网络安全架构：NIST标准《零信任架构》草案全文翻译

作者：柯善学

一、前言

之前介绍过ACT-IAC（美国技术委员会-工业咨询委员会）于2019年4月18日发布的《零信任网络安全当前趋势》（《Zero Trust Cybersecurity Current Trends》）报告的主要内容，相关内容可通过《网络安全架构：零信任网络安全当前趋势》访问。

还介绍了美国国防部国防创新委员会（DIB，Defense Innovation Board）2019年7月发布的DIB零信任架构白皮书（DIB Zero Trust White Paper）《零信任安全之路》（The Road to Zero Trust (Security)），可访问《网络安全架构：零信任架构正在标准化》查看。

现在，开始介绍2019年9月发布的NIST《零信任架构》草案（《NIST.SP.800-207-draft-Zero Trust Architecture》）。其公开评论的时间是2019年9月23日至2019年11月22日。本文档的价值，不言而喻。

其目录如下：

摘要

1. 介绍
2.零信任网络架构
3.零信任体系架构的逻辑组件
4.部署场景/用例
5.与零信任架构相关的威胁
6.零信任架构与现有联邦指南
7.迁移到零信任架构
附录A：缩略语
附录B：识别ZTA当前技术水平的差距

由于本文是标准的草案，笔者认为其内容和结论的严谨性胜于之前介绍ACT-IAC 2019年4月发布的《零信任网络安全当前趋势》。所以，即便是概念性、介绍性的内容也值得重新温习。

说明：除了开篇的背景内容，凡是没有使用“笔者点评：”开头的段落，都基本是按照原文进行翻译的。但是对于有些翻译拿不准或者文字赘述的内容，也会做少量删节。

二、文档摘要信息

1）摘要

零信任（zero trust）是一组不断发展的网络安全范例的术语，它将网络防御从广泛的网络周界转移到仔细关注单个或小组资源。零信任架构（ZTA，Zero Trust Architecture）策略是指基于系统的物理或网络位置（即局域网或因特网）不存在授予系统的隐式信任的策略。当需要资源时才授予对数据资源的访问权，并在建立连接之前执行身份验证（用户和设备）。ZTA是对企业网络趋势的响应，这些趋势包括远程用户和不在企业拥有的网络边界内的基于云的资产。ZTA的重点是保护资源，而非网络分段，因为网络位置不再被视为资源安全态势的主要组成部分。本文包含了ZTA的抽象定义，并给出了ZTA可以改善企业整体IT安全状况的一般部署模型和用例。

2）致谢

本文件是多个联邦机构合作的产物，由联邦首席信息官委员会监督。架构小组负责本文档的开发，但有一些特定的人员值得认可。

3）受众

本文档旨在为企业网络架构师描述ZTA策略。

该文件旨在帮助理解民用非保密系统的ZTA，并提供将ZTA概念迁移和部署到企业网络的路线图。

机构网络安全经理、网络管理员、经理也可以从本文档中了解ZTA。

本文档的目的不是针对ZTA的单一部署计划，因为企业将拥有需要保护的独特业务用例和数据资产。从对组织的业务和数据有一个坚实的了解开始，这将导致一个强大的零信任方法。

笔者点评：本文档的核心对象是为“网络架构师”准备的，而非“安全架构师”。这应该是“内生安全”和“安全左移”的应有之义。要想真正贯彻零信任思想，就需要了解组织的网络、业务和数据，这些都是与组织对象密切相关的。笔者经常会有个疑问：是该做安全的人了解业务，还是该做业务的人了解安全。从“本文档旨在为企业网络架构师描述ZTA策略”这句话看，本文档的作者，甚至联邦首席信息官们，更加倾向于认为：首先应该是做业务的人了解安全。

4）审阅者注意事项

本特别出版物的目的，是开发一套技术中立的使用ZTA策略的网络基础设施的术语、定义和逻辑组件。本文档不提供如何在企业中部署零信任组件的具体指南或建议。

三、介绍

典型的企业网络基础设施变得越来越复杂。单个企业可以运行多个内部网络、具有自己的本地基础设施的远程办公室、远程和/或移动个人，以及云服务。这种复杂性超过了基于周界的网络安全的传统方法，因为企业没有单一的、易于识别的周界。

这种复杂的企业已经导致了一种新的企业网络安全规划方法，称为 零信任架构（ZTA）。ZTA方法主要侧重于数据保护，但可以扩展到包括所有企业资产。ZTA假设网络是不怀好意的，并且企业拥有的网络基础设施与任何非企业拥有的网络相比，并没有不同或更加安全。在这种新的范式中，企业必须不断地分析和评估其内部资产和业务功能的风险，然后制定保护措施来缓解这些风险。在ZTA中，这些保护通常涉及最小化对资源的访问，只允许那些被验证为确有需要者的访问，并持续验证每个访问请求的身份和安全状态。

本出版物提供了ZTA的定义、逻辑组件、可能的部署场景和威胁。它还为希望迁移到以ZTA为中心的网络基础设施的组织，提供了一个总体路线图，并讨论了可能影响或确实影响零信任架构的相关联邦政策。

ZTA不是单一的网络架构，而是一套网络基础设施设计和运行的指导原则，可以用来改善任何密级或敏感级别的安全态势。向ZTA过渡是一段旅程。也就是说，现在许多组织的企业基础设施中已经有了ZTA的元素。组织应该逐步实现零信任原则、流程变更和保护其数据资产和业务功能的技术解决方案。在此期间，大多数企业基础设施将以零信任/遗留模式混合运行，同时继续投资于正在进行的IT现代化计划和改进的组织业务流程。

组织需要实施有效的信息安全和弹性实践，才能使零信任有效。当与现有的网络安全政策和指南、身份和访问管理、持续监测、通用网络安全相结合时，ZTA能够使用管理风险的方法增强组织的安全姿态，并保护共同威胁。

1）背景

自“零信任”这个词出现之前，零信任的概念就一直存在于网络安全中。Jericho论坛的工作公开了基于网络位置限制隐式信任的思想和依赖静态防御的限制[JERICHO]。去边界化的概念发展并改进为一个更大的概念，称为零信任。后来，Jon Kindervag在Forrester（现在Palo Alto Networks）创立了“零信任”一词。这项工作包括关键概念和零信任网络架构模型，该模型改进了在Jericho论坛上讨论的概念。

十多年来，美国联邦机构在许多方面一直在转向基于零信任原则的网络安全。联邦机构一直在推进相关能力建设和政策，从《联邦信息安全管理法》（FISMA）开始，然后是风险管理框架（RMF）、联邦身份、凭证和访问管理（FICAM）、可信互联网连接（TIC）、持续诊断和缓解（CDM）计划。所有这些计划都旨在限制授权方的数据和资源访问。在这些计划启动时，受到了信息系统技术能力的限制。安全策略基本上是静态的，并在企业可以控制的大“瓶颈”上执行，以获得最佳效果。随着技术的成熟，以动态和细粒度的方式持续分析和评估访问请求，成为可能。

2）本文件的结构

文档的其余部分如下：

•第2节：定义ZTA并列出设计ZTA企业网络时的一些网络假设。本节还包括ZTA设计原则的列表。

•第3节：描述ZTA的逻辑组件或构建模块。独特的实现可能以不同的方式组合ZTA组件，但提供相同的逻辑功能。

•第4节：列出一些可能的用例，其中ZTA可使企业网络更加安全，更不容易被攻击利用。这包括拥有远程员工、云服务、客户网络等的企业场景。

•第5节：讨论了使用ZTA策略的企业面临的威胁。其中许多威胁与传统架构的网络相似，但可能需要不同的缓解技术。

•第6节：讨论ZTA原则如何适合和/或补充了联邦机构现有的指南。

•第7节：提出企业（如联邦机构）向ZTA过渡的起点。这包括描述在ZTA原则指导下规划和部署应用程序和网络基础设施所需的一般步骤。

四、零信任网络架构

零信任体系架构是一种端到端的网络/数据安全方法，包括身份、凭证、访问管理、操作、终端、宿主环境和互联基础设施。零信任是一种侧重于数据保护的架构方法。初始的重点应该是将资源访问限制在那些“需要知道”的人身上。传统上，机构（和一般的企业网络）专注于边界防御，授权用户可以广泛地访问资源。因此，网络内未经授权的横向移动一直是政府机构面临的最大挑战之一。可信Internet连接（TIC）和机构边界防火墙提供了强大的Internet网关。这有助于阻止来自Internet的攻击者，但TIC和边界防火墙在检测和阻止来自网络内部的攻击方面用处不大。

一种可用的ZTA定义如下：

零信任架构（ZTA）提供了一个概念、思路和组件关系（架构）的集合，旨在消除在信息系统和服务中实施精确访问决策的不确定性。

此定义聚焦于问题的关键，即消除对数据和服务的非授权访问，以及使访问控制的实施尽可能精细。也就是说，授权和批准的主体（用户/计算机）可以访问数据，但不包括所有其他主体（即攻击者）。进一步， "资源"一词可以代替"数据"，以便ZTA与资源访问（例如打印机、计算资源、IoT执行器等）有关，而不仅仅是数据访问。

为了减少不确定性（因为它们不能完全消除），重点是身份验证、授权和缩小隐含信任区域，同时最大限度地减少网络身份验证机制中的时间延迟。访问规则被限制为最小权限，并尽可能细化。

在图1中，用户或计算机需要访问企业资源。通过策略决策点（PDP）和相应的策略执行点（PEP）授予访问权限。

图1

系统必须确保用户"可信"且请求有效。PDP/PEP会传递恰当的判断，以允许主体访问资源。这意味着零信任适用于两个基本领域：身份验证和授权。系统能否消除对用户真实身份的足够怀疑？用户在访问请求中是否合理？用于请求的设备是否值得信任？总体而言，企业需要为资源访问制定基于风险的策略，并建立一个系统来确保正确执行这些策略。这意味着企业不应依赖于隐含的可信性，而隐含可信性是指：如果用户满足基本身份验证级别（即登录到系统），则假定所有资源请求都同样有效。

“ 隐含信任区”表示一个区域，其中所有实体都至少被信任到最后一个PDP/PEP网关的级别。例如，考虑机场的乘客筛选模型。所有乘客通过机场安检点（PDP/PEP）进入登机门。乘客可以在候机区内闲逛，所有乘客都有一个共同的信任级别。在这个模型中，隐含信任区域是候机区。

PDP/PEP应用一组公共的控制，使得检查点之后的所有通信流量都具有公共信任级别。PDP/PEP不能在流量中应用超出其位置的策略。为了使PDP/PEP尽可能细致，隐含信任区必须尽可能小。

零信任架构提供了技术和能力，以允许 PDP/PEP更接近资源。其思想是对网络中从参与者（或应用程序）到数据的每个流进行身份验证和授权。

1）零信任架构的原则

关于ZTN/ZTA的许多定义和讨论，都强调从方程式中去掉边界防御（如防火墙等）的概念。然而，大多数人仍然以某种方式定义自己与边界的关系（例如微分段或微边界）。以下是根据应引入的基本原则而不是排除的基本原则来定义ZTA的尝试。

零信任架构的设计和部署遵循以下基本原则：

1．所有数据源和计算服务都被视为资源。网络可以由几种不同类别的设备组成。网络可能还具有占用空间小的设备，这些设备将数据发送到聚合器/存储，还有将指令发送到执行器的系统等。此外，如果允许个人拥有的设备访问企业拥有的资源，则企业可以决定将其归类为资源。

2．无论网络位置如何，所有通信都是安全的。网络位置并不意味着信任。来自位于企业自有网络基础设施上的系统的访问请求（例如，在边界内）必须满足与来自任何其他非企业自有网络的访问请求和通信相同的安全要求。换言之，不应对位于企业自有网络基础设施上的设备自动授予任何信任。所有通信应以安全的方式进行（即加密和认证）。

3．对单个企业资源的访问是基于每个连接授予的。在授予访问权限之前，将评估请求者的信任。这可能意味着此特定事务只能在“以前某个时间”发生，并且在启动与资源的连接之前可能不会直接发生。但是，对一个资源的身份验证不会自动授予对另一个不同资源的访问权限。

4．对资源的访问由策略决定，包括用户身份和请求系统的可观察状态，也可能包括其他行为属性。一个组织通过定义其拥有的资源、其成员是谁、这些成员需要哪些资源访问权，来保护资源。用户身份包括使用的网络账户和企业分配给该账户的任何相关属性。请求系统状态包括设备特征，如已安装的软件版本、网络位置、以前观察到的行为、已安装的凭证等。行为属性包括自动化的用户分析、设备分析、度量到的与已观察到的使用模式的偏差。策略是组织分配给用户、数据资产或应用程序的一组属性。这些属性基于业务流程的需要和可接受的风险水平。资源访问策略可以根据资源/数据的敏感性而变化。最小特权原则被应用以限制可视性和可访问性。

5．企业确保所有拥有的和关联的系统处于尽可能最安全的状态，并监视系统以确保它们保持尽可能最安全的状态。实施ZTA战略的企业应建立持续诊断和缓解（ CDM）计划，以监测系统状态，并根据需要应用补丁/修复程序。被发现为已失陷、易受攻击和/或非企业所有的系统，与那些企业所有或与企业相关的被认为处于最安全状态的系统相比，可能会被区别对待（包括拒绝与企业资源的所有连接）。

6．在允许访问之前，用户身份验证是动态的并且是严格强制实施的。这是一个不断的访问、扫描和评估威胁、调整、持续验证的循环。实施ZTA策略的企业具有用户供应系统（user provisioning system），并使用该系统授权对资源的访问。这包括使用多因子身份验证（MFA）访问某些（或所有）企业资源。根据策略（如基于时间的、请求的新资源、资源修改等）的定义和实施，在用户交互过程中进行持续监视和重新验证，以努力实现安全性、可用性、使用性和成本效率之间的平衡。

上述原则试图尽可能做到技术不可知（technology-agnostic）。例如，“网络ID”可以包括几个因素，例如用户名/口令、证书、一次性密码或某些其他标识。

2）零信任视角的网络

对于在网络规划和部署中使用ZTA的任何组织，都有一些关于网络连接性的基本假设。其中一些假设适用于企业拥有的网络基础设施，另一些适用于非企业拥有的网络基础设施上使用的企业拥有的资源（例如，公共WiFi）。在实施ZTA战略的企业中，网络的开发应遵循上述ZTA原则和以下假设。

2.1）假设由企业拥有的网络基础设施

1.企业私有网络并不可信。系统应始终假设企业网络上存在攻击者，通信应该来以安全的方式进行（见上文的原则2）。这需要对所有连接进行身份验证，对所有通信流量进行加密操作。

2.网络上的设备可能不归企业所有或不可配置。访客和/或外包服务可能包括需要网络访问才能履行其职责的非企业所有系统。这还包括自带设备（ BYOD）策略，允许企业用户使用非企业拥有的设备访问企业资源。

3.没有设备是内生可信的。在连接到企业拥有的资源之前，每个设备都必须认证自己（无论是对资源还是对PEP）（请参阅上面的原则6）。与来自非企业拥有设备的相同请求相比，企业拥有设备可以具有启用身份验证并提供更高信任分数（请参阅第3.2节）的构件。用户凭证并不足以对企业资源进行设备认证。

2.2）假设非企业所有的网络基础设施

1.并非所有的企业资源都在企业拥有的基础设施上。这包括远程用户和云服务。企业必须能够监视、配置和修补任何系统，但任何系统都可能依赖本地（即非企业）网络进行基础的连接和网络服务（如DNS等）。

2.远程企业用户不能信任本地网络连接。远程用户应该假设本地（即非企业所有）网络是不怀好意的。系统应该假设所有的流量都被监视并可能被修改。所有连接请求都应该经过身份验证，所有通信流量都应该加密（参见上面的ZTA原则）。

五、零信任体系架构的逻辑组件

在企业中，构成ZTA网络部署的逻辑组件很多。这些组件可以作为场内服务或通过基于云的服务来操作。图2中的概念框架模型显示了组件及其相互作用的基本关系。注意，这是显示逻辑组件及其相互作用的理想模型。从图1中， 策略判定点（PDP）被分解为两个逻辑组件： 策略引擎（PE）和 策略管理器（PA）（定义如下）。

图2：核心零信任逻辑组件

组件描述：

策略引擎（Policy Engine, PE）：该组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源（例如IP黑名单、威胁情报服务）的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。策略引擎（PE）与策略管理器（PA）组件配对使用。策略引擎做出（并记录）决策，策略管理器执行决策（批准或拒绝）。

策略管理器（Policy Administrator, PA）：该组件负责建立客户端与资源之间的连接（是逻辑职责，而非物理连接）。它将生成客户端用于访问企业资源的任何身份验证令牌或凭证。它与策略引擎紧密相关，并依赖于其决定最终允许或拒绝连接。实现时可以将策略引擎和策略管理器作为单个服务；这里，它被划分为两个逻辑组件。PA在创建连接时与策略执行点（PEP）通信。这种通信是通过控制平面完成的。

策略执行点（Policy Enforcement Point, PEP）：此系统负责启用、监视并最终终止主体和企业资源之间的连接。这是ZTA中的单个逻辑组件，但也可能分为两个不同的组件：客户端（例如，用户便携式电脑上的代理）和资源端（例如，在资源之前控制访问的网关组件）或充当连接门卫的单个门户组件。

除了企业中实现ZTA策略的核心组件之外，还有几个数据源提供输入和策略规则，以供策略引擎在做出访问决策时使用。这些包括本地数据源和外部（即非企业控制或创建的）数据源。其中包括：

持续诊断和缓解（CDM）系统：该系统收集关于企业系统当前状态的信息，并对配置和软件组件应用已有的更新。企业CDM系统向策略引擎提供关于发出访问请求的系统的信息，例如它是否正在运行适当的打过补丁的操作系统和应用程序，或者系统是否存在任何已知的漏洞。

行业合规系统（Industry Compliance System）：该系统确保企业遵守其可能归入的任何监管制度（如FISMA、HIPAA、PCI-DSS等）。这包括企业为确保合规性而制定的所有策略规则。

威胁情报源（Threat Intelligence Feed）：该系统提供外部来源的信息，帮助策略引擎做出访问决策。这些可以是从多个外部源获取数据并提供关于新发现的攻击或漏洞的信息的多个服务。这还包括DNS黑名单、发现的恶意软件或策略引擎将要拒绝从企业系统访问的命令和控制（C&C）系统。

数据访问策略（Data Access Policies）：这是一组由企业围绕着企业资源而创建的数据访问的属性、规则和策略。这组规则可以在策略引擎中编码，也可以由 PE动态生成。这些策略是授予对资源的访问权限的起点，因为它们为企业中的参与者和应用程序提供了基本的访问特权。这些角色和访问规则应基于用户角色和组织的任务需求。

企业公钥基础设施（PKI）：此系统负责生成由企业颁发给资源、参与者和应用程序的证书，并将其记录在案。这还包括全球CA生态系统和联邦PKI3，它们可能与企业PKI集成，也可能未集成。

身份管理系统（ID Management System）：该系统负责创建、存储和管理企业用户账户和身份记录。该系统包含必要的用户信息（如姓名、电子邮件地址、证书等）和其他企业特征，如角色、访问属性或分配的系统。该系统通常利用其他系统（如上面的PKI）来处理与用户账户相关联的工件。

安全信息和事件管理（SIEM）系统：聚合系统日志、网络流量、资源授权和其他事件的企业系统，这些事件提供对企业信息系统安全态势的反馈。然后这些数据可被用于优化策略并警告可能对企业系统进行的主动攻击。

1）抽象架构的部署变体

所有这些组件都是逻辑组件。它们不一定是唯一的系统。单个系统可以执行多个逻辑组件的职责，同样，一个逻辑组件可以由多个硬件或软件元素组成，以执行任务。例如，企业PKI可以由一个负责为设备颁发证书的组件和另一个用于向最终用户颁发证书的组件组成，但两者都使用从同一企业根证书颁发机构颁发的中间证书。在目前市场上提供的许多ZTA网络产品中，PE和PA组件组合在一个服务中。

在架构的选定组件的部署上有几个变体，在下面的章节中进行了概述。根据企业网络的建立方式，一个企业中的不同业务流程可以使用多个ZTA部署模型。

1.1）基于设备代理/网关的部署

在这个部署模型中，PEP被分为两个组件，它们位于资源上，或者作为一个组件直接位于资源前面。例如，每个企业发布的系统，都有一个已安装的设备代理来协调连接，而每个资源都有一个组件（即网关）直接放在前面，以便资源只与网关通信，实质上充当了资源的反向代理。网关负责连接到策略管理器（PA），并且只允许由策略管理器（PA）配置的已批准连接（参见图3）。

图3：设备代理/网关模型

在典型的连接场景中，拥有企业发放的笔记本电脑的用户，希望连接到企业资源（例如，HR应用程序/数据库）。连接请求由本地代理接收，并将连接请求发送给PA。PA（和PE）可以是企业本地系统或云托管服务。PA将请求转发到PE进行评估。如果请求被授权， PA将在设备代理和相关的资源网关（通过控制平面）之间配置通信通道。这可能包括IP地址/端口信息、会话密钥或类似的安全构件。然后设备代理和网关连接，加密的应用程序数据流开始。当工作流完成或由于安全事件（例如会话超时、无法重新认证等）被PA触发时，设备代理和资源网关之间的连接将终止。

该模型最适合于具有健壮的设备管理程序和可与网关通信的离散资源的企业。对于大量使用云服务的企业，这是云安全联盟（CSA）软件定义周界（ SDP）的客户机-服务器实现。对于那些不打算允许BYOD（自带设备）策略的企业来说，这种模式也很好。只能通过设备代理授予访问权限，设备代理可以放置在企业拥有的系统上。

1.2）基于微边界的部署

此部署模型是上述设备代理/网关模型的变体。在这个模型中，网关组件可能不位于系统上或单个资源的前面，而是位于资源飞地（例如，当地数据中心）的边界，如图4所示。通常，这些资源服务于单个业务功能，或者可能无法直接与网关通信（例如，没有API的遗留数据库系统，不能被用于与网关通信）。此部署模型对于使用基于云的微服务进行业务处理（例如，用户通知、数据库查询或薪资支付）的企业也很有用。在这个模型中，整个私有云位于网关之后。

图4：飞地网关模型

此模型可能与设备代理/网关模型混合。在这样的模型中，企业系统有一个用于连接到微周界网关的设备代理，但是这些连接是使用与基本设备代理/网关模型相同的过程创建的。

此模型对于具有遗留应用程序的企业或无法设置单独网关的场内数据中心非常有用。这样的企业需要有一个健壮的设备管理程序来安装/配置设备代理。缺点是网关保护的是资源集合，而不是单个资源。这是对ZTA原则的放松，因为ZTA原则要求每种资源都应该有自己的PEP来保护它。这也可能允许了客户端查看它们本无特权访问的资源。

1.3）基于资源门户的部署

在这个部署模型中，PEP是一个单独的组件，充当用户请求的网关。网关门户可以是单个资源，也可以是用于单个业务功能的资源集合的微周边。一个例子是进入私有云或包含遗留应用程序的数据中心的网关门户，如图5所示。

图5：资源门户模型

与其他模型相比，此模型的主要优点是不需要在所有企业系统上安装软件组件。该模型对于BYOD政策和组织间协作项目也更加灵活。企业管理员在使用之前不需要确保每个设备都有适当的设备代理。然而，可以从请求访问的设备推断出有限的信息。它只能扫描和分析连接到PEP门户的系统和设备，可能无法持续监视它们是否存在恶意软件和适当的配置。

此模型的主要区别在于没有处理请求的本地代理。此模型允许在客户端系统和BYOD策略中具有更大的灵活性，并且可以更容易地对非企业协作者授予资源访问。缺点是，企业可能无法完全看到或控制企业拥有的系统，因为它们只能在连接到门户时看到/扫描这些系统。在这些连接会话之间，这些系统对企业而言可能是不可见的。此模型还允许攻击者发现并尝试访问门户，或尝试对门户进行拒绝服务（DoS）攻击。

1.4）系统应用程序沙箱

代理/网关部署模型的另一个变体是让可信应用程序在系统上隔离运行。这种隔离可以是VM、容器或其他一些实现，但目标是相同的：保护应用程序不受主机和系统上运行的其他应用程序的影响。

图6：应用程序沙箱

在上面的图6中，用户系统在沙箱中运行可信的应用程序。可信应用程序可以与PEP通信以请求对资源的访问，但PEP将拒绝来自系统上其他（不可信）应用程序的连接。在这个模型中，PEP可以是企业本地服务，也可以是云服务。

这种模型变体的主要优点是将单个应用程序与系统的其他部分隔离开来。如果无法扫描系统以检测脆弱性，则可以保护这些单独的沙箱应用程序，使其免受主机系统上潜在的恶意软件感染。这种模式的缺点之一是，企业必须为所有系统维护这些沙盒应用程序，并且可能无法完全看到客户端系统。

2）信任算法

对于部署了ZTA的企业， PE可以视为大脑，PE的信任算法是其主要的思维过程。信任算法是PE用来最终授予或拒绝对资源的访问的过程。PE接受来自多个源的输入：即包含了以下信息的策略数据库——用户、用户属性和角色、历史用户行为模式、威胁情报源、和其他的元数据源的。流程如图7所示。

图7：信任算法的输入

在图中，这些输入可以被分为多个类别，基于它们提供给信任算法的内容。

•访问请求：来自应用程序的实际请求。被请求的资源是被使用的主要信息，但也会使用有关请求者的信息。这可能包括操作系统版本、使用的应用程序、修补程序级别。根据系统状态，可能会限制或拒绝对资产的访问。

•用户标识、属性和权限：这是请求访问资源的“谁”。这是企业的一组用户（人员和进程）和企业开发的一组用户属性。这些用户和属性构成了资源访问策略的基础。用户身份可以包含以下信息的混合：逻辑身份（例如账户ID/口令）、生物测定数据（例如指纹、面部识别、虹膜识别、视网膜和气味）和行为特征（例如打字节奏、步态和语音）。身份的属性应被纳入计算信任分数，包括时间和地理因素。授予多个用户的权限集合可以被视为一个角色，但还是应该基于单独个体，将权限分配给一个用户，而不仅仅是因为他们可能适合某个特定角色。这应该被编码并存储在ID管理系统和策略数据库中。

•系统数据库和可观察状态：系统数据库包含了每一个企业自有系统（在某种程度上是物理的和虚拟的）的已知状态。它会与发生请求的系统的可观察状态相比较。这可以包括操作系统版本、使用的应用程序、位置（网络位置和地理位置）、可信平台模块（TPM）和补丁程序级别。根据系统状态，可能会限制或拒绝对资产的访问。

•资源访问要求：这是对用户ID和属性数据库的补充策略集。它定义了访问资源的最低要求。要求可以包括认证器的保障级别，例如多因素认证（MFA）和网络位置（例如，拒绝来自海外IP地址的访问）或系统配置请求。这些要求应由数据管理员（即负责数据的人员）和使用数据的负责业务过程的人员（即负责任务/使命的人员）共同制定。

•威胁情报：这是一个（或多个）关于Internet上运行的一般威胁和活动恶意软件的信息源。它可能包括攻击特征和缓解措施。这是唯一的极少受企业控制但极有可能是一种服务的组件。

关于每个数据源的重要性权重，可以是专有算法，也可以由企业配置。这些权重值可用于反映数据源对企业的重要性。

最终的决策会交给PA执行。PA的工作是配置必要的PEP以启用连接。根据ZTA的部署方式，这可能涉及向网关和代理或资源门户发送身份验证结果和连接配置信息。PA还负责根据策略终止连接（例如，超时后，工作流完成时，或由于安全警报）。

2.1）信任算法的变体

实现ZTA信任算法（TA，Trust Algorithm）的方法有很多种。不同的实现者可能希望根据其感知到的重要性，对上述因素进行不同的权衡。还有两个主要特征可以用来区分TA。第一个是如何评估这些因素，要么是二元决策，要么是整个“分数”的加权部分；第二个是如何评估与同一用户（或应用程序）ID的其他请求有关联的那些请求。

•基于准则与基于分数：基于准则的TA，假设在授予资源访问权限之前必须满足一组合格属性。这些条件由企业配置，应为每个资源独立配置。只有在满足所有条件时，才授予对资源的访问权限。基于分数的TA，基于每个数据源的值和企业配置的权重，计算“分数”。如果分数大于资源的配置阈值，则授予访问权限。否则，访问被拒绝。

单一（Singular）与上下文（Contextual）：单一TA会单独处理每个请求，在进行评估时不考虑用户/应用程序的历史情况。这样可以加快评估速度，但如果一种攻击驻留在用户被允许的角色内，则存在风险无法检测到这个攻击。上下文TA在评估访问请求时会考虑用户（或网络代理）的最近历史记录。这意味着PE必须维护所有用户和应用程序的某些状态信息，但更有可能检测到攻击者使用被攻陷的凭证以访问信息，其模式与PE为给定用户/代理看到的有所不同。

这两种因素并不相互依赖。可能有一个TA，它将信任分数分配给每个用户和/或设备，并且仍然独立地考虑每个访问请求（即单一的）。同样，另一个不同的TA可以是基于分数的，但同时也是上下文的，即每个成功和失败的访问请求都可以用来更改最终信任分数值。

理想情况下，ZTA信任算法应该是上下文的，但这并不总是可能的。它可以缓解这种威胁：当攻击者非常接近一组“正常”的针对一个失陷用户账户（或内部攻击）的访问请求。在定义和实现信任算法时，必须平衡安全性、可用性和成本效益。依据用户在组织中的任务功能和角色的历史趋势和规范，不断地提示用户，要针对其行为进行重新认证，可能会导致可用性问题。例如，如果一个机构的人力资源部门的员工通常在一个典型的工作日内访问20-30个员工记录，则上下文TA可能会在访问请求一天内突然超过100个记录时发送警告，因为这可能是攻击者使用失陷的人力资源账户外渗记录。这是一个上下文TA可以检测到攻击，而单个TA可能无法检测到新行为的例子。另一个例子是一个会计，他通常在正常工作时间访问财务系统，而现在正试图在半夜从一个无法识别的位置，访问该系统。上下文TA可能触发警告，并要求用户满足NIST SP 800-63A中规定的更严格分数或其他准则。

为每个资源开发一组准则或权重/阈值，需要规划和测试。在ZTA的初始部署过程中，企业管理员可能会遇到这样的问题：由于配置错误导致本应该批准的访问请求遭到拒绝。这将导致部署的初始“优化”阶段。可能需要调整准则或评分权重，以确保在执行策略的同时仍允许企业的业务流程正常工作。

3）网络组件

在ZTA网络中，用于控制和配置网络的通信流，与用于执行组织的实际工作的应用程序通信流之间，应该存在隔离（逻辑的或可能是物理的）。这通常被分解为用于网络控制通信的控制平面和用于应用通信流的数据平面[Gilman]。

控制平面被各种基础设施组件用于维护系统；判断、授予或拒绝对资源的访问；以及执行任何必要的操作以建立资源之间的连接。数据平面用于应用程序之间的实际通信。在通过控制平面建立连接之前，该通信信道可能是不可能的。例如，PA和PEP可以使用控制平面在用户和企业资源之间建立连接。然后，应用程序工作负载才能使用已建立的数据平面连接。

3.1）支持ZTA的网络需求

企业系统应具有基本的网络连接性。本地网络提供基本的路由和基础设施（如DNS等）。远程企业系统不一定使用所有基础设施服务。

1.企业必须能够确定哪些系统是企业拥有或管理的，哪些设备不是企业拥有或管理的。这取决于企业发放的凭据，而非未经验证的信息（例如，MAC地址等）。

2.企业能够捕获所有网络流量。企业能够记录在数据平面上看到的数据包，但可能无法对所有数据包执行深度数据包检查（DPI）。企业能够过滤出关于连接的元数据（例如，目的地、时间、设备标识等）。

3.未访问PEP时，不应该发现企业资源。企业资源不接受来自Internet的任意传入连接。资源仅在客户端经过身份验证后，接受自定义配置的连接。这些连接是由PEP建立的。这可防止攻击者扫描网络以识别目标并对资源发起DoS攻击。

4.数据平面和控制平面在逻辑上是分开的。PE、PA和PEP都是在逻辑上独立、企业系统和资源无法访问的网络上进行通信。企业系统在执行网络任务时使用数据平面。PE、PA和PEP使用控制平面来通信和管理系统之间的连接。 PEP必须能够发送和接收来自数据平面和控制平面的信息。

5.企业系统可以到达PEP组件。企业用户必须能够访问其企业ZTA网络上的PEP组件，以访问资源。可以采用的方式有企业系统上启用连接的Web门户或软件代理。

6.PEP是唯一可以访问PA和PE的组件。在企业网络上运行的每个PEP都有一个与PA的连接，以便从客户端建立连接。PA可以被发现，但只有PEP才允许连接。

7.远程企业系统应能够访问企业资源，而无需穿越企业基础设施。例如，不应要求远程用户使用回连到企业网络的安全链接（即VPN）来访问由企业使用并由公共云提供商托管的服务（例如电子邮件）。

8.企业系统由于可观察因素而可能无法达到某些PEP。

例如，移动系统可能无法到达某些资源，除非它们使用企业网络基础设施。这些因素可能基于位置（地理位置或网络位置）、设备类型等。

六、部署场景/用例

任何企业网络都可以在设计时考虑零信任原则。如今，大多数组织的企业基础架构已经具有了零信任的某些要素，或者正在通过实施信息安全和弹性策略以及最佳实践来实现。有几种场景可以更轻松地实施零信任体系架构。例如，ZTA易于在地理广泛分布和/或具有高度移动性的员工队伍的组织中扎根。也就是说，任何具有多种资源的大型网络的组织，都可以从零信任架构中获益。

在下面的用例中，没有明确指出ZTA，因为企业可能同时拥有遗留和（可能）ZTA基础设施。ZTA组件和遗留网络基础设施在企业中同时运行可能会有一段时间。

1）拥有多分支机构的企业

最常见的情况是，企业只有一个总部和一个或多个地理上分散的位置，这些位置没有企业拥有的物理网络连接（见图8）。远程位置的员工可能没有完全由企业拥有的本地网络，但仍需要访问企业资源才能执行其任务。同样，员工也可以使用企业拥有或个人拥有的设备，进行远程工作或在远程位置工作。在这种情况下，企业可能希望授予对某些资源（如员工日历、电子邮件）的访问权限，但拒绝访问更敏感的资源（如人力资源数据库）。

在这个用例中，PE/PA最好作为一个云服务托管，终端系统有一个连接代理（见第3.1.1节）或访问一个资源门户（见第3.1.3节）。由于远程办公室和工作人员必须将所有流量发送回企业网络才能访问云服务，因此将PE/PA托管在企业本地网络上可能不是响应最迅速的。

图8：拥有远程员工的企业

2）多云企业

部署ZTA策略的一个越来越常见的用例是使用多个云提供商的企业（见图9）。在这个用例中，企业有一个本地网络，但使用两个（或更多）云服务提供商来承载应用程序和数据。有时，应用程序，而非数据源，托管在一个独立的云服务上。为了提高性能和便于管理，托管在云提供商A中的应用程序，应该能够直接连接到托管在云提供商B中的数据源，而不是强制应用程序通过隧道返回企业网络。

图9：多云用例

这个多云用例是ZTA采用的主要驱动因素之一。它是CSA的 SDP规范的服务器到服务器实现。随着企业转向更多的云托管应用程序和服务，依赖企业边界进行安全保护显然成为一种负担。如第2.2节所述，ZTA认为，企业拥有和运营的网络基础设施与任何其他服务提供商拥有的基础设施之间应该没有区别。多云使用的零信任方法，是在每个应用程序和数据源的访问点放置PEP。PE和PA可以是位于云或甚至第三个云提供商上的服务。然后，客户端（通过门户或本地安装的代理）直接访问PEPs。这样，即使托管在企业外部，企业仍然可以管理对资源的访问。

3）存在外包服务和/或非员工访问的企业

另一个常见的场景是，一个企业包含需要有限访问企业资源才能完成工作的现场访问者和/或外包服务提供商（见图10）。例如，企业有自己的内部应用程序、数据库和员工工作系统。这些包括外包给偶尔在现场提供维护任务的供应商的服务（例如，由外部供应商拥有和管理的智能暖通空调（HVAC）系统和照明系统）。这些访客和服务提供商将需要网络连接来执行他们的任务。ZTA网络可以通过允许这些设备（以及任何来访的服务技术人员）访问Internet来实现这一点，同时还可以屏蔽企业资源。

图10：具有非员工访问的企业

在本例中，该组织还有一个会议中心，访客可以在其中与员工进行交互。同样，通过ZTA的SDP策略，员工设备和用户是有区别的，可以分别访问恰当的企业资源。进入校园的访客可以访问Internet，但不能访问企业资源。它们甚至不能进行网络扫描，以查找可能可见的企业服务（即阻止主动网络侦察）。

在这个用例中，PE和PA可以作为云服务或在LAN上托管（假设很少或根本没有使用云托管服务）。企业系统可以安装代理或通过门户访问资源。PA确保所有非企业系统（那些没有安装代理或无法连接到门户的系统）不能访问本地资源，但可以访问Internet。

4）跨企业协同

第四个用例是跨企业协作。例如，有一个项目涉及企业A和企业B的员工（见图11）。这两个企业可以是独立的联邦机构（G2G），甚至是联邦机构和私营企业（G2B）。企业A运行用于项目的数据库，但必须允许企业B的某些成员访问数据。企业A可以为企业B的员工设置专用账户，以访问所需的数据并拒绝访问所有其他资源。

图11：跨企业协作

此场景可以类似于上面的用例1，因为两个企业的员工可能不在其组织的网络基础设施上，并且他们需要访问的资源可能在一个企业网络内部或托管在云中。这意味着不需要复杂的防火墙规则或企业范围的ACL，允许属于企业B的某些IP地址访问企业A中的资源。如何完成此访问，取决于使用的技术。与用例1类似，PE和PA在理想情况下将作为云服务托管。企业B的员工可能会被要求在其系统上安装软件代理或通过Web代理网关访问必要的数据资源。

七、与零信任架构相关的威胁

任何企业都不能完全消除网络安全风险。当与现有的网络安全政策和指南、身份和访问管理、持续监测、一般的网络卫生共用时， ZTA可以减少整体风险暴露和保护共同威胁。不过，ZTA也存在一些独特的威胁风险。

1）ZTA决策过程的受损

在ZTA中，PE和PA组件是整个企业的关键组件。企业资源之间不会发生连接，除非经过PE和PA批准和可能的配置。这意味着必须正确配置和维护这些组件。任何具有PE规则的配置访问权限的企业管理员，都可以执行未经批准的更改（或误操作），这些更改可能会中断企业运行。同样，失陷的PA可能允许访问未经批准的资源（例如，受损的个人拥有设备）。

要缓解相关风险，必须正确配置和监控PE和PA组件，并且必须记录任何配置更改并接受审计。

2）拒绝服务或网络中断

在ZTA中，PA是资源访问的关键组件。未经PA的许可和可能的配置操作，企业资源不能相互连接。如果攻击者中断或拒绝对PEP或PA的访问（即拒绝服务攻击），则可能对企业操作造成不利影响。

大多数企业可通过将策略强制驻留在云中或按照网络弹性指南在多个位置备份，来缓解此威胁。

3）内部威胁

正确实施ZTA策略、信息安全和弹性策略、最佳实践，可以降低内部攻击的风险。 ZTA确实可以防止失陷的账户或系统，访问其正常权限之外或正常访问模式之外的资源。为网络访问实施MFA还可以降低从失陷账户访问的风险。但是，与传统企业一样，具有有效凭证的攻击者（或恶意内部人员）可能仍然能够访问已授予账户访问权限的资源。

ZTA增强了对该攻击的抵抗力，并防止任何失陷的账户或系统在整个网络中横向移动。此外，上下文TA比传统网络更容易检测到此类攻击并快速响应。上下文TA可以检测出超出正常行为的访问模式，并拒绝失陷账户（或内部威胁）访问敏感资源。

4）网络可见性

ZTA需要检查并记录网络上的所有流量，并对其进行分析，以识别和应对针对企业的潜在攻击。然而，如前所述，企业网络上的一些（可能是大多数）流量对于网络分析工具来说可能是不透明的。此流量可能来自非企业所有的系统（例如，使用企业基础设施访问Internet的外包服务）或抗被动监视的应用程序。企业无法执行DPI或检查加密的通信，必须使用其他方法评估网络上可能的攻击者。

这并不意味着企业无法分析它在网络上看到的加密流量。企业可以收集有关加密流量的元数据，并使用这些元数据检测网络上可能存在的恶意软件通信或活动攻击者。机器学习技术可用于分析无法解密和检查的流量。采用这种类型的机器学习，将允许企业将流量分类为有效的，或可能恶意并需要补救的。在ZTA部署中，只需要检查来自非企业所有系统的流量，因为所有企业流量都经过了PA（通过PEP）的分析。

5）网络信息的存储

网络流量分析的一个相关威胁是分析组件本身。如果存储网络流量和元数据以进行进一步分析，则该数据将成为攻击者的目标。与网络拓扑、配置文件和其他各种网络架构文档一样，这些资源也应该受到保护。如果攻击者能够成功地访问存储的流量信息，则他们可能能够深入了解网络架构并识别资产以进行进一步的侦察和攻击。

ZT网络上攻击者的另一个侦察信息来源是用于编码访问策略的管理工具。与存储的通信流量一样，此组件包含对资源的访问策略，可以向攻击者提供最有价值的账户信息（例如，可以访问所需数据资源的账户）。

与所有有价值的企业数据一样，应提供足够的保护，以防止未经授权的访问和访问尝试。由于这些资源对安全至关重要，因此它们应该具有最严格的访问策略，并且只能从指定（或专用）管理员账户进行访问。

6）对专有数据格式的依赖

ZTA依赖多个不同的数据源来做出访问决策，包括关于请求用户的信息、使用的系统、企业和外部情报、威胁分析等。通常，用于存储和处理这些信息的系统在如何交互和交换信息方面没有一个通用的、开放的标准。与DoS攻击一样，这种风险并非ZTA独有，但由于ZTA严重依赖信息的动态访问（企业和服务提供商双方），中断可能会影响企业的核心业务功能。

为降低相关风险，企业应综合考虑供应商安全控制、企业转换成本、供应链风险管理等因素，对服务提供商进行评估。

7）ZTA管理中非个人实体（NPE）的使用

人工智能（AI）和其他基于软件的代理正在部署，以管理企业网络上的安全问题。这些组件需要与ZTA的管理组件（例如，PE、PA等）交互，有时代替了人工管理员。在实施ZTA策略的企业中，这些组件如何对自己进行身份验证是一个开放性问题。假设大多数自动化技术系统在使用到资源组件的一个API时，将使用某种方式进行身份验证。

相关的风险是，攻击者将能够诱导或强制 NPE代理执行某些攻击者无权执行的任务。与人类用户相比，软件代理可能具有较低的认证标准（例如，API密钥与MFA），以执行管理或安全相关任务。还有一个潜在的风险是，攻击者可以在执行任务时访问到软件代理的凭证并模拟该代理。

八、零信任架构与现有联邦指南

有一些现有的联邦政策和指南，与ZTA战略的规划、部署和运行相交叉。当与现有的网络安全政策和指南、身份凭证和访问管理（ICAM）、持续监测、通用的网络卫生结合时，ZTA可以加强组织的安全姿态并防护共同威胁。

笔者说明：由于此节内容所涉及到的美国各种政策指南，具有美国政府的特定性，且与理解零信任关系不大，故只摘录简要内容。

1）ZTA和NIST风险管理框架

ZTA部署涉及围绕指定任务或业务流程的可接受风险，制定访问策略。必须识别、评估和缓解与执行给定任务相关的风险。为此，NIST制定了风险管理框架（RMF）。

ZTA的规划和实施可能会改变企业定义的授权边界。这是由于添加了新组件（例如，PE、PA和PEP）以及减少了对网络外围防御的依赖。 RMF中描述的过程不会改变ZTA的网络安全策略。

2）ZTA和NIST隐私框架

隐私和数据保护包括在FISMA和HIPAA等合规计划中。而ZTA的核心要求之一是，企业应检查并记录其网络上的所有流量。这包括尽可能对通信量进行解密以启用检查。某些流量可能包含私人信息或具有相关的隐私风险。 NIST隐私框架有助于开发一个正式的流程，以识别和缓解ZTA网络的任何隐私相关风险。

3）ZTA和联邦身份、凭证和访问管理架构（FICAM）

用户配置是ZTA的关键组成部分。如果PE没有足够的信息来标识关联的用户和资源，则PE无法决策尝试的连接是否应被授权连接到资源。在迁移到更为零信任的部署之前，需要制定强大的用户配置和身份验证策略。企业需要有一组清晰的用户属性和策略，PE可以使用这些属性和策略来评估访问请求。

由于ZTA严重依赖于精确的身份管理，任何ZTA的努力都需要与机构的ICAM政策相结合。

4）ZTA和可信Internet连接（TIC）

TIC是由OMB、DHS和总务管理局（GSA）联合管理的一项联邦网络安全计划，旨在建立整个联邦政府的网络安全基线。

TIC 3.0专注于基于网络的安全保护，而ZTA则是一个更具包容性的架构，用于解决应用程序、用户和数据保护问题。随着TIC 3.0用例的发展，很可能会开发一个ZTA TIC用例，来定义将在ZTA强制实施点部署的网络保护。

5）ZTA和EINSTEIN（NCPS-国家网络安全保护系统）

NCPS（又名EINSTEN（爱因斯坦））是一个集成的体系，提供入侵检测、高级分析、信息共享和入侵防御能力，以保护联邦政府免受网络威胁。 NCPS的目标与零信任的首要目标一致，是管理网络风险，改进网络保护，并授权合作伙伴保护网络空间。

NCPS 传感器的部署基于联邦政府的周界网络防御，而零信任架构使保护更接近数据和资源。如果整个联邦政府都采用ZTA，则NCPS的实施需要改进，或者需要部署新的能力来实现NCPS目标。

6）ZTA和持续诊断和缓解（CDM）计划

国土安全部CDM计划是一项旨在改善联邦机构IT安全状况的努力。这种态势的关键是，机构要洞察机构内的系统、配置和用户。

有一个强大的CDM计划是ZTA成功的关键。国土安全部CDM计划已经启动了几项工作，以建立联邦机构内所需的能力，从而转向ZTA战略。

7）ZTA、云智能和联邦数据战略

云智能6战略、更新的数据中心优化计划政策、联邦数据战略7等政策，要求机构清点和评估它们如何收集、存储和访问本地和云中的数据。

该清单对于确定哪些业务流程和资源将从实施ZTA中受益至关重要。主要基于云或主要由远程工作者使用的数据资源和应用程序，是ZTA方法的良好候选，因为用户和资源都位于企业网络周界之外。

九、迁移到零信任架构

实施ZTA战略是一个旅程，而非对基础设施或流程的大规模替换。组织应该逐步实现零信任原则、流程变更、保护其最高价值数据资产的技术解决方案。

企业如何迁移到ZTA战略，取决于其当前的网络安全态势和运行情况。企业应该达到一个能力基线，包括为企业识别和编目资产、用户和业务流程。企业在开发一系列ZTA候选业务流程和参与此流程的用户/系统之前，需要此信息。

1）纯零信任架构

可以从头开始构建一个零信任架构网络。假设企业知道所需使用的应用程序和工作流，那么它可以为这些工作流生成基于零信任策略原则的架构。一旦确定了工作流，企业就可以缩小所需组件的范围，并开始映射各个组件的交互方式。从这一点上讲，它是一个构建网络基础设施和配置组件的工程实践。

当然，组织的网络通常不会是新建的。然而，有时一个组织可能会被要求履行一项新的职责，这将需要建立它自己的网络基础设施。在这种情况下，有可能在某种程度上引入ZT概念。例如，一个机构可能被赋予一项新的职责，即建立一个新的应用程序和数据库。该机构可以围绕ZT原则，设计新需要的基础设施，例如在授予访问权限之前评估用户的信任，在新资源周围部署微周界等。

2）混合ZTA和传统架构

ZTA工作流与传统企业架构的共存，可能会有一段时间。企业向ZTA方法的迁移，可以采取一次迁移一个业务流程的方式。企业需要确保公共元素（例如ID管理、设备管理、事件日志等）足够灵活，以在ZTA和遗留混合安全架构中运行。企业架构师也可能希望将ZTA候选解决方案，限制为那些可以与现有组件接口连接的解决方案。

3）将ZTA引入传统架构网络的步骤

笔者说明：此小节内容是本篇中的关键，详述了在传统架构网络中采取渐进方式逐步引入零信任架构的“七步走”部署策略。

迁移到ZTA，需要组织对其资产（物理和虚拟）、用户、业务流程有详细的了解。当评估资源请求时，PE可以访问这些知识。不完整的知识，通常会导致业务流程失败，即PE由于信息不足而拒绝请求。

在努力把ZTA带到企业之前，应该对资产和用户进行调查。这是在ZTA部署之前应该达到的基础状态。这些调查可以并行进行，但都与对组织业务流程的检查有关。这些步骤可以映射到风险管理框架（RMF）中的步骤，因为向ZTA的任何转移，都可以看作是降低机构业务职能风险的过程。通往ZTA的路径如图12所示。

图12:ZTA部署周期

创建初始库存清单后，将会有定期的维护和更新周期。此更新可能会更改业务流程或不产生任何影响，但应进行业务流程评估。例如，数字证书提供商中的变更，可能看起来没有重大影响，但可能涉及证书根存储管理、证书透明日志监视和其他起初不大明显的因素。

3.1）识别企业中的参与者

为了ZTA网络的运行，PE必须具备企业主体的知识。“主体”包括人和可能的非人实体（NPE），例如与资源交互的服务账户。

具有特殊权限的用户（如开发人员或系统管理员），在被分配属性或角色时需要特别考虑。在传统的安全架构中，这些账户可能具有访问所有企业资源的总体权限。ZTA应该允许开发人员和管理员有足够的灵活性，来满足他们的业务需求，但同时要记录和审核行为。

3.2）识别企业拥有的资产

ZTA的关键要求之一是识别和管理企业自有设备的能力。ZTA还要求能够识别和监控可能在企业拥有的网络基础设施上或访问企业资源的非企业拥有的设备。管理企业资产的能力是ZTA成功部署的关键。这包括硬件组件（例如笔记本电脑、电话、物联网设备等）和数字化构件（例如用户账户、应用程序、数字证书等）。

这不仅仅是对企业资产数据库进行编目和维护。这还包括配置管理和监视。观察系统当前状态的能力，是评估访问请求过程的一部分。这意味着企业必须能够配置、调查和更新企业系统，包括虚拟系统、容器等。这还包括其物理位置（最佳估计）和网络位置。此信息应在做出资源访问决策时通知给PE。

非企业所有的资产也应尽可能地分类。这可能包括企业可见的任何内容（例如，MAC地址、网络位置），并通过管理员数据输入进行扩充。这些信息不仅用于访问决策（因为合作者和BOYD系统可能需要联系PEP），还用于企业的监控。

许多联邦机构已经开始了识别企业资产的任务。已经建立了 CDM能力如硬件资产管理（HWAM）和软件资产管理（SWAM）的机构，在制定ZTA战略时有一套丰富的数据可供参考。各机构还可能有一份涉及高价值资产的ZTA候选流程清单，这些流程已被确定为机构任务的关键。

3.3）识别关键流程并评估与执行流程相关的风险

一个机构应该进行的第三项清查，是识别和排列该机构的业务流程（即任务）。业务流程应通知在何种情况下授予和拒绝资源访问请求。企业在第一次过渡到ZTA时可能希望从低风险的业务流程开始，因为中断可能不会对整个组织产生负面影响。一旦获得了足够的经验，就可以选择更关键的业务流程。

利用基于云的资源或由远程工作人员使用的业务流程，通常是ZTA的良好候选。这是因为客户端和资源不在企业范围内，这是ZTA相对于传统企业网络架构的主要优势之一。 企业客户端可以直接请求云服务，而不是通过虚拟专用网（VPN）将企业边界投射到云中或将客户端带入企业网络。企业的PEP确保在将资源访问权授予客户机之前遵循企业策略。

3.4）为ZTA候选制定策略

识别候选应用程序或业务工作流的过程，取决于以下几个因素：流程对组织的重要性、受影响的用户组、工作流所用资源的当前状态。基于资产或工作流风险的资产或工作流的价值，可以使用NIST风险管理框架进行评估。

识别资产或工作流后，下一步是识别将受影响的用户集。这可能会影响作为第一次迁移到ZTA的候选者的选择。由企业用户的已识别子集（例如，采购系统）所使用的应用程序，可以优先于对企业的整个用户群至关重要的应用程序（例如，电子邮件）。

然后，企业管理员需要为候选业务流程中使用的资源，确定一组准则（如果使用基于准则的TA）或信任分数权重（如果使用基于分数的TA）。管理员可能需要在优化阶段对这些条件或值进行调整。这些调整是必要的，以确保策略有效，但又不妨碍对资源的必要访问。

3.5）确定候选解决方案

一旦开发了一系列候选业务流程，企业架构师就可以编写一系列候选解决方案。一些部署模型更适合于特定的工作流和当前的企业生态系统。而一些供应商解决方案比其他解决方案更适合于特定的用例。需要考虑的因素有：

解决方案是否要求在客户端系统上安装组件？这可能会对那些使用了非企业拥有系统（如BYOD或跨机构协作）的业务流程产生限制。
解决方案是否用于业务流程资源完全存在于企业内部的场景？一些解决方案假设请求的资源将驻留在云中（所谓的“南北”流量），而不是企业范围内（“东西”流量）。候选业务流程资源的位置，将影响到该流程的候选解决方案和ZTA。

一种解决方案是将现有业务流程建模为试点计划，而不仅仅是替换。这个试点计划可以通用化，以应用于多个业务流程或特定于一个用例。

3.6）初始部署和监测

一旦选择了候选工作流和ZTA组件，就可以开始初始部署。企业管理员必须使用选定的组件来实现已开发的策略，但首先可能希望使它们更为宽松。很少有企业策略集在第一次迭代中就是完整的：重要的用户账户（例如，管理员账户）可能被拒绝访问他们需要的资源，也可能不需要他们分配的所有访问特权。

新的ZT业务工作流可以在“ 仅报告模式”下运行一段时间，以确保策略的有效性和可操作性。“仅报告”意味着应为大多数请求授予访问权限，并且应将连接的日志和踪迹与最初制定的策略进行比较。基本策略，如拒绝掉MFA失败的请求或出现在已知黑名单IP地址中的请求，都应该强制执行并记录，但是在初始部署之后，访问策略应该更宽松些，以收集ZT工作流实际交互的数据。如果无法以更宽松的方式运行，企业网络运行人员应密切监视日志，并准备根据运行经验修改访问策略。

3.7）扩展ZTA

在工作流策略集获得足够的信任后，企业进入了稳定的运行阶段。在此阶段，企业管理员可以开始规划ZT部署的下一阶段。与上一次发布一样，需要确定候选工作流和解决方案集，并开发初始策略。

但是，如果工作流发生变更，则需要重新评估正在运行的ZT架构。对系统的重大变更，如新设备、软件（特别是ZT逻辑组件）的重大更新、组织结构的变化，都可能导致工作流或策略的变更。例如，购买了新设备，但没有创建新的用户账户，因此需要更新设备资源清单。

附录A：缩略语

（略）

附录B：识别ZTA当前技术水平的差距

对于零信任组件和解决方案的当前成熟度，在本文档的背景研究期间进行了调查。以下是ZTA生态系统和需要进一步调查的区域中识别出的差距的总结。

B.1技术调查

多个供应商受邀展示了他们关于零信任的产品和观点。本次调查的目的是找出那些阻碍机构现在迁移到ZTA基础设施或维护现有ZTA部署的遗漏部分。这些差距可分类为即时部署（即时或短期）、影响维护或运行的系统性差距（短期或中期）、知识缺失（未来研究领域）。表B-1总结了这些内容：

表B-1：识别的差距汇总

分类	问题示例	识别的差距
立即性	如何编制采购要求 ZTA战略如何与TIC、FISMA等结合。	缺乏ZTA的通用框架和词汇；认识到ZTA与现行政策的冲突；
系统性	如何防止供应商锁定；不同的ZTA环境如何相互作用；	过于依赖供应商API；
研究领域	面对ZTA，威胁将如何演变；面对ZTA，业务流程如何变化；	采用ZTA的企业中，成功的入侵是什么样的？采用ZTA的企业中的最终用户体验；

B.2 阻碍立即转移至ZTA的差距

这些都是目前阻碍ZTA战略采用的问题。这些问题被归类为“ 立即的”问题，并没有考虑今后的维护或迁移。

1）缺乏ZTA设计、规划和采购的通用术语

业界还没有一套术语或概念来描述ZTA的组件和运行。这使得组织（如联邦机构）很难为设计ZTA基础设施和采购组件制定一致的要求和政策。

2）关于ZTA与现有联邦网络安全政策冲突的认知

有一种误解，ZTA是一个单一框架，带有一套解决方案，且与现有的网络安全观并不兼容。而实际上，零信任应该被视为当前网络安全战略的演变，因为许多概念和想法已经流传了很长时间。联邦机构已经被鼓励，通过现有的指南，采取更加零信任的方法，来解决网络安全问题。如果一个机构拥有成熟的ID管理系统和强大的CDM能力，那么它已经在通往ZTA战略的路上。这一差距其实是源于对ZTA的误解以及它是如何从以前的网络安全范式演变而来的。

B.3 影响ZTA的系统性差距

这些差距影响了ZTA战略的实施和部署，以及持续运营/成熟度。系统的差距是开放标准（由标准开发组织（SDO）或行业联盟制定）可以发挥助力的领域。

1）组件间接口的标准化

组件内部的互操作性问题，不仅发生在采购的时候，而且会随着时间推移。在更广泛的 零信任生态系统（ZTE）中，组件的范围非常广泛，许多产品专注于ZTE内部的单个市场，并依赖于其他产品来向另一个组件提供数据或某些服务（例如，为资源访问而集成多因素认证（MFA））。

供应商常常依赖合作伙伴公司提供的专有API，而不是标准化的、独立于供应商的API来实现这种集成。这种方法的问题在于，这些API是专有的，由单个供应商控制。一旦供应商改变API的行为，将导致集成商需要更新他们的产品来响应。这进一步增加了供应商和消费者的负担：供应商需要花费资源对其产品进行变更，当一个供应商对其专有API进行变更时，消费者需要对多个产品应用更新。

2）解决过度依赖专有API的新兴标准

目前，有多种模式和解决方案，试图建立ZTA的领导权威。这表明有机会开发一套开放的、标准化的协议（或框架），以帮助组织迁移到ZTA战略。标准开发组织（SDO）如Internet工程任务组（IETF）已经指定了在交换威胁信息时可能有用的协议。云安全联盟（CSA）已经为软件定义边界（SDP）开发了一个框架，该框架可能在ZTA中也很有用。

B.4 ZTA的知识差距与未来研究方向

此节列出的差距，并不妨碍组织为其企业采用ZTA战略。这些是关于运行ZTA环境的知识的灰色区域。它们是未来研究人员的工作领域。

1）攻击者对ZTA的反击

对一个企业来说，一个正确实施的ZTA战略相对于传统的基于网络边界的安全而言，将改善其网络安全态势。 ZTA的宗旨是减少对攻击者的资源暴露，并在主机系统失陷时最小化（或防止）企业内部的横向移动。

然而，坚定的攻击者不会坐视不管，而是会改变面对ZTA的行为。开放性的问题是攻击将如何演变。一种可能性是，由于ZTA的主要原则之一是在访问资源之前进行频繁的身份验证，因此旨在窃取凭证的攻击（例如网络钓鱼、社会工程）可能会变得更加普遍。另一种可能性是，在混合型ZTA/遗留企业中，攻击者将重点关注尚未应用ZTA原则的业务流程（即遵循传统的基于网络边界的安全）——实际上，目标是最容易摘到的果子，试图在ZTA业务流程中获得一些立足点。

随着ZTA的更加成熟，实现了更多的部署，并获得了经验，ZTA相对于基于网络边界安全的旧方法的有效性将会变得显而易见。此外，还需要制定ZTA相对于较老网络安全策略的“成功”指标。

2）ZTA环境中的用户体验

对于最终用户在使用ZTA战略的企业中表现得如何，还没有进行严格的审查。已有研究表明，用户对MFA和其他安全操作的反应，被视为ZTA企业战略的一部分。这项工作可以成为在企业中使用ZTA工作流时预测最终用户体验和行为的基础。

可以预测ZTA如何影响最终用户体验的一组研究，是MFA在企业中的使用和“ 安全疲劳”。安全疲劳是指最终用户面对如此多的安全策略和挑战，开始以负面方式影响其生产力的现象。一些用户很容易接受MFA，如果这个过程是流畅的，并且涉及到他们习惯于使用或拥有的设备（例如，智能手机上的应用程序）。然而，有些用户讨厌在业务流程中使用个人拥有的设备，或者感到他们经常被监视以防对IT策略的可能触犯。

3）ZTA对企业和网络中断的适应能力

对ZTA供应商生态系统的调查，显示了企业部署ZTA战略需要考虑的广泛基础设施。大多数被调查的产品和服务，都依赖于云的存在以提供健壮性，但众所周知即使是云服务也会在在遭遇攻击或简单错误时变得不可用。当这种情况发生时，用于做出访问决策的关键组件，可能无法访问或无法与其他组件通信。例如，位于云中的PE和PA组件，可能在分布式拒绝服务（DDoS）攻击期间可访问，但可能无法访问所有位于资源中的PEP。需要研究如何发现ZTA部署模型的可能“瓶颈”以及ZTA组件不可访问或可访问性有限时对网络运行的影响。

在采用ZTA战略时，企业的运行连续性（COOP）计划可能需要修订。ZTA战略使许多COOP因素变得更容易，因为远程工作者可能与他们在本地拥有相同的资源访问权限。然而，如果用户没有得到适当培训而缺乏经验，像MFA这样的策略也可能产生负面影响。用户可能会在突发情况下忘记（或无法访问）令牌和企业设备，这将影响企业业务流程的速度和效率。

声明：本文来自蓝海科学，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。