美國國防信息系統局（DISA）最近發布了初始零信任參考架構，信息量非常大，具體結構可參看柯老師發文《DISA發布國防部零信任參考架構》。本文針對Department of Defense（DOD） Zero Trust Reference Architecture中的三幅圖進行了漢化，以便讀者清晰了解其中的成熟度模型、零信任支柱，高級別運行概念，認識零信任這一理念帶來的安全觀念轉變，不足之處請多多指教。

　　成熟度模型

　　零信任（ZT）是一個術語，指的是一套不斷發展的網絡安全范式，它將防御從靜態的網絡-基于邊界關注用戶、資產和資源。零信任體系結構（ZTA）采用零信任原則規劃工業和企業基礎設施和工作流程。零信任假設沒有完全基于資產或用戶帳戶的物理或網絡位置（即局域網相對于或基于資產所有權（企業或個人擁有）。身份驗證和授權是在建立到企業資源的會話之前執行的離散功能。

　　零信任是對企業網絡趨勢的一種響應，包括遠程用戶、自帶設備（BYOD）和不位于企業擁有的網絡邊界內的基于云的資產。零信任關注保護資源（資產、服務、工作流、網絡帳戶等），而不是網段，因為網絡位置不再被視為資源安全態勢的主要組成部分。本文檔包含了零信任體系結構（ZTA）的抽象定義，并給出了零信任可以改善企業整體信息技術安全態勢的一般部署模型和用例。

　　全面實施零信任的方法從前期發現和評估任務開始。最初的發現過程將識別體系結構中有關訪問和授權活動的數據。需要發現工作負載、網絡、設備和用戶之間的關系。

　　最終狀態ZTA要求安全策略的實現與特定的授權屬性和用戶和實體的信任級別相關聯。環境的先決條件評估將確定合規狀態、特權帳戶級別，并驗證現有安全控制的實現。

　　在設計零信任體系結構之前，必須實現符合現有IT安全策略和標準的基線保護級別。零信任設計的成熟方面可能不會影響到所有的功能和控制，其成熟度模型見圖1。

零信任支柱

　　零信任支柱有助于對可以在環境中執行零信任功能的功能和技術進行分類。DOD零信任架構的七個支柱，見圖2：

　　用戶

　　保護，限制和強制個人，非個人和聯盟實體訪問DAAS包括ICAM功能的使用，例如多因素身份驗證（MFA）和連續多因素身份驗證（CMFA）。組織需要具有連續驗證，授權和監視活動模式的能力，以控制用戶的訪問和特權，同時保護和保護所有交互。RBAC和ABAC將適用于此支柱內的策略，以授權用戶訪問應用程序和數據。

　　注：DAAS在其文中的含義為數據（Data），應用程序（Applications），資產（Assets），服務（Services）設備

　　具有識別、認證、授權、庫存、隔離、安全、補救和控制所有的能力設備在零信任方法中是必不可少的。企業設備的實時認證和打補丁至關重要的功能。一些解決方案，如移動設備管理器或遵守連接程序提供數據這對于設備置信度評估很有用。對每一個訪問都應進行其他評估請求（例如：檢查危急狀態、異常檢測、軟件版本、保護狀態、加密支持，等等）。

　　網絡/環境

　　通過粒度訪問和策略限制（邏輯上和物理上）進行分段，隔離和控制（內部和外部）網絡/環境。隨著外圍通過宏分段變得越來越細，微分段為DAAS提供了更好的保護和控制。

　　a）控制特權訪問，

　　b）管理內部和外部數據流，以及

　　c）防止橫向移動

　　這一點至關重要。

　　應用程序和工作負載

　　應用程序和工作負載包括本地系統或服務上的任務，以及在云環境中運行的應用程序或服務。零信任工作負載涵蓋了從應用程序層到管理程序的整個應用程序堆棧。保護和正確管理應用程序層以及計算容器和虛擬機是采用零信任的關鍵。諸如代理技術之類的應用程序交付方法使附加保護能夠包括零信任決策和執行點。開發的源代碼和通用庫通過DevSecOps開發實踐進行審查，以確保應用程序從一開始就受到保護。

　　數據

　　零信任可保護關鍵數據，資產，應用程序和服務。清楚了解組織的DAAS對于成功實施零信任架構至關重要。組織需要按照任務的關鍵程度對DAAS進行分類，并使用此信息來制定全面的數據管理策略，并將其作為總體“零信任”方法的一部分。這可以通過對數據進行分類，開發模式以及對靜態和傳輸中的數據進行加密來實現。DRM，DLP，軟件定義的存儲和粒度數據標記之類的解決方案與保護關鍵數據有關。

