《在整个网络和环境支柱中推进零信任成熟度》解析

2024年3月5日，美国国家安全局（NSA）发布《在整个网络和环境支柱中推进零信任成熟度》（Advancing Zero Trust Maturity Throughout the Network and Environment Pillar）网络安全信息表（CSI），详细解释了零信任安全模型的关键方面，提出了通过数据流映射、宏观和微观分段、软件定义网络等技术，加强组织网络的防御深度和响应灵活性，以增强网络和环境支柱实施零信任框架的安全性。

该文件强调了零信任模型在现代网络安全防护中的重要性和实用价值，不仅为网络安全管理者提供了实施零信任模型的操作指南，还给出了其在防范和应对复杂网络威胁中的效果。此外，该文件还揭示了零信任策略在提高网络透明度和管理效率方面的潜在优势，为行业相关者提供参考。

一、背景介绍

零信任安全模型是一种网络安全概念，它假定组织内外的威胁都是常在的，因此不应默认信任任何组织网络内或外的实体。零信任安全模型的核心原则是永不信任，始终验证，即对所有用户和设备，无论位置，都进行严格地身份验证和授权。实施零信任的目的是使网络安全保护、响应、和操作随着时间的推移不断成熟。零信任共有七大支柱，用户、设备、网络与环境、数据、应用程序与工作负载、自动化与协调和可视化与分析。基于威胁评估和监控，零信任运行了一个持续改进周期，而每一支柱能力上的进步，都应被视为周期中的一部分。

近年来，NSA接连在政策方面推进零信任安全模型的发展。2021年2月，NSA在发布了《采纳零信任安全模型》（Embracing a Zero Trust Security Model），将零信任概念定义为一种安全战略，其核心原则是承认网络威胁无处不在，消除隐性信任，转而对运行环境的各个方面进行持续验证。2023年3月，NSA发布了《在用户支柱中推进零信任成熟度》（Advancing Zero Trust Maturity Throughout the User Pillar），为身份、凭据和访问管理（ICAM）能力提供了建议，以缓解相关的网络攻击，并进一步讨论了这些功能如何全面整合到零信任框架中。2023年10月，NSA发布了《在设备支柱中推进零信任成熟度》（Advancing Zero Trust Maturity Throughout the Device Pillar），为成熟设备（零信任设备支柱）提供了建议，以确保当设备符合组织的最低访问门槛并寻求访问时，根据设备元数据和持续检查以获得信任。本次《在整个网络与环境支柱中推进零信任成熟度》主要讨论网络与环境支柱，即根据零信任安全模型，除了外围防御外，还在资源和数据处实施安全控制。网络与环境支柱的主要领域包括网络内的数据流映射和实施网络分段，并通过强大的访问控制来抑制横向移动。这一转变实现了主机隔离、网络分段、加密执行和组织可见性。随着组织内部网络控制的成熟，可以改善深度防御态势，从而将网络入侵隔离到网络的一小部分内。

二、主要内容

《在整个网络与环境支柱中推进零信任成熟度》主要介绍零信任模型中的网络与环境支柱，以及其实现网络安全的四大关键功能：数据流映射、宏观分段、微观分段和软件定义网络。

网络与环境支柱通过定义网络访问、控制网络和数据流、应用程序分段和工作负载以及使用端到端加密，隔离关键资源，防止未经授权的访问。要做到这一点，必须在宏观和微观层面进行适当的网络分段，并结合软件定义网络（Software Defined Network，SDN），以实现集中控制和自动化。这一支柱取决于组织对其数据认识和了解的深度——数据如何在独立网络内流动，以及如何在相互连接的物理基础设施、云计算和分布式工作环境的网络间流动。在零信任模型中，网络和环境支柱是核心组成部分，具体结构如图1所示。

图1：零信任网络和环境支柱成熟度

（一）数据流映射

1. 数据流映射

数据流映射可确定数据在组织内的传输路径，并描述数据如何从一个位置或应用程序转换到另一个。详细的数据流映射可以揭示出数据处理和存储的内部和外部节点，为制定针对性的安全策略提供支持。此外，通过分析数据流动的模式，组织可以更加有效地防止任何数据泄漏和滥用。组织应充分利用数据所有者和网络团队的知识，形成全面的数据流映射图。

