2021年5月，拜登簽署E.O. 14028“提高國家網(wǎng)絡(luò)安全防御能力”，要求政府所有部門必須在60天內(nèi)給出實現(xiàn)零信任架構(gòu)的計劃。為此，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）在2021年9月發(fā)布了零信任成熟度模型（ZTMM）1.0預(yù)覽草案；近期，CISA再次發(fā)布了新版ZTMM 2.0草案，盡管該ZTMM是根據(jù)行政命令EO 14028的要求專門為聯(lián)邦機構(gòu)量身定制的，但所有組織都應(yīng)審查并考慮采用下文中概述的方法。

誕生背景

最近的網(wǎng)絡(luò)事件凸顯了聯(lián)邦政府及大型企業(yè)在確保網(wǎng)絡(luò)安全方面所面臨的廣泛挑戰(zhàn)，并表明傳統(tǒng)方法已不足以保護(hù)國家免受網(wǎng)絡(luò)威脅。在領(lǐng)導(dǎo)國家努力理解、管理和降低網(wǎng)絡(luò)風(fēng)險的過程中，CISA必須迎接新的挑戰(zhàn)，使用清晰、可操作、基于風(fēng)險的方法來保護(hù)聯(lián)邦行政部門。

在制定和修訂本指南時，CISA參考了聯(lián)邦政府發(fā)布的以下ZTA材料：

• 管理和預(yù)算辦公室M-22-09——該備忘錄提出了一個聯(lián)邦政府零信任架構(gòu)戰(zhàn)略，要求各機構(gòu)在2024財年（FY）結(jié)束之前達(dá)到特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo)，以強化政府在抵御日益復(fù)雜和持續(xù)的威脅活動方面的能力。該戰(zhàn)略強調(diào)了企業(yè)身份驗證和訪問控制（包括MFA），要求在可行的情況下盡早加密所有網(wǎng)絡(luò)流量，為建立自動化的安全訪問規(guī)則基礎(chǔ)提供支持，并將每個應(yīng)用程序視為可從互聯(lián)網(wǎng)訪問。
• NIST SP 800-207——NIST SP（國家標(biāo)準(zhǔn)與技術(shù)研究院特別出版物） 800-207為企業(yè)安全架構(gòu)師描述了零信任概念，以幫助理解民用非機密系統(tǒng)的零信任架構(gòu)，并提供了在企業(yè)環(huán)境實施零信任遷移的路線圖。SP 800-207是多個聯(lián)邦機構(gòu)之間合作的產(chǎn)物，并由聯(lián)邦首席信息官委員會監(jiān)督。
• 國防部零信任參考架構(gòu)——國防部（DoD）的零信任參考架構(gòu)描述了以數(shù)據(jù)為中心的企業(yè)標(biāo)準(zhǔn)和能力，可用于成功推進(jìn)國防信息網(wǎng)絡(luò)（DoDIN）向互操作的零信任最終狀態(tài)的發(fā)展。
• NSA擁抱零信任安全模型——NSA（國家安全局）的“擁抱零信任安全模型”解釋了零信任安全模型的優(yōu)勢和實施挑戰(zhàn)，討論了制定詳細(xì)策略、投入必要資源、改進(jìn)實現(xiàn)的成熟度以及全面致力于零信任模型以實現(xiàn)預(yù)期結(jié)果的重要性。該文件對考慮采用零信任模型的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者、企業(yè)網(wǎng)絡(luò)所有者和管理員將大有裨益。

零信任概念  

NIST在SP 800-207中為零信任和ZTA提供了以下定義：

“零信任提供了一系列概念和思想，旨在最大限度地減少策略實施中的不確定性，以便在面對被視為受損的網(wǎng)絡(luò)時，基于每個請求為信息系統(tǒng)和服務(wù)實施準(zhǔn)確的、最低權(quán)限訪問策略。ZTA是企業(yè)采用零信任理念制定的網(wǎng)絡(luò)安全計劃，包括組件關(guān)系、工作流規(guī)劃和訪問策略。因此，零信任企業(yè)作為ZTA計劃的產(chǎn)物，包含網(wǎng)絡(luò)基礎(chǔ)架構(gòu)（物理和虛擬）和運營策略兩大部分。”

《SP 800-207》強調(diào)，零信任的目標(biāo)是“防止對數(shù)據(jù)和服務(wù)的未授權(quán)訪問，同時使訪問控制的實施盡可能細(xì)粒度。”類似地，國家安全電信咨詢委員會（NSTAC）將零信任描述為“一種網(wǎng)絡(luò)安全策略，其前提是任何用戶或資源都不能被隱性信任，而是假定妥協(xié)已經(jīng)發(fā)生或即將發(fā)生，因此，不應(yīng)該通過位于企業(yè)邊界的單一驗證機制授予用戶訪問敏感信息的權(quán)限。相反地，每個用戶、設(shè)備、應(yīng)用程序和會話都必須持續(xù)地進(jìn)行驗證。”

零信任代表了從“以位置為中心”的模型向“以身份、上下文和數(shù)據(jù)為中心”方法的轉(zhuǎn)變，并隨時間推移在用戶、系統(tǒng)、應(yīng)用程序、數(shù)據(jù)和資產(chǎn)之間進(jìn)行細(xì)粒度的安全控制。因此，采用ZTA是一項至關(guān)重要的工作，這種轉(zhuǎn)變?yōu)橹С职踩呗缘拈_發(fā)、實現(xiàn)、執(zhí)行和演進(jìn)提供了必要的可見性。從根本上說，零信任可能需要組織在其網(wǎng)絡(luò)安全理念和文化上做出變革。

需要明確的是，通往零信任的道路是一個逐步的過程，可能需要數(shù)年才能完成。最初，實施零信任所需的技術(shù)和服務(wù)可能會導(dǎo)致企業(yè)的成本增加，但從長遠(yuǎn)來看，零信任向最關(guān)鍵數(shù)據(jù)和服務(wù)進(jìn)行的精準(zhǔn)投資，將使安全投資更加明智，而非在整個企業(yè)范圍內(nèi)采用“一刀切”的安全投資。

零信任成熟度模型解讀

ZTMM代表了跨越5個不同支柱的逐步實現(xiàn)零信任優(yōu)化的過程，包括身份（Identity）、設(shè)備（Devices）、網(wǎng)絡(luò)（Networks）、應(yīng)用程序和工作負(fù)載（Applications and Workloads），以及數(shù)據(jù)（Data）。每個支柱都包含了一些橫跨所有支柱的通用功能：可見性與分析、自動化與編排，以及治理。

【圖1：零信任成熟度模型的支柱與相關(guān)能力】

該模型反映了NIST SP 800-207中概述的7個零信任原則：

1. 所有數(shù)據(jù)源和計算服務(wù)都被視為資源；
2. 無論網(wǎng)絡(luò)位置如何，所有通信都需要安全防護(hù)；
3. 以會話（per-session）為單位，對企業(yè)資源訪問進(jìn)行授權(quán)；
4. 按照動態(tài)策略確定資源訪問權(quán)限；
5. 企業(yè)監(jiān)視和衡量所有自有和關(guān)聯(lián)資產(chǎn)的完整性和安全姿態(tài)；
6. 在允許訪問之前，所有資源都必須經(jīng)過動態(tài)、嚴(yán)格地認(rèn)證和授權(quán)；
7. 企業(yè)盡可能多地收集有關(guān)資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信的狀態(tài)信息，并利用這些信息來改善安全態(tài)勢