　　可見性和分析

　　重要的，上下文細節提供了對性能，行為和其他零信任支柱的活動基線。這種可見性改進了異常行為的檢測，并提供了對安全策略和實時訪問決策進行動態更改的能力。此外，其他監視諸如傳感器數據和遙測技術等系統將被使用，這將有助于了解正在發生的事情與環境一起，將有助于觸發警報，用于響應。零信任企業將會捕獲并檢查流量，超越網絡遙測和進入數據包本身，以準確地發現流量網絡和觀察當前的威脅，并更智能地定向防御。

　　自動化和編排

　　自動化手動安全流程，以在整個企業范圍內快速，大規模地采取基于策略的行動。SOAR提高了安全性并減少了響應時間。安全編排集成了安全信息和事件管理（SIEM）和其他自動化安全工具，并有助于管理不同的安全系統。自動化安全響應需要零信任企業中所有環境中定義的流程和一致的安全策略實施，才能提供主動的命令和控制。

　　零信任高級運行概念

　　零信任高級運行概念提供了有關如何在體系結構內實施安全措施的操作視圖。見圖3圖片

　　獨立跟蹤非人實體（NPE）身份和用戶身份，從而允許跨執行點驗證可信度級別的單獨路徑。認證和授權活動將在整個企業中眾多但集中的地方進行，包括客戶端，代理，應用程序和數據。在每個執行點，將日志發送到SIEM，并執行分析以建立可信度。設備和用戶的可信度是獨立開發的，然后在適用于策略實施的情況下進行匯總。如果非人實體或用戶的可信度得分高于測得的閾值，則將授權他們查看請求的數據。DLP在此過程中對數據進行保護，DLP還向SIEM提供數據，以確保數據得到正確使用。

　　圖3中描述的決策點，組件下面標識的功能代表了最終狀態的“零信任”實施。控制對資源的訪問基于用戶和設備的風險，零信任的基本要求是可能的，而無需實施所有已確定的功能就可以實現。具體內容如下：

　　No.1 企業身份、憑證和訪問管理（ICAM）

　　包括身份提供者（IDP），自動帳戶設置（AAP）和主用戶記錄（MUR），用于識別和管理角色，訪問特權以及所處的環境用戶被授予或拒絕特權。

　　1. 身份提供者（IDP）

　　一種執行直接認證的系統，可以選擇代表一個或多個信息系統提供授權數據。該系統還提供對NPE的身份驗證。

　　2. 自動帳戶設置（AAP）

　　提供身份治理服務，如用戶授權管理、業務角色審計和執行，以及基于在企業以人為中心的活動（如入職和離職、持續審查、人才管理和準備就緒培訓）中產生的身份數據提供和取消賬戶。

　　3. 主用戶記錄（MUR）

　　使企業范圍內的知識、審計和數據匯總報告誰有權訪問什么系統或應用程序。MUR還將為識別內部和外部威脅提供支持。

　　No.2 客戶和身份保證（Client and Identity Assurance）1. 身份驗證決策點

　　在嘗試訪問應用程序和數據時，它會評估用戶，NPE和/或設備的身份。還可以評估設備是否被管理。ICAM參考設計中提供了非用戶NPE和用戶輔助NPE的其他用例。

　　2. 授權決策點

　　為請求此類訪問決策的實體作出授權決策的系統實體。它檢查訪問資源的請求，并將其與適用于所有訪問該資源請求的策略進行比較，以確定是否應授予發出考慮中請求的請求者特定的訪問權。客戶機和設備授權是有條件訪問資源、應用程序以及最終訪問數據的第一階段。

