO（Authorization to Operate），逐漸轉向對應用程序自身的支持，使其無論是從內部訪問，還是從外部訪問都具有相同的安全性。

下表列出了零信任架構中“應用程序和工作負載”的相關功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

數(shù)據(jù)  

數(shù)據(jù)包括駐留或曾經駐留在系統(tǒng)、設備、網(wǎng)絡、應用程序、數(shù)據(jù)庫、基礎設施和備份（包括本地和虛擬環(huán)境）以及相關元數(shù)據(jù)中的所有結構化和非結構化的文件和片段。

按照聯(lián)邦政府要求，各機構的數(shù)據(jù)應該在設備、應用程序和網(wǎng)絡上得到保護。各機構應清點、分類和標記數(shù)據(jù)；保護靜止和傳輸中的數(shù)據(jù)；并部署檢測和阻止數(shù)據(jù)外泄的相關機制。各機構應仔細制定和審查數(shù)據(jù)治理策略，以確保在整個企業(yè)中適當?shù)貓?zhí)行基于數(shù)據(jù)生命周期的安全管理。

下表列出了零信任架構中“數(shù)據(jù)”的相關功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

跨支柱能力  

可見性和分析、自動化和編排、治理的跨支柱能力，為推進跨五大支柱的集成提供了機會?？梢娦院头治鲋С秩娴目梢娦裕瑸椴呗詻Q策提供信息并促進響應活動；自動化和編排利用這些見解來支持強大的簡化操作，以處理安全事件并在事件出現(xiàn)時對其進行響應；治理使各機構能夠管理和監(jiān)測其監(jiān)管、法律、環(huán)境、聯(lián)邦和運營需求，以支持基于風險的決策制定，還可以確保通過采用正確的人員、流程和技術，實現(xiàn)任務、風險和合規(guī)目標。

下表提供了每種跨支柱能力的成熟度演進情況：

原文鏈接：https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf