文/柯善学
等了好久!
《零信任架构》NIST标准正式版于美国时间8月11日发布。
笔者针对《零信任架构》的正式版和第2版草案这两版本,进行了两个方面的对比:一是仔细对比目录;二是粗略对比内容。
经过对比得到的结论是:《零信任架构》正式版的内容与第2版草案的变化不大。
下载说明:需要《零信任架构》(英文版)的读者,请关注“网络安全观”公众号,并在公众号后台输入文字“ZTA标准”。
一、目录对比
话不多说,直接将正式版与第2版草案的目录进行对比:
第2版草案 | 正式版 |
摘要 | |
1 简介 1.1 与联邦机构有关的零信任工作的历史 1.2 本文档的结构 | 1 简介 1.1 与联邦机构有关的零信任工作的历史 1.2 本文档的结构 |
2 零信任基础 2.1 零信任原则 2.2 网络的零信任视图 2.2.1 针对企业自有网络基础设施的假设 2.2.2 针对非企业自有网络基础设施的假设 | 2 零信任基础 2.1 零信任原则 2.2 网络的零信任视图 |
3 零信任架构的逻辑组件 3.1 零信任架构方法的变体 3.1.1 使用增强身份治理的ZTA 3.1.2 使用微分段的ZTA 3.1.3 使用网络基础设施和软件定义边界的ZTA 3.2 抽象架构的部署变体 3.2.1 基于设备代理/网关的部署 3.2.2 基于飞地的部署 3.2.3 基于资源门户的部署 3.2.4 设备应用程序沙箱 3.3 信任算法 3.3.1 信任算法的变体 3.4 网络/环境组件 3.4.1 支持ZTA的网络需求 | 3 零信任架构的逻辑组件 3.1 零信任架构方法的变体 3.1.1 使用增强身份治理的ZTA 3.1.2 使用微分段的ZTA 3.1.3 使用网络基础设施和软件定义边界的ZTA 3.2 抽象架构的部署变体 3.2.1 基于设备代理/网关的部署 3.2.2 基于飞地的部署 3.2.3 基于资源门户的部署 3.2.4 设备应用程序沙箱 3.3 信任算法 3.3.1 信任算法的变体 3.4 网络/环境组件 3.4.1 支持ZTA的网络需求 |
4 部署场景/用例 4.1 拥有分支设施的企业 4.2 多云企业 4.3 提供外包服务和/或非员工访问的企业 4.4 跨企业边界的协作 4.5 提供面向公众或客户服务的企业 | 4 部署场景/用例 4.1 拥有分支设施的企业 4.2 多云/云到云的企业 4.3 提供外包服务和/或非员工访问的企业 4.4 跨企业边界的协作 4.5 提供面向公众或客户服务的企业 |
5 与零信任架构相关的威胁 5.1 ZTA决策过程的受损 5.2 拒绝服务或网络中断 5.3 被盗凭证/内部威胁 5.4 网络可见性 5.5 网络信息的存储 5.6 对专有数据格式的依赖 5.7 在ZTA管理中非个人实体(NPE)的使用 | 5 与零信任架构相关的威胁 5.1 ZTA决策过程的受损 5.2 拒绝服务或网络中断 5.3 被盗凭证/内部威胁 5.4 网络可见性 5.5系统和网络信息的存储 5.6 对专有数据格式或解决方案的依赖 5.7 在ZTA管理中非个人实体(NPE)的使用 |
6 零信任架构与现有联邦指南的可能交互 6.1 ZTA和NIST风险管理框架 6.2 ZT和NIST隐私框架 6.3 ZTA和联邦身份、凭证和访问管理(FICAM)架构 6.4 ZTA和可信Internet连接(TIC)3.0 6.5 ZTA和爱因斯坦(NCPS-国家网络安全保护系统) 6.6 ZTA和DHS持续诊断和缓解(CDM)计划 6.7 ZTA、云智能和联邦数据战略 | 6 零信任架构与现有联邦指南的可能交互 6.1 ZTA和NIST风险管理框架 6.2 零信任和NIST隐私框架 6.3 ZTA和联邦身份、凭证和访问管理(FICAM)架构 6.4 ZTA和可信互联网连接(TIC)3.0 6.5 ZTA和爱因斯坦(NCPS-国家网络安全保护系统) 6.6 ZTA和DHS持续诊断和缓解(CDM)计划 6.7 ZTA、云智能和联邦数据战略 |
7 迁移到零信任架构 7.1 纯零信任架构 7.2 混合ZTA和基于边界架构 7.3 将ZTA引入基于边界架构网络的步骤 7.3.1 识别企业中的参与者 7.3.2 识别企业拥有的资产 7.3.3 识别关键流程并评估与执行流程相关的风险 7.3.4 为ZTA候选制定策略 7.3.5 识别候选解决方案 7.3.6 初始部署和监控 7.3.7 扩展ZTA | 7迁移到零信任架构 7.1 纯零信任架构 7.2 混合ZTA和基于边界架构 7.3 将ZTA引入基于边界架构网络的步骤 7.3.1 识别企业中的参与者 7.3.2 识别企业拥有的资产 7.3.3 识别关键流程并评估与执行流程相关的风险 7.3.4 为ZTA候选制定策略 7.3.5 识别候选解决方案 7.3.6 初始部署和监控 7.3.7 扩大ZTA |
参考文献 附录A-缩略语 附录B-已识别的ZTA当前技术水平的差距 B.1 技术调查 B.2 阻碍立即转移至ZTA的差距 B.2.1 缺乏ZTA设计、规划和采购的通用术语 B.2.2 以为ZTA与现有联邦网络安全政策相冲突 B.3 影响ZTA的系统性差距 B.3.3 组件间接口的标准化 B.3.4 解决过度依赖专有API的新兴标准 B.4 ZTA的知识差距和未来研究领域 B.4.5 攻击者对ZTA的回应 B.4.6 ZTA环境中的用户体验 B.4.7 ZTA应对企业和网络中断的弹性 B.5 ZTA测试环境 B.6 参考 | 参考文献 附录A-缩略语 附录B-已识别的ZTA当前技术水平的差距 B.1 技术调查 B.2 阻碍立即转移到ZTA的差距 B.2.1 缺乏ZTA设计、规划和采购的通用术语 B.2.2 以为ZTA与现有联邦网络安全政策相冲突 B.3 影响ZTA的系统性差距 B.3.3 部件间接口的标准化 B.3.4 解决过度依赖专利API的新兴标准 B.4 ZTA的知识差距和未来研究领域 B.4.5 攻击者对ZTA的回应 B.4.6 ZTA环境中的用户体验 B.4.7 ZTA对企业和网络中断的弹性 B.5参考 |
图片列表 图1:零信任访问 图2:核心零信任逻辑组件 图3:设备代理/网关模型 图4:飞地网关模型 图5:资源门户模型 图6:应用程序沙箱 图7:信任算法输入 图8:拥有远程员工的企业 图9:多云用例 图10:非员工访问的企业 图11:跨企业协作 图12:ZTA部署周期 | 图片列表 图1:零信任访问 图2:核心零信任逻辑组件 图3:设备代理/网关模型 图4:飞地网关模型 图5:资源门户模型 图6:应用程序沙箱 图7:信任算法输入 图8:拥有远程员工的企业 图9:多云用例 图10:非员工访问的企业 图11:跨企业协作 图12:ZTA部署周期 |
表格列表 表B-1:确定的部署差距汇总 | 表格列表 表B-1:确定的部署差距汇总 |
表-正式版与第2版草案的目录对比
其中,红色字体标注了目录的所有不同之处。
目录对比结果显示:目录差异很小。目录的主要变化在于:
删除了2.2.1(针对企业自有网络基础设施的假设)和2.2.2(针对非企业自有网络基础设施的假设)。但实际上,对比两个版本的具体内容之后可以发现,只是删除了这两个子标题的名称,而这两个子标题的内容都保留了下来,整合到了一起。简而言之,只是结构调整,内容没有本质变化。
删除了B.5(ZTA测试环境):其实在第2版草案中,这一节就一句话:“TBD-描述NCCoE 测试实验室和要执行的测试。” 删除这一小节,几乎没有什么影响。而且,笔者在之前的《美国网络安全 | NIST网络安全实践指南系列》中,专门对NCCoE这个机构及其网络安全实践指南系列做了介绍。大家自认也就不会陌生了。
另有几个小节的名称发生了变化:主要是在标题名称中增加了几个词语,并未大幅改动该小节的主要内容。
二、内容对比
仅仅对比内容,可能说服力还不够。
笔者又快速翻译了英文全文(全文约4万字),然后针对《零信任架构》的正式版和第2版草案这两个中文版,进行了全文粗略对比。
对比的结果是:正文内容的段落排版几乎一致,所有段落内容的大体意思也是一致的。
所以,结论是:《零信任架构》正式版的内容与第2版草案的变化不大。
三、相关参考
由于正式版与第2版草案的内容变化不大,所以笔者就不打算全文翻译了。
这里提供之前版本NIST草案的翻译供参考(以下均可单击链接至译文):
当然,笔者还是希望,后面会有正式版的全文翻译发布。
美国官方发布的权威零信任参考资料还有(以下均可单击链接至译文):
2019年4月:ACT-IAC(美国技术委员会-行业咨询委员会)发布《零信任网络安全当前趋势》;
2019年7月:DIB(国防创新委员会)发布《零信任之路》;
2019年10月:DIB(国防创新委员会)发布《零信任架构(ZTA)建议》;
2020年3月:NIST NCCoE发布《实现零信任架构(草案)》项目说明书。
四、后记
《零信任架构》NIST标准正式版于美国时间8月11日发布。由于时差原因,国内应该要在8月12日才能看到。
笔者看到这则消息的时候,正好是8月12日的下班路上。笔者回到家后,迫不及待地做了两件事:
一是仔细对比目录;
二是粗略对比内容。
相比于正式版的全文翻译,笔者更加急于让业界知道正式版发布的这个消息。这就是笔者花了一晚上时间,在第二天早上发布这篇文章的原因。
该标准第1版草案发布于2019年9月,第2版草案发布于2020年2月。之后,笔者就盼星星、盼月亮地等待正式版的发布:
今天,终于等到你。
声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