　　3. 能力

　　a） Comply-to-Connect （C2C）： 在設備能夠連接到內部網絡并不斷更新其狀態之前，強制補丁和加固配置被應用到設備上。

　　b） Privileged Access Management（PAM）：

　　指幫助保護、控制、管理和監視對關鍵資產的特權訪問的一類解決方案。這包括對系統、應用程序和服務的管理訪問。

　　No.3 以數據為中心的企業（Data-Centric Enterprise）1. 資源授權決策點（RADP）

　　這是一個中間決策點，它將評估合并后的NPE和用戶，以授權訪問請求。與前面的決策點一樣，這將利用信任度和已定義的策略來確定是否允許訪問。能力如下：

　　宏觀分段

　　將網絡劃分為具有不同屬性的更小的受控段的概念可以通過應用額外的硬件或vlan來實現。

　　應用程序交付控制（代理）

　　應用程序交付控制器是一種設備通常位于防火墻和一個或多個應用服務器之間的數據中心（一個被稱為DMZ的區域）。應用程序交付控制器主要執行應用程序加速和處理服務器之間的企業級負載平衡。前幾代應用程序交付控制器可以處理各種任務，包括但不限于內容緩存、SSL卸載和加速服務、數據壓縮以及一些入侵防御服務。

　　2. 應用程序授權決策點（AADP）

　　這是一個中間決策點，它將評估組合的NPE和用戶以授權訪問請求。像以前的決策點一樣，這將利用信任度和定義的策略來確定是否需要訪問。能入如下：

　　微分段

　　這是創建邏輯網絡區域以隔離段的實踐。通過啟用細粒度訪問控制，用戶、應用程序、工作負載和設備根據邏輯屬性進行分段，可以保護這些分段。這也提供了與傳統的外圍安全相比的優勢，因為較小的段呈現出較少的攻擊面（對于惡意的角色）。在零信任架構中，安全設置可以應用于不同類型的流量，創建將工作負載之間的網絡和應用程序流限制為顯式允許的流的策略。分段網關和API訪問決策點可以將每個身份的訪問限制為顯式允許的API調用，允許粒度細化到“動詞”級別。

　　DevSecOps應用程序開發

　　DevSecOps是一套軟件開發實踐，結合了軟件開發（Dev），安全性（Sec）和信息技術操作（Ops）來確保結果的安全性并縮短開發生命周期。軟件功能，修補程序和修補程序的出現頻率更高且自動化程度更高。

　　3. 數據授權決策點（DADP）

　　數據所有者使用數據參考體系結構通過編排器或DLP/DRP服務器對數據應用標簽。能力如下：

　　Data Rights Management

　　（數據權限管理）

　　一組訪問控制技術，防止未經授權的訪問，修改和重新分配數據。強制由加密數據組成，其密鑰與數據所有者定義的策略綁定。加密密鑰將綁定到數據的安全策略，以執行最低權限授權。

　　DLP

　　4. 數據

　　該流程的最后一步是訪問數據和應用程序。數據標記將用于確保所有數據的適當分類級別，以幫助防止泄漏。

　　數據標記

　　數據標記對于政策制定至關重要，因為這些屬性將被對齊以確定有條件的訪問。隨著企業數據的規模和廣度，自動化以及機器學習和人工智能將需要作為輔助標記過程的相關能力逐步引入。

　　No.4 動態訪問控制平面（Dynamic Access Control Plane）1. SOAR

　　這些術語用于定義處理威脅管理、事件響應、策略實施和安全策略自動化的技術。零信任架構將需要動態的策略實施和自動化。SOAR將與分析和政策引擎協同工作，以開發信任水平，并自動將政策交付到實施點。能力如下：

　　自動化策略部署

　　策略將由 Engine/

　　Orchestrator基于分析自動部署，并在實施點實現。

　　EDR

　　這是一個分析工具，提供對端點上惡意事件的實時監視和檢測。EDR允許您在詳細的時間線中可視化威脅，而即時警報使您知道如果攻擊發生。

　　用戶活動監視（UAM）

　　UAM可以監視所有類型的用戶活動，包括所有系統、數據、應用程序和用戶所采取的網絡行為，例如他們的網頁瀏覽活動，無論用戶是訪問未經授權的或敏感的文件。

　　2. 分析和信任度評分

　　這些技術對實體、屬性和配置進行持續評估，以適應部署的安全策略并對其進行風險優化。在授權活動中利用信任分數。

　　實體行為分析

　　分析來自SIEM的數據以確定訪問級別。

　　數據丟失防護

　　檢測潛在的數據泄露/數據過濾傳輸并通過監控防止它們。

　　3. 利用安全信息和事件管理進行日志記錄

　　活動數據被匯總并存儲在SIEM中，SIEM同時提供了安全信息管理（SIM）和安全事件管理（SEM）功能。能力如下：

　　實體活動審核

　　零信任體系結構將要求記錄所有活動，以確保進行適當的分析和信任度評分。每個執行點以及用戶和實體的行為分析將為制定訪問決策提供操作環境。