隨著各機構(gòu)向最佳零信任實現(xiàn)過渡，相關(guān)解決方案越來越依賴于自動化流程和系統(tǒng)，這些流程和系統(tǒng)更全面地跨支柱集成，并更動態(tài)地執(zhí)行策略決策。每個支柱可以獨立演進(jìn)發(fā)展，也可能比其他支柱發(fā)展地更快，直到需要進(jìn)行跨支柱的協(xié)調(diào)。然而，這種協(xié)調(diào)需要相關(guān)支柱能夠在整個企業(yè)范圍和環(huán)境中相互兼容才能實現(xiàn)，這就要求能夠定義一個分步實現(xiàn)的零信任演進(jìn)路線，以分?jǐn)偝杀荆且淮涡匀客度搿?/p>

根據(jù)NIST提出的零信任實施步驟，各機構(gòu)在投資零信任能力（包括本模型中概述的支柱和功能）之前，應(yīng)評估其當(dāng)前的企業(yè)系統(tǒng)、資源、基礎(chǔ)設(shè)施、人員和流程，以幫助各機構(gòu)識別現(xiàn)有能力，來支持進(jìn)一步的零信任成熟度并確定優(yōu)先級缺口。各機構(gòu)還可以規(guī)劃跨支柱協(xié)調(diào)能力的機會，以實現(xiàn)細(xì)粒度、最小特權(quán)訪問控制并緩解額外風(fēng)險。

從傳統(tǒng)階段（Traditional）到初始（Initial）、高級（Advanced）和最佳（Optimal）三個階段的ZTM之旅，將促進(jìn)聯(lián)邦ZTA的實施。每個后續(xù)階段對保護(hù)能力、實現(xiàn)細(xì)節(jié)和技術(shù)復(fù)雜性都提出了更高的要求。

【圖2：零信任成熟度之旅】

• 傳統(tǒng)階段：手動配置生命周期（從建立到退役除）和屬性分配（安全和日志記錄）；靜態(tài)安全策略和解決方案，一次處理一個支柱與外部系統(tǒng)的離散依賴；只在配置時遵循最小特權(quán)原則；孤立的策略執(zhí)行支柱；手動響應(yīng)和緩解部署；以及依賴關(guān)系、日志和監(jiān)測的有限關(guān)聯(lián)。
• 初始階段：啟用自動化屬性分配和生命周期管理、策略決策和執(zhí)行，以及與外部系統(tǒng)集成的初始跨支柱解決方案；對配置后的最小特權(quán)的一些響應(yīng)性調(diào)整；針對內(nèi)部系統(tǒng)的聚合可見性。
• 高級階段：在適用的情況下，對跨支柱的策略、配置的生命周期和分配進(jìn)行自動控制；集中式的可見性和身份控制；跨支柱的策略執(zhí)行集成；對預(yù)定義的緩解措施進(jìn)行響應(yīng)；基于風(fēng)險和態(tài)勢評估調(diào)整最小特權(quán)；構(gòu)建企業(yè)范圍的感知（包括外部托管資源）。
• 最佳階段：完全自動化的即時生命周期及資產(chǎn)和資源的屬性分配，基于自動/觀察觸發(fā)器的動態(tài)策略進(jìn)行自我報告；在企業(yè)范圍內(nèi)對資產(chǎn)及其各自的依賴項實施動態(tài)的最小特權(quán)訪問（剛好夠用并在閾值內(nèi)）；具備持續(xù)監(jiān)控的跨支柱互操作；具備全面態(tài)勢感知的集中可見性。

圖3提供了ZTMM的高級概述，包括每個支柱在不同成熟度階段的關(guān)鍵能力，以及在不同成熟度階段的跨支柱能力特性。

【圖3：零信任成熟度模型概覽】

這些成熟度階段以及與每個支柱相關(guān)的詳細(xì)信息，允許機構(gòu)評估、規(guī)劃和維護(hù)實施ZTA所需的投資。在規(guī)劃ZTA的實施時，各機構(gòu)應(yīng)根據(jù)風(fēng)險、任務(wù)和操作限制等因素做出決策。各機構(gòu)在評估ZTA的影響因素時，仍需考慮與外部合作伙伴、利益相關(guān)者和服務(wù)提供商的互動和依賴關(guān)系。此外，該成熟度模型不應(yīng)被視為一組嚴(yán)格的要求，而應(yīng)被視為幫助機構(gòu)成功實施ZTA，并對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行整體改進(jìn)的通用指南。

身份  

身份是指描述機構(gòu)用戶或?qū)嶓w（包括非人實體）的一個或一組屬性。

各機構(gòu)應(yīng)確保并強制用戶和實體在正確的時間，為正確的目的訪問正確的資源，而不授予過度的訪問權(quán)限。各機構(gòu)應(yīng)盡可能在企業(yè)范圍內(nèi)集成身份、憑據(jù)和訪問管理解決方案，以強制執(zhí)行強身份驗證、實施基于上下文的授權(quán)，并評估機構(gòu)用戶和實體的身份風(fēng)險。在適當(dāng)?shù)那闆r下，各機構(gòu)應(yīng)整合其身份存儲和管理系統(tǒng)，以增強對企業(yè)身份、職責(zé)和權(quán)限的認(rèn)知。

下表列出了零信任架構(gòu)中“身份”的相關(guān)功能，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

設(shè)備  

設(shè)備是指可以連接到網(wǎng)絡(luò)的任何資產(chǎn)（包括其硬件、軟件、固件等），包括服務(wù)器、臺式機、筆記本電腦、打印機、手機、物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)設(shè)備等。

設(shè)備可以是機構(gòu)所有的資產(chǎn)，也可以是員工、合作伙伴或訪客的自帶設(shè)備（BYOD）資產(chǎn)。機構(gòu)應(yīng)確保所有自有設(shè)備的安全性，管理非機構(gòu)控制的授權(quán)設(shè)備的風(fēng)險，以阻止未授權(quán)設(shè)備訪問資源。設(shè)備管理包括維護(hù)所有資產(chǎn)（包括其硬件、軟件、固件等）的動態(tài)清單、配置信息及相關(guān)漏洞。

許多設(shè)備存在特定的ZTA挑戰(zhàn)，必須根據(jù)具體情況進(jìn)行評估，作為基于風(fēng)險的流程的一部分。例如，網(wǎng)絡(luò)設(shè)備、打印機等設(shè)備可能只提供有限的身份驗證、可見性和安全性選項。采取BYOD政策的機構(gòu)可能會有更少的選項來保持這些設(shè)備的可見性和控制。隨著技術(shù)環(huán)境的不斷變化，機構(gòu)也將繼續(xù)采用更多的設(shè)備來管理這些不斷演變的設(shè)備相關(guān)風(fēng)險。在某些情況下，本指南可能無法適用于各機構(gòu)的特定設(shè)備。各機構(gòu)也將面臨確?？尚旁O(shè)備及其服務(wù)未達(dá)到使用壽命并仍在其生命周期支持范圍內(nèi)的挑戰(zhàn)，因為遺留設(shè)備通常會存在更多未解決的漏洞、易受攻擊的配置和未知的風(fēng)險。

然而，盡管存在這些挑戰(zhàn)，各機構(gòu)仍然應(yīng)該能夠在實現(xiàn)ZTA方面取得重大進(jìn)展。本地計算資產(chǎn)管理涉及記錄和管理物理資產(chǎn)（設(shè)備）。隨著各機構(gòu)逐漸遷移至云，這為管理和跟蹤機構(gòu)的云和虛擬資產(chǎn)創(chuàng)造了新的機會。云資產(chǎn)包括計算資源（如虛擬機、服務(wù)器或容器）、存儲資源（如塊存儲或文件存儲）、平臺資產(chǎn)（如數(shù)據(jù)庫、Web服務(wù)器、消息總線/隊列）和網(wǎng)絡(luò)資源（如虛擬網(wǎng)絡(luò)、VPN、網(wǎng)關(guān)、DNS服務(wù)等），以及其他與托管云服務(wù)相關(guān)的虛擬資源（如人工智能模型）。

下表列出了零信任架構(gòu)中“設(shè)備”的相關(guān)功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

網(wǎng)絡(luò)  

網(wǎng)絡(luò)是指一個開放的通信媒介，包括傳統(tǒng)的通道（如機構(gòu)內(nèi)部網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和互聯(lián)網(wǎng)）以及其他通道（如用于傳輸信息的蜂窩和應(yīng)用程序級通道等）。

ZTA實現(xiàn)了從傳統(tǒng)的“以邊界為中心”的安全方法的改變，允許機構(gòu)管理內(nèi)部和外部流量、隔離主機、強制加密、分段活動，并增強了企業(yè)網(wǎng)絡(luò)的可見性。ZTA允許在更接近應(yīng)用程序、數(shù)據(jù)和其他資源的位置實現(xiàn)安全控制，并增強傳統(tǒng)的基于網(wǎng)絡(luò)的保護(hù)措施，提高了深度防御能力。

下表列出了零信任架構(gòu)中“網(wǎng)絡(luò)”的相關(guān)功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

應(yīng)用程序和工作負(fù)載  

應(yīng)用程序和工作負(fù)載包括在本地環(huán)境、移動設(shè)備和云環(huán)境中運行的系統(tǒng)、計算機程序和服務(wù)。

各機構(gòu)應(yīng)管理和保護(hù)其部署的應(yīng)用程序，并確保安全的應(yīng)用程序交付。細(xì)粒度訪問控制和集成的威脅防護(hù)可以提供增強的態(tài)勢感知，并減輕特定于應(yīng)用程序的威脅。各機構(gòu)還應(yīng)探索一些新的選擇，將運營重點從認(rèn)證邊界和更新ATO（Authorization to Operate），逐漸轉(zhuǎn)向?qū)?yīng)用程序自身的支持，使其無論是從內(nèi)部訪問，還是從外部訪問都具有相同的安全性。

下表列出了零信任架構(gòu)中“應(yīng)用程序和工作負(fù)載”的相關(guān)功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

數(shù)據(jù)  

數(shù)據(jù)包括駐留或曾經(jīng)駐留在系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫、基礎(chǔ)設(shè)施和備份（包括本地和虛擬環(huán)境）以及相關(guān)元數(shù)據(jù)中的所有結(jié)構(gòu)化和非結(jié)構(gòu)化的文件和片段。

按照聯(lián)邦政府要求，各機構(gòu)的數(shù)據(jù)應(yīng)該在設(shè)備、應(yīng)用程序和網(wǎng)絡(luò)上得到保護(hù)。各機構(gòu)應(yīng)清點、分類和標(biāo)記數(shù)據(jù)；保護(hù)靜止和傳輸中的數(shù)據(jù)；并部署檢測和阻止數(shù)據(jù)外泄的相關(guān)機制。各機構(gòu)應(yīng)仔細(xì)制定和審查數(shù)據(jù)治理策略，以確保在整個企業(yè)中適當(dāng)?shù)貓?zhí)行基于數(shù)據(jù)生命周期的安全管理。

下表列出了零信任架構(gòu)中“數(shù)據(jù)”的相關(guān)功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。

跨支柱能力  

可見性和分析、自動化和編排、治理的跨支柱能力，為推進(jìn)跨五大支柱的集成提供了機會。可見性和分析支持全面的可見性，為策略決策提供信息并促進(jìn)響應(yīng)活動；自動化和編排利用這些見解來支持強大的簡化操作，以處理安全事件并在事件出現(xiàn)時對其進(jìn)行響應(yīng)；治理使各機構(gòu)能夠管理和監(jiān)測其監(jiān)管、法律、環(huán)境、聯(lián)邦和運營需求，以支持基于風(fēng)險的決策制定，還可以確保通過采用正確的人員、流程和技術(shù)，實現(xiàn)任務(wù)、風(fēng)險和合規(guī)目標(biāo)。

下表提供了每種跨支柱能力的成熟度演進(jìn)情況：

原文鏈接：https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf