网络安全架构：零信任网络安全当前趋势

作者：柯善学

一、前言

本文介绍ACT-IAC（美国技术委员会-工业咨询委员会）于2019年4月18日发布的《零信任网络安全当前趋势》（《Zero Trust Cybersecurity Current Trends》）报告的主要内容。

该报告的目录如下：

执行摘要
项目背景
何为零信任
建立信任是基础
零信任的好处
部署零信任的建议步骤
联邦政府中对零信任的挑战
最后结论

笔者之前的文章《网络安全架构 | 零信任架构正在标准化》，介绍了美国国家标准技术研究所（NIST）和美国国防部国防创新委员会（DIB）对零信任的认识。

DIB可以视为美国军方的代表；
NIST可以视为美国标准（或美国民间）的代表；
ACT-IAC这一篇可以视为美国联邦政府的代表。

从不同的角度看看，也是蛮有意义的。

笔者计划，在介绍完《零信任网络安全当前趋势》这个报告之后，再次放出对NIST《零信任架构》草案的详细介绍（之前的介绍只是非常概要的）。原本是想等到NIST放出正式标准后，再全文翻译的。可是，日子只会溜走，等待只会遗憾。

相比《零信任网络》一书，上述这些材料虽然薄了点，但也算是美国比较官方的零信任材料，还是非常值得学习借鉴的。若不细看上几遍，不那么容易领会精髓。

二、项目背景

美国技术委员会（ACT）是一个非营利性的教育组织，旨在建立一个更加高效和创新的政府。

ACT-IAC（美国技术委员会-工业咨询委员会）提供了一个独特的、客观的、值得信赖的论坛，政府和行业高管正在共同努力，通过使用技术来改进公共服务和代理业务。

本报告所载的调查结果和建议是以协商一致为基础的，并不代表任何特定个人或组织的意见。

为了保持其合作过程的客观性和完整性，ACT-IAC不接受政府资助。

2017年5月，总统成立了美国技术委员会（ATC），以促进联邦政府安全有效地使用IT，并指示它编写一份关于联邦IT现代化的报告。2017年晚些时候发布的IT现代化报告和相关的行政命令2，将使机构“……从保护他们的网络边界和管理传统的物理部署，到保护联邦数据和云优化部署”。它承认，这项工作的成功需要新的方法和战略。

2018年5月，联邦首席信息官理事会服务、战略和基础设施委员会要求ACT-IAC承担一项与零信任（ZT）和潜在联邦机构采用有关的项目。与此同时，联邦机构将从2023年3月开始，将网络服务从目前的总务管理局（GSA）合同转到新的企业基础设施解决方案（EIS）合同。联邦政府有一个独特的机会，来利用IT现代化和EIS过渡的汇合，以深刻变革机构的网络服务交付和数据保护。

ACT-IAC建立了政府和工业志愿者的项目团队，主要来自其网络、电信和网络安全社区。他们的工作被设计为评估ZT技术和服务的技术成熟度和可用性，并识别和解决与潜在的联邦机构采用相关的其他重要问题。

该项目侧重于两个工作流程：

第一个工作流程：评估了市场上支持ZT的实际工具，并确定了尚未实现的概念化能力。市场研究侧重于评估技术成熟度和准备度、适合性、可扩展性和基于实际实现的可承受性。

这包括六家公司（Cisco, Duo, Palo Alto, Zscaler, Fortinet, Cyxtera）的展示和演示，他们已经向商业和公共部门提供了其产品和服务中的ZT元素。

第二个工作流程：主要集中在信任算法上。这些动态算法用于生成信任分数，这对于全面的ZT解决方案是必不可少的。信任分数用于根据定义的标准授予、限制或拒绝访问。项目团队开发了对现有信任算法工作的理解，以向联邦机构提供关于这个主题的建议。

三、执行摘要

今天的系统正在扩展和演变为移动和云的环境，将传统的基于边界的网络安全方法扩展到了临界点。

一种称为“零信任（ZT）”的新方法，可能大幅改变和提高机构保护他们的系统和数据的能力。

ZT是一个安全概念，其基础是组织需要主动控制人员、数据和信息系统之间的所有交互，以将安全风险降低到可接受的水平。

ACT-IAC被联邦CIO理事会要求评估ZT技术的成熟度，它们的准备性和在政府中的适用性，以及如果他们选择使用ZT，机构将面临的问题。本报告提供了该评估的结果。

现代IT安全解决方案需要结合几个最小特性：

1）在信任框架内隔离用户、设备、数据和服务，以确保每一个访问请求都被验证并故意允许或不批准；
2）能抵抗攻击和对攻击有弹性，而没有大的管理负担；
3）能够容易、快速地（如果不是自动地）适应不断变化的服务环境，也没有很大的管理负担。

ZT通过处理所有用户、设备、数据和服务请求，来满足这些特性。

ZT本质：它从一个组织中所有资产都是开放和可访问的传统安全策略，转变为需要持续的身份验证和授权才能访问任何资产。这个根本的变化是ZT的本质。ZT不是你要买的东西，它是一个安全概念、策略和架构设计方法。

ZT解决方案现状：ZT解决方案是广泛可用的，目前正在私营部门使用。市场上也存在着良性竞争。目前没有一家供应商提供单一的、整体的ZT解决方案。要获得一个全面的解决方案，需要集成多个供应商的产品和服务。一些不同的ZT架构方法可供机构选择。

实施ZT的条件：

实施ZT不需要大规模更换现有网络或大量获取新技术。ZT应该增加其他现有的网络安全实践和工具。许多联邦机构已经在其基础设施中拥有ZT的元素，并遵循在日常运作中支持它的实践。诸如身份凭证和访问管理（ICAM）、基于信任算法的访问标准、自动策略决策和连续监视等元素，是成功的ZT的关键补充。
ZT采用的是渐进式方法。它在规模、步调、风险偏好和最终实现程度上给机构提供了很大的自由度。然而，在开始实施ZT之前，组织必须牢牢把握他们的用户和他们的角色、他们的数据和他们的技术资产。
实施ZT需要“整个机构”的努力。由于ZT可以影响任务计划系统的安全性、风险性和性能，机构负责人和受影响的项目负责人必须与IT人员一起合作设计和实施ZT。

ZT需要由任务驱动，而不是只为了自己的利益而由IT驱动。

四、何为零信任

2004年，零信任作为一个安全设计的概念，由Jericho论坛引入， Jericho论坛是一个总部设在英国的首席信息安全官（CISO）群体。他们看到由于云和移动计算的加速使用，导致访问和授权的方式改变之后，这个有远见的团体假设了一个安全模型，这个模型对于传统的边界正在消失或变得不相关的世界是正确的，工作流正在移动到云，而移动端点对于应用程序访问正成为规范。

近年来，我们看到了这一加速，因为向健壮、快速的5G网络移动，导致一些组织怀疑他们是否应该提供网络服务。

2010年， John Kindervag（约翰德金瓦格）在Forrester进行研究时，创造了“零信任”或“零信任网络”这一术语，以解决Jericho论坛提出的问题。从那时起，零信任的兴趣增加，作为解决溶解或不断移动边界的潜在安全方法。

大多数现有的企业网络都是扁平的，即数据和用户网络之间几乎没有分离。传统的中心辐射网络模型的弱点在于其架构。通过防火墙跨越信任与不信任之间的鸿沟，从本质上说是危险的。相反，零信任不再区分“内部”和“外部”网络周边。

一般来说，零信任：

提供用户从任何地方以任何方式访问任何地方的数据的一致性安全策略；
在访问服务和/或数据时，采取“从不信任并始终验证”的立场；
无论源于何处的请求位置，都需要持续授权；
增加整网可视性和分析性。

此外，零信任依赖于五个基本断言：

网络总是被认为是怀有敌意的；
网络外部和内部威胁始终存在；
网络位置不足以决定网络中的信任；
每个设备、用户和网络流都经过认证和授权；
策略必须是动态的，并根据尽可能多的数据来源进行计算。

五、零信任概念安全模型的六大支柱

零信任可以被认为是一项战略举措，与组织框架一起，使决策者和安全领导人能够达成务实和有效的安全实现。

1）零信任的支柱

概念安全模型有助于理解和组织这些组件。零信任安全模型见下图：

任务焦点

IT能力存在于组织内，是为了使任务得以实现，而不是为了自身目的而存在。这种逻辑可以扩展到零信任。信息保护的需求应该由任务驱动，由IT组织来完成。IT组织应该与任务和高层领导一起工作以获得支持，并为创建对于零信任的组织需求而奋斗。

数据基础

零信任架构的目的是保护数据。对一个组织的数据资产的清晰理解，是成功实现零信任架构的关键。组织需要根据任务关键性，来分类他们的数据资产，并使用这些信息来开发数据管理策略作为其整体ZT方法的一部分。

支柱1-用户：人员/身份安全

可信用户的持续身份验证对ZT至关重要。这包括使用身份、凭证和访问管理（ICAM）和多因素认证（MFA）等技术，并持续监测和验证用户可信度，以管理其访问和权限。防护和保护用户交互的技术，如传统的Web网关解决方案，也很重要。

支柱2-设备：设备安全

实时的网络安全态势和设备的可信性是ZT方法的基本属性。一些“记录系统”解决方案（如移动设备管理器）提供可用于设备信任评估的数据。此外，对每个访问请求应进行其他评估（例如，入侵状态的检查、软件版本、保护状态、加密启用等）。

支柱3-网络：网络安全

有人认为，边界保护对于网络、工作流、工具和操作变得越来越不重要。这不是由于单一的技术或用例，而是许多新技术和服务的汇聚，允许用户以新的方式工作和通信。零信任网络有时被描述为“无边界”，这有点误入歧途。零信任网络实际上试图从网络边缘和片段中移动边界，并将关键数据与其他数据隔离。周界仍然是一个现实，尽管是以更细粒度的方式。传统的基础设施防火墙边界“城堡和护城河”的做法是不够的。边界必须更接近于数据与微分段，以加强保护和控制。

随着代理将其网络部分或完全过渡到软件定义网络（SDN）、软件定义的广域网（SD-WAN）和基于Internet的技术，网络安全正在扩展。关键是：（a）控制特权网络访问；（b）管理内部和外部数据流；（c）防止网络中的横向移动；（d）具有可视性，以便对网络和数据流量进行动态策略和信任决策。分段、隔离和控制网络的能力，仍然是零信任网络安全的关键点。

支柱4-应用：应用程序和工作负载安全

确保和适当地管理应用层以及计算容器和虚拟机是ZT采用的核心。具有识别和控制技术堆栈的能力，有助于更细粒度和准确的访问决策。毫无疑问，多因素身份验证（MFA）是在ZT环境中为应用程序提供适当访问控制的一个日益关键的部分。

支柱5-自动化：安全自动化和编排

和谐、成本高效的ZT充分利用安全自动化响应工具，通过工作流自动化跨产品的任务，同时允许最终用户的监督和交互。安全操作中心（SOC）通常使用其他自动化工具进行安全信息和事件管理（SIEM）以及用户和实体行为分析（UEBA）。安全编排连接这些安全工具，并协助管理不同的安全系统。这些工具可以以集成的方式工作，大大减少体力劳动和事件反应时间，并降低成本。

支柱6-分析：安全可见性和分析

你不能对抗一个你看不见或无法理解的威胁。ZT利用诸如安全信息管理、高级安全分析平台、安全用户行为分析和其他分析系统这样的工具，使安全专家能够实时地观察正在发生的事情和更智能地定向防御。对网络相关事件数据的分析，有助于在实际事件发生之前制定主动安全措施。

2）其它零信任安全模型

其它几种模型可用于帮助组织理解概念并指导他们在其环境中引入零信任的努力：

零信任扩展（ ZTX ）生态系统框架：由Forrester开发，该框架被描述为一个安全架构和运行手册。

持续适应性风险和信任评估（CARTA）模型：来自Gartner，CARTA被描述为一种在高级威胁环境中支持数字业务转型的方法，这种环境需要一种新的安全方法。零信任可以是整个CARTA安全方法的子组件。

3）隐私关注

将隐私集成到ZT架构设计和生命周期过程中是非常重要的。

随着我们将计算推向“边缘”，导致日益复杂的IT信息系统和设备的世界，围绕IT投资的隐私问题也在增加。

将隐私控制到安全控制目录的完全集成，是下一代NIST SP 800-53（Rev 5）安全和隐私控制标准的主要目标。

ZT实施可能有新的和不同的方法，来监视用户行为和/或跟踪用户身份。ZT从业者需要确保他们遵守适用的隐私法律、法规、标准和政策。

通过与机构隐私官员密切协调设计和开发工作，这一领域的成功是可以实现的。特别重要的是，根据20026电子政务法第208条的要求，确保所有的ZT实施在机构隐私影响评估（PIA）中有适当的披露。

4）谷歌“BeyondCorp”模型

谷歌“BeyondCorp”模型是关于零信任实现的最早讨论和文档化的例子。

BeyondCorp提供了一个实际的零信任实现的例子。虽然Google是一家商业企业，但其许多内部组件应该是任何企业都熟悉的。

BeyondCorp基于原始零信任前提：传统的基于边界的安全不足以保护内部网络和数据。此外，谷歌认识并促进云技术的发展，并将应用程序从本地数据中心移动到云提供的应用程序和服务。

BeyondCorp零信任支柱：

从特定网络的连接，不得确定您可以访问哪些服务；
到服务的访问权限，基于我们对您和您的设备的了解授予。
所有到服务的访问，必须经过认证、授权、加密。

BeyondCorp组件：可以映射到上述零信任支柱的以下组件：

单点登录
访问代理
访问控制引擎
用户清单
设备清单
安全策略
信任知识库

组件交付方式：

这些组件是作为Google云平台的一部分交付的，许多组件是由Google集成访问代理交付的。由于这是一个只通过云的交付策略，所以使用基于虚拟软件的解决方案，来配合软件定义边界的使用是必要的。应用程序被迁移到云中，在云中可以交付细粒度的访问控制。这消除了授权应用程序访问谷歌Intranet的必要性。

Google使用一种基于代理的方法作为强制点，来控制对在Google云平台上交付的托管应用程序的访问。该代理方法已被改进，并作为云身份感知代理产品交付，它控制了零信任的基本支柱。

六、建立信任是基础

作为一个框架，零信任意味着天生的不信任（“ 默认拒绝”），需要一种强调持续监测和评估的自适应部署模型。

问题一：在这种以信任为中心的转变中，首要的问题之一是“我们如何确定某事物的可信度？”许多安全组织很难回答这个问题。

传统程序：假定所有数据和事务都是可信的，而实际上，入侵、数据丢失、恶意参与者等都会降低信任。
零信任：则是按动了信任计算，通过假设所有数据和事务从一开始就不受信任。

问题二：新的问题是“我们如何获得足够的信任？“虽然一些关键概念和组件可以应用于所有部署，但没有可应用于每个组织的固定公式。信任会随着组织的需要和关注而改变。

1）零信任三角

零信任环境集成了数据、用户、设备、应用程序的控制，以管理所有事务的可信性（参见下图：零信任三角）。

信任引擎：是一种用于通过赋予信任分数来动态评估网络中的用户、设备或应用程序的总体信任的技术。信任引擎使用计算出的信任分数，为每个事务请求做出基于策略的授权决策。

信任分数：是由组织预先定义或选择的因素和条件计算出的值，用于确定给定用户、设备或应用程序的可信性。诸如位置、时间、访问时长和采取的行动等信息，是确定信任分数的潜在因素的例子。

微分段：是一种安全技术，能够将细粒度安全策略分配给数据中心应用程序，粒度可以降到工作负载级别和设备层面。这意味着安全策略可以与虚拟网络、虚拟机、操作系统或其他虚拟安全目标进行同步。

在零信任三角内，信任引擎通过使用信任分数来评估进入网络的任何代理的可信性。

代理（或“网络代理” ）：是指在网络请求中已知的关于参与者的数据组合的术语，通常包含用户、应用程序、设备。该数据组合，根据需求实时地查询，以提供情境上下文以使最佳授权决策成为可能。在计算出信任分数之后，用户、应用、设备、分数被绑定以形成代理。然后，策略可以应用到代理上，以授权请求。

2）零信任架构中的控制和数据平面

零信任架构基于控制平面/数据平面模型（见下图）：

控制平面：由接收和处理来自希望访问（或准许访问）网络资源的数据平面设备请求的组件组成。控制平面协调和配置数据平面。

数据平面：零信任架构中的几乎所有其他事物都被称为数据平面。数据平面包含所有应用程序、防火墙、代理、路由器，它们直接处理网络上的所有流量。

图中所示的架构，支持访问受保护资源的请求，该请求首先通过控制平面发出，其中设备和用户都必须经过身份认证和授权。细粒度策略可以应用于该层，可能基于组织中的角色、一天中的时间、或设备类型。访问更安全的资源，还可以要求更强的身份验证。

一旦控制平面决定允许请求，它将动态配置数据平面，以接受来自该客户端（并且仅限于该客户端）的流量。

此外，它还可以协调请求者和资源之间加密隧道的细节。这可以包括临时的一次性使用凭据、密钥和短暂端口号。

虽然可以在这些措施的强度上做出一些折衷，但 基本思想是：一个权威的来源或可信的第三方，被授予一种能力，即基于各种输入，能够实时地认证、授权和协调访问。

代理中包含的富化信息，允许非常灵活但细粒度的访问控制，它可以通过在策略中包括评分组件来适应不同的条件。如果请求被授权，则控制平面向数据平面发送信号以接受传入的请求。

此操作还可以配置加密详细信息。加密可以应用于在设备级、应用级或两者之上的静止数据和移动数据。至少需要一个用于保密性。

利用这些认证和授权组件，以及在协调加密信道的控制平面的帮助下，零信任模型可以断言网络上的每一个流，都是经过认证和预期的。

主机和网络设备可以丢弃尚未应用所有这些组件的流量，从而显著降低敏感数据泄漏的可能性。此外，通过记录每一个控制平面的事件和动作，网络流量可以容易地在逐个流量或逐个请求的基础上进行审计。

七、零信任的益处

当对迁移到零信任架构进行评估时，组织内的技术和业务领导者都必须看到潜在的好处。

核心ZT成果应集中于：创建更安全的网络，使数据更安全，减少违规带来的负面影响，提高合规性和可视性，实现更低的网络安全成本，并提高组织的整体风险态势。

实施的好处取决于部署ZT原则的程度和所使用的操作模型。丢失的或被盗的数据、外泄的知识产权和其他类型的违规行为，会损害组织的资金和声誉。避免这种情况是成功采用ZT的关键。

1）更加安全的网络

实施一个“从不信任，永远验证”的方法，应该加强对网络中正在发生的事情的可见度。新工具可以提供对访问请求的任何人的用户、设备、位置、信誉的更高可见性。运营者很难防止或修复他们看不见的东西，所以可见性是关键。如果用户、设备或行为未被识别或超出用户基线风险评分，它们将被丢弃。

ZT还细分了内部架构，以限制常与系统渗透漏洞相关的用户“漫游”。

传统上，企业已经部署“内部防火墙”作为一种分段方法，但是现在可以使用增强的方法来实现微边界。有了ZT，用户就不能再登录并拥有“网络旅行”。相反，它们被授权只能使用与预先确定的信任级别和访问相关联的特定的微边界。

2）关注更安全的数据

保护数据在网络中的传输和存储，是任何网络价值的主要部分。保护所有数据，无论是静止的还是运动的，都是ZT架构的主要支柱。有助于这种保护的关键技术包括加密、虚拟专用网络（VPN）和数据防泄漏功能。网络运营商可以为每种类型的保护选择单独的工具，也可以选择提供多种功能的整合工具。

与云计算和“物联网”设备的增加相关的最近趋势，已经拓宽了网络的边缘。这可能为数据的操作创造了机会。因此，当数据在互连网络周围移动时，对数据进行保护是很重要的。 ZT方法强调识别高价值数据并优先保护它。通过网络分段来保护数据，可以帮助避免“砖块”攻击（删除数据），并且反过来，可以保持数据完整性更高，并减少代价昂贵的补救诉讼的可能性。

3）改进对现有和演化的威胁的保护

传统上，威胁的演变速度与安全研究人员发布漏洞修补程序的速度一样快。随着时间的推移，前沿企业了解到，以“漏洞赏金”的形式支付漏洞研究，是一种非常有效的（盈利的）方法，在漏洞被利用之前识别脆弱的系统。事实上，这会使合法的安全研究人员对抗敌对的“黑客”：他们之间的竞争，继续演变为威胁景观。然而，尽管漏洞市场对组织是有利的，但国家敌对行为体也发展了。

国家资助的黑客训练有素，资源充足，坚持不懈。有足够的证据表明，许多国家有攻击性的网络能力，这是全职工作。使用新的战术、技术和程序，如人工智能和机器学习结合国家级开发代码（例如，永恒之蓝），正在呈指数增长。这可能会使易受攻击的组织的安全操作团队无法处理更多的事件。它还可以使攻击者横向移动，在一个受损的组织中，以前看不见的速度和准确性。任何新的安全能力必须适应新的现实，并有效地降低外部（互联网可发现）和内部（内部威胁）攻击面。

零信任以类似的、不折不挠的方式解决这两个问题：未经充分认证则拒绝对任何服务或数据的访问。在标准的当前网络设计中，网络代理通常通过产生一个记忆口令和令牌码或硬件认证器的两个因素的过程，而被授予访问权限。添加ZT组件，与行为信任评分、位置ID和微分段相关联，将增强是否允许代理进入网络的决定。一旦进入网络，它将阻止漫游到未经授权的区域。将ZT能力与传统工具（如下一代防火墙、数据防泄露、行为启发）结合起来，可以进一步加强网络。

4）减少违规行为的影响

实施ZT架构时，由于网络分段以及用户获得有限访问权限，将减少违规造成的影响。违规造成的更小影响，将减少业务中断并保持较低的补救成本。违规造成的更小影响，可以帮助维持组织的声誉和客户和干系人的信任。分段是限制受到漏洞影响的区域的关键技术。将访问权限限制为仅允许单个用户访问的网络区域，有助于减少违规的影响。

5）提高合规性和可见度

联邦机构网络不缺少现有或未决的合规要求，包括：联邦信息安全管理法案、联邦风险和授权管理程序（FedRAMP）、可信互联网连接（TIC）3.0、国家标准与技术研究所（NIST）出版物。

在整个网络中应用这些要求，可能是一项挑战；但是，通过分段的方法，合规性通常可以通过更小、更相关的审计来解决，从而使机构能够更快地满足合规性要求。可重用模板方法可用于具有类似特征的网络分段。关键的好处是合规的速度。

在ZT架构中提高可见性也有好处。提高了谁、什么和哪里的可见性，使网络运营者能够更密切地记录行为和活动。从改进的可视性处理的分析，进一步有利于网络运营者。

6）潜在成本缩减

更低的成本，可以从更好的集成工具、减少VPN使用、简化运营模式、避免丢失数据、诉讼和损坏声誉来产生。当与ZT架构相结合时，政府组织可能会寻求使用低成本的商品线路（就风险而言）来更新基础设施。这些较低成本的直接互联网接入线路，也促进了更安全的软件定义广域网（ SD-WAN）连接的附加好处。

评估一个机构已经部署的（或即将部署的）零信任的各种支柱的组件/元素。这些是沉没成本，可能不需要包括在新的投资回报率计算或讨论中。此外，与现有工具的集成，可以极大地降低操作ZT所需的投资。

底线—— 零信任必须简化而不是复杂化您的安全策略，以节省资金。

八、部署零信任的建议步骤

1）部署零信任的考虑

如果计划在安全策略中包含零信任，则当前环境可能已经包含可以利用的ZT工具和组件。

例如，一个机构已经拥有强大的 ICAM实现，具有多因素认证，则可以利用它来支持零信任“ 用户支柱”能力。
类似地，如果一个机构拥有移动设备管理或系统清单工具，它们可以被用于“ 设备支柱”组件。
在安全架构的任何变化中，重要的是考虑已有的投资可以被利用以及新模型如何以及在哪里快速实现。

重要的是要确保在规划阶段尽早选择正确的方法。在选择特定的ZT解决方案时，决策必须平衡安全和成本，并能够解决今天和明天的挑战。

零信任可以提供一种成熟的解决方案，它不需要增加运营复杂性或要求主要的架构改变。事实上，它可以简化运营，同时提高安全性并保护关键的高价值资产。

查看和验证谁有权访问应用程序和数据，并确保受信任的流量没有受到损害的能力，至关重要。解决方案应能够分析活动威胁、恶意软件、病毒、受损凭据和受限敏感数据的允许通信量。行为分析和自动化可以应用于整合日志记录，以阻止隐藏的不良行为体看起来可信。

零信任是一种使用支柱进行粒度、受限和验证的访问控制。一个共同的框架，将允许这些支柱协同工作，同时通过整合和战略伙伴关系来降低复杂性。

2）零信任成熟度模型

零信任网络转换不必一次完成。 ZT成熟度模型可以帮助指导组织踏上零信任之旅。该模型可以帮助组织、跟踪和沟通正在进行的工作。这些模型可以定制，以说明工作从哪里开始和跟踪进展的主要里程碑。下图包含了一个成熟度模型的示例：

零信任成熟度模型：

阶段1：建立用户信任。

您的组织是否有一个明确的与业务需求相一致的 ICAM战略，导致了由基于风险的策略所支持的 MFA解决方案的全面实施和集成？

阶段2：获得设备和活动的可视性。

您的组织是否有一个最新的 资产清单，可区分托管和非托管设备，作为集成IT和安全功能的一部分，对它们进行健康检查？

阶段3：确保设备可信。

您的组织是否有一个受信任的 设备策略，提示用户在管理的过程中针对已度量的漏洞更新其设备，并报告策略外设备？

阶段4：实施自适应策略。

您的组织是否通过一个 集中管理的策略来控制用户访问，该策略能识别异常并根据异常采取行动？

阶段5：零信任。

您的组织是否有一个由架构和一组过程支持的 与业务对齐的零信任策略，使用户能够无缝访问内部和云应用程序？

3）微分段方法

零信任是Gartner CARTA发展路线图上的第一步。大多数企业数据中心都与公共网络隔离，并与最终用户硬件分离。与最终用户访问公共互联网一样，对数据中心的访问是基于信任的，信任通常是通过验证IP地址建立的。

