实战零信任架构

©2022云安全联盟大中华区版权所有1 ©2022云安全联盟大中华区版权所有2@2022云安全联盟大中华区-保留所有权利。本文档英文版本发布在云安全联盟官网（https://cloudsecurityalliance.org），中文版本发布在云安全联盟大中华区官网(http://www.c-csa.cn)。您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟。 ©2022云安全联盟大中华区版权所有3序言伴随着云计算、移动互联、物联网等新兴技术的发展、移动办公等需求的增加，互联网渗透到经济社会的方方面面，网络安全问题也愈演愈烈，网络安全事件带来的危害越来越大。传统的“纵深防御+边界防护”这类基于边界的安全防护体系因为边界的模糊而渐渐失效，难以适应企业的快速增长及业务的快速变化。聚焦资源保护，不允许隐式信任的零信任理念在过去几年里获得了众多政府及企业的认可。为了便于企业合理评估自身零信任安全建设实施进度并为企业后续相关安全能力建设发展提供指引及决策依据，本文引入了CISA发布的基于身份、设备、网络、应用程序工作负载和数据五大模块构建的零信任成熟度模型ZTCMM及零信任路线图，供组织机构评估自身建设情况并针对评估结果制定企业后续零信任安全能力建设发展规划。伴随着云原生、DevSecOps在企业内的成功落地，本文在SDP、IAM和微隔离（网络分段）的基础上额外讨论了和容器高度契合的服务网格、边缘计算和策略即代码技术与零信任架构融合的可行性。并从技术、文化、策略及监管措施多个领域分析解决方案影响，帮助行业利益相关方识别挑战和机遇。本白皮书再次体现了CSA在零信任领域为业界做出的贡献，这也是我们的领军专家Juanita的最后遗著，感谢大中华区参与本次翻译和支持的工作者们的无私奉献。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2022云安全联盟大中华区版权所有4致谢本文档《实战零信任架构》(TowardaZeroTrustArchitecture)由CSA的DC分会专家编写，CSA大中华区工作组专家翻译并审校。中文版翻译专家组（排名不分先后）：组长：陈本峰翻译组：余晓光林艺芳滕伟王彪苏泰泉卞乐彬江澎姜政伟李芊晔审校组：余晓光于继万林艺芳滕伟王彪吴满郭鹏程苏泰泉卞乐彬姜政伟李芊晔姚凯研究协调员：陈龙感谢以下单位对本文档的支持与贡献：云深互联（北京）科技有限公司、北京天融信网络安全技术有限公司、北森云计算有限公司、广东美云智数科技有限公司、华为技术有限公司、上海缔安科技有限公司英文版原创作者:JuanitaKoilpillaiJyotiWadhwaDr.AllenHarperSalilParikh、PaulDeakinVivianTeroGregBatemanAubreyMerchant-DestJayKelleyPhyllisThomasUmaRajagopalRebeccaChoynowski英文版原创贡献者:JasonKeplingerTomStilwellLaurenBogoshianBobKlannukarnJoeKleinDanieleCattedduNirenjGeorgeJaganKolliAndresRuz ©2022云安全联盟大中华区版权所有5特别感谢:本文档由云安全联盟(CSA)的DC分会创建。CSA的DC分会由一直处于云安全前沿的志愿者组成。请访问我们的网站https://www.cloudsecurityalliance-dc.org/了解更多信息。在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：research@c-csa.cn；云安全联盟CSA公众号。 ©2022云安全联盟大中华区版权所有6摘要企业利益相关者必须考虑与日俱增的实时系统复杂度所带来的挑战、新网络安全策略带来的需求，以及在复杂和混合世界中安全地运行系统所需的强大文化支持。零信任等新兴技术解决方案和方法对于满足美国总统拜登的第14028号行政令《改善国家网络安全》中的要求至关重要。本文探讨了新兴的、丰富的、多元化的解决方案格局的影响以及组织机构最终交付零信任架构(ZTA)的能力所面临的挑战。对行业如何改善关键利益相关者群体之间的协作以加速企业领导者和安全从业者在其环境中采用零信任提出了建议。云安全联盟出品-华盛顿特区分会(CSA-DC)研究委员会研究委员会主席：MariSpina ©2022云安全联盟大中华区版权所有7悼词本文献给JuanitaKoilpillai，她突然意外的离开，意味着网络安全界和她CSA-DC分会朋友们的巨大损失。Juanita即是这篇论文的主要作者和贡献者，也是撰写这篇文章的CSA-DC分会工作组的贡献者。Juanita对网络安全的所做的贡献将继续代表她不断加强世界各地组织的网络安全态势。她的技术领导力和开发的软件定义边界(SDP)技术形成了零信任架构(ZTA)的早期基础。Juanita是一盏真正的明灯，在网络安全社区中闪耀着光芒。我们怀着极大的悲伤向一位真正伟大的领袖和工程师告别。AnilKarmelCSA-DC分会主席 ©2022云安全联盟大中华区版权所有8目录序言...................................................................................................................................................3致谢...................................................................................................................................................4摘要...................................................................................................................................................6悼词...................................................................................................................................................71背景..................................................................................................................................................91.1为什么选择零信任?................................................................................................................101.2评估当前的零信任成熟度......................................................................................................121.3制定零信任路线图..................................................................................................................132采用零信任的考量因素..................................................................................................................162.1技术.........................................................................................................................................182.2组织文化.................................................................................................................................182.3策略.........................................................................................................................................182.4监管环境.................................................................................................................................193零信任解决方案的全景图.............................................................................................................203.1软件定义边界........................................................................................................................203.2网络分段.................................................................................................................................213.3服务网格.................................................................................................................................223.4边缘计算.................................................................................................................................233.5策略即代码.............................................................................................................................243.6身份感知代理............................................................................................................