该映射图还有助于识别数据未正确加密的数据流。如果数据在传输过程中未加密，数据发送方应尽可能启用端到端加密，或利用虚拟专用网络（VPN），或其他同等加密隧道和协议来保护传输中的数据。

除了发现未受充分保护的数据流之外，数据流映射过程也是宏观和微观分段等其他网络活动的基础。此外，了解数据如何在网络中流动，有助于通过分析来识别异常流量行为。

2. 数据流映射成熟度

数据流映射的成熟度可以通过不同阶段来描述，每个阶段代表组织在数据管理和保护能力上的不同水平。

准备阶段：确认数据存储和处理的位置，以及数据组件存储的状态。

初级阶段：各组织开始映射物理和逻辑型数据流。本阶段的映射主要靠手动操作，主要包含未加密数据流过渡到加密数据流，或在加密隧道或协议内过渡。

中级阶段：各组织拥有完整的应用程序列表，并已确认关键数据流。为了保持映射的准确性，整体流程已实现自动化，任何异常数据流在本阶段都应被隔离或消除。

高级阶段：各组织拥有一份完整的数据流清单，并实现高度自动化监控控制和缓解所有当前的、新的或异常的数据流。

数据流映射的成熟度评估有助于组织认识到自身在数据管理和保护方面的强项和弱点，从而有针对性地改进其数据治理结构和流程。随着组织向更高成熟度阶段迈进，它们在应对数据安全威胁和合规挑战方面将更加有力和有效。

（二）宏观分段

1. 宏观分段

宏观分段通过将网络分解成多个离散组件，每个组件都支持不同的安全要求，从而对组织网络各个区域之间的流量进行高级控制。换句话说，宏观分段可被视为公司内部子组织的分离。例如，IT部门的员工不能访问会计部门的网络区域和其中的所有数据和资源。这些网络边界加上访问控制，可以缩小攻击面来防止横向移动，从而提供安全保障。此外，宏观分段还为自动化安全响应铺平了道路。因此，这进一步将数据泄露、拒绝服务攻击或恶意软件扩散造成损失的风险降至最低。

宏观分段的挑战主要在于如何平衡安全需求与网络性能。过度的分段可能导致网络管理复杂度增加，而不足的分段则可能导致安全风险。因此，组织需要仔细规划其网络架构，确保既能满足业务需求，又能保持高水平的安全性。

2. 宏观分段成熟度

准备阶段：本阶段组织通常在网络上定义不同的安全级别，映射在网络结构上的逻辑区分。

初级阶段：组织开始根据业务功能、位置和资产重要性对网络进行分段。在任何现有分段（如VLANS）上加强内部安全控制的使用。

中级阶段：组织根据安全策略定义网络分段，并将分段之间横向移动的访问策略限制写入防火墙规则。

高级阶段：组织网络进一步分段形成颗粒组件，并集成和配置了自动化中央管理系统，以管理网络的增长。

宏观分段的成熟度评估有助于组织识别其在网络管理和安全实践中的成熟程度，并指导其向更高级的网络分段技术迈进。随着宏观分段策略的发展和优化，组织可以更有效地管理其网络资源，同时提高对内部和外部威胁的防御能力。

（三）微观分段

1. 微观分段

微观分段通过将网络的一部分分解成较小的组件，以通过严格的访问策略限制数据流的横向流动，从而提供细粒度的安全性。微分段可被视为内部子组织的网络分隔；除非有明确要求，否则同一部门的员工不得访问彼此的资源。这为应用程序和资源附近提供额外的安全执行，增强在网络边界已经建立的策略。因此，微观分段将用户、应用程序或工作流程隔离到单独的网段中，以进一步减少攻击面并限制发生漏洞时的影响。

2. 微观划分成熟度

准备阶段：根据身份和应用程序访问情况，在网络上定义不同的安全级别。

初级阶段：各组织开始向特定服务互连和关键数据流隔离过渡。

中级阶段：组织在更多的网络架构中部署端点和应用程序隔离机制，在微段之间实施入口或出口控制，并根据自身需要对控制措施进行测试和改进。

高级阶段：各组织根据应用配置文件和数据流进行广泛地微观分段，并对特定服务互连的连接性进行持续验证。本阶段对中央管理平台进行了改进，提供自动和最佳的可视性和安全监控，包括对异常行为发出警报。

微观分段的成熟度进阶表明了组织在实现精细化、自动化和智能化的网络安全控制方面的进步。随着技术的发展，组织更可能通过微观分段实现对复杂网络环境中敏感数据和关键应用的有效保护。这种策略的优化不仅提升了安全性，还增强了网络的整体性能和管理效率。

（四）软件定义网络

1. 软件定义网络

软件定义网络（SDN）是推动网络和环境领域向零信任成熟度发展的关键技术。SDN通过微观分段，适应性和集中式策略管理在细粒度具备特有的优势。在现有基础设施中集成SDN组件也可以确保定制化安全监控和发出警报。

虽然微观网络分段可以通过传统的系统组件和手动配置来实现，但SDN的集中特性使得在整个网络中进行动态实施和管理成为可能。通过分布式转发平面，SDN可由集中控制服务器对路由器数据包进行控制，提供更多的网络可见性并实现统一策略执行。

SDN已成为目前使用的许多现代网络设备的一项功能，可实现对新设备的灵活集成和控制。此外，SDN网络管理平台现成可用，可自动手动分配任务。这有利于将网段整合到一个共同的集中管理策略下，并降低人为错误的风险，例如随着网络规模的扩大而出现的配置错误。

通过SDN进行微观分段可从整体上保障网络安全，但SDN控制器（SDNC）本身也可能成为需要适当配置和持续监控的优先目标。由于编写的脚本是为了促进应用编程接口（API）及时对于必要的自动化任务的调用，因此SDNC配置可能会暴露这些API。SDN通过自动更新和安全策略提高了网络安全性。但是，为防止API暴露，必须采用良好的网络安全实践和纪律，以防止未经授权禁用安全控制和其他抑制SDN功能的行为。

为防止以上情况发生，组织应创建权限受到限制的专用API管理员角色，但其不能与SDN管理员的访问级别相同。SDNC只能接受经授权的API管理员的API调用。API调用应安全地使用合适的加密协议（如TLSv1.2或更新版本、SSHv2或更新版本）和相互验证（如客户端和服务器证书）以保护传输中的数据。

2. 软件定义网络成熟度

准备阶段：组织在本阶段绘制其管理权限内的网段，并识别一个SDN组件集成的路线图。

初级阶段：集成SDN组件并开发中央控制平面，以及管理策略、网络配置规则和任务计划（比如更新等）。映射SDN的API，创建角色并配置SDNC，以确保API调用通过加密和认证。

中级阶段：测试相互连接性并设置配置，以最佳细粒度采用分割规则。创建警报系统以通知管理员异常或可疑行为。

高级阶段：SDN采用先进的分析和控制手段，测试网络来确定哪些网络路径允许入侵者在网段之间横向移动或以其它方式移动，并通过严格的访问控制适当地限制这些路径。

SDN的成熟度不仅反映了技术的应用深度，也指示了组织在网络管理方面的先进程度。随着SDN技术的不断发展和成熟，组织能够更有效地应对复杂的网络需求和挑战，实现更高效、安全的网络环境。

三、小结

组织可根据《在整个网络和环境支柱中推进零信任成熟度》开发成熟度模型，进一步扩展和完善网络与环境支柱路线图，为自身提供抵御、检测和响应威胁的流程。这些流程提供了一种运营思维，即假定威胁已经存在于组织系统的名义边界内，对持续不断评估的风险保持警惕，及时采取适当的响应措施，并在必要时进行后续调查和损害控制。

NSA强烈建议网络所有者和运营商通过开发《在整个网络和环境支柱中推进零信任成熟度》内描述的高水平成熟度模型来加强其网络和环境，建立当前所有数据流的准确清单，确保对这些数据流的访问受到适当的保护、审查和控制。NSA强调，采用零信任原则并非一蹴而就，要实施零信任原则，就必须进行细致周密地规划，并不断进行渐进式改进，使网络安全保护、响应和操作逐步走向成熟。（完）

致 谢

本期《网络安全国际动态》内容得到了北京天融信网络安全技术有限公司、北京工业大学等单位的大力支持，特此致谢。

声明：本文来自全国网安标委，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。