在数据中心，专有的企业信息和应用是横向存储的。这种扁平的层次结构意味着，如果一个坏角色渗透到数据中心，所有信息都有风险。攻击者在一个服务器上获得立足点，可以很容易地横向传播（东/西）到其他系统。“这种横向移动是威胁传播的通用向量——想想近期的Cryptolocker和Petya恶意软件感染。

微分段可以帮助抵抗横向移动。

微分段是一种网络管理方法，顾名思义，将用户的用户流量分成上下文通道。微分段允许企业隔离工作负载，并将它们彼此保护。
策略定义是逻辑的，这意味着网络流量可以缩小到隔离的用户信道。可以将其视为授权用户、应用程序和设备之间的安全隧道。
更重要的是，微分段不同于通过IP地址分解安全策略的方式，而是通过授权的用户和应用程序来关联定义好的访问策略。
它还（通常）要求分段监测、基线流量评估、异常检测。

常见的微分段步骤包括：

1） 进行审计。在用户、应用程序、数据存储等之间映射所有形式的网络连接（包括LAN、WAN/SD-WAN、远程等）。
2） 识别风险。
3） 定义一个“默认拒绝”的分段方法：您要保护什么？你要隔离什么？你要使用容器甚至API来分隔流量吗？
4） 按分段定义策略：确保策略绑定到逻辑属性而非IP地址。
5） 评估技术差距：包括网络覆盖、加密、SD-WAN集成、安全设备（物理和虚拟）等。

4）软件定义边界（SDP）方法

另一种选择是使用SDP来实现访问而不牺牲安全性。

有了SDP，用户无论是在网络内部还是外部，都可以直接连接到资源，无论资源位于云中、数据中心、互联网；所有这些都不需要连接到公司网络。

SDP安全软件在每个用户的网络流量周围建立一个安全的周界，可以说，创建了一个人的网络。例如，谷歌为自己的员工开发了名为 BeyondCorp的SDP。

用户（或SDP主机）不能发起或接受与另一个SDP主机的通信，只有在连接到对事务进行授权的SDP控制器之后才可以。

SDP方法中的一个关键概念：SDP控制器对SDP主机的指令，消除了DNS信息和端口对“外部”的可见性需求，实现了有效“隐身”或对外部人员创建了一个不可见的“黑暗”网络。

SDP代表了一种网络安全方法，它围绕高价值企业应用程序和数据访问，创建了一个保护屏障。这种技术，以及其他类似的技术，可以保护应用基础设施免受现有和新出现的网络威胁。例如，现有的攻击（如凭据窃取和服务器利用被动态地阻止，因为这些技术只允许从已注册到认证用户的设备访问，这是一个关键的零信任元素。

SDP能力可以以不同的方式成功交付，例如通过代理、在线软件、云服务，甚至场内方式。SDP通过维护每个事务的默认拒绝状态，来实现零信任。策略是由用户和上下文（通常包括行为分析）定义的，比单独的微分段降低了风险。未经授权的横向移动风险也被消除，因为所有事务都以与企业防火墙内部或外部相同的方式进行评估。

致力于采用 基于软件的安全模型，是SDP成功的关键。

评估SDP选项的政府机构必须考虑：

分布式安全模型（例如，有多少数据中心提供基于云的安全访问？）
网络安全硬件在多大程度上可以被弃用？
支持的应用程序平台：运行在联邦数据中心，还是政府云？
对待非受管设备：用户可以使用移动设备（包括平板电脑和智能手机）来完成他们的工作吗？

SDP允许经过身份验证的用户，访问在任何环境中运行的授权应用程序和数据，而无需将用户放进网络或将私有应用程序暴露给互联网。

九、联邦政府中应用零信任的挑战

如前所述，零信任是一种安全策略，由当今在联邦空间中非常常用的元素组成。然而，在部署和运行任何新技术方面都存在挑战。还有一些挑战是特定操作环境所特有的。联邦政府面临的挑战部分是由于其规模、成熟度、依赖性的综合作用。它们对部署和运行ZT解决方案的影响如下所述。

1）网络安全成熟度差异很大

在联邦政府部署成功的ZT解决方案面临的最大挑战是网络安全成熟度的普遍缺乏。其中包括普遍缺乏标准化的IT能力和网络可见性。采用ZT成熟度模型的方法，可以帮助解决关键能力，以成功和更快速地解决路障，并将机构移入日益成熟的网络安全态势。

2）共享的系统和网络连接

成功的零信任部署的另一个挑战是联邦IT中广泛的系统相互依赖性。几乎每个联邦机构都从其他联邦机构接收或提供服务（例如，计费、时间和出勤、旅行、人力资源等）。这可能对大规模的超级机构的依赖性特别有影响，它们受到高度管制（例如，金融和卫生部门）。最后，这些依赖性是双向的：当私营部门的合作伙伴转移到ZT解决方案时，联邦机构可能期望支持需求。在所有情况下，及早和经常与服务提供商、合作伙伴和客户进行沟通，将有助于克服这些挑战。

3）远离合规驱动

网络安全需求的增长速度超过了解决这些问题的预算。这导致：关注于管理风险的较少，更多关注于从链条上看到的可报告元素。例如，连续监测是任何有效的网络安全计划的关键方面，但威胁情报和红队演习也是如此：但只有一个报告。将零信任指定为政府范围内的优先事项，可以促进更广泛和更快的采用。

4）纳入TIC 3.0要求

ZT的另一个挑战，是它如何工作或支持新的可信互联网连接（TIC）3.0指南。以下是TIC用例表，与TIC 3.0备忘录一致。DHS计划这项工作将导致不断改进和发展更新的TIC用例，用例展示了新兴技术和不断演变的网络威胁。

DHS已经定义了四个不同的用例，以覆盖诸如云应用（用例1）、位于机构定义的安全边界之外的机构分支办公室（用例2）、位于机构定义的安全边界之外的远程用户（用例3）、未在其它DHS TIC用例中覆盖的传统TIC安全（用例4）。以下DHS定义的TIC用例最适合ZT解决方案方法：

用例1：云。这些TIC用例覆盖了当今机构使用的一些最流行的云模型。其中包括：

a.基础设施即服务（IaaS）
b.软件即服务（SaaS）
c.电子邮件即服务（EaaS）
d.平台即服务（PaaS）

用例2：机构分支办公室。这个用例假设有一个机构的分支机构，与总部分开，但分支机构利用总部的大部分服务（包括一般的web流量）。这个用例支持那些想要启用 SD-WAN技术的机构。到ZT FedRAMP批准的SaaS云应用程序的SD-WAN连接，非常适合这个定义的TIC 3.0用例。

用例3：远程用户。这个用例是原始FTO（FedRAMP TIC Overlay ）活动的演变。用例演示了远程用户如何使用GFE（政府供应设备）连接到该机构的传统网络、云和因特网。FedRAMP ZT解决方案非常适合这种DHS定义的TIC 3.0情况。

5）在联邦市场中获取零信任网络的能力

现在已经了解到 ZT是一个“框架和架构”，有很多选择来采购使能技术产品和服务组件。ZT项目很可能涉及服务和产品，因此建议机构寻求能同时满足这两种需求的合同工具。关于ZT如何融入一些使用最广泛的联邦合同工具的例子包括：GSA SCHEDULE 70、DHS持续诊断和缓解（CDM）、GSA企业基础设施解决方案（EIS）等。

十、最后结论

零信任是一个演进式的框架，而不是革命性的方法。它建立在现有的安全概念之上，并没有引入一种全新的网络安全方法。与大多数安全概念一样，零信任依赖于对组织的服务、数据、用户、端点的基本理解。关于前期资源投资，没有“免费午餐”。策略定义、部署概念、信任确定（和衰退）、执行机制、日志聚合等，都需要在部署解决方案之前考虑。也就是说，许多大型机构（如谷歌、Akamai和Purdue）都已进行了投资，显示出安全投资的真正回报。

ZT本身并不是一项技术，而是网络安全设计方法的转变。当网络设计将多个供应商的产品集成到一个全面的解决方案中时，当前的解决方案领域显示出非常成熟且经过验证的解决方案。

无论是寻求零信任网络的解决方案是什么，诸如软件定义的网络和身份、凭证和访问管理（ICAM）等要素，都是成功的长期ZT策略的重要组成部分。 ZT可以增强和补充其他网络安全工具和实践，而不是取代它们。威胁情报、持续监视、红队演习仍然是零信任网络环境和全面安全方法的重要组成部分。

毫无疑问，有效的零信任网络部署可以显著改善组织的网络安全态势。然而，许多联邦机构面临挑战，包括复杂的数据和服务与其他组织的相互依赖性。在将ZT扩展到关键任务、多组织的工作流之前，必须仔细考虑这些依赖关系。ZT是一个成熟的策略，可以提供积极的网络安全投资回报，但它可能需要前期投资，这取决于机构有哪些已经到位。

声明：本文来自蓝海科学，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。