概要
《零信任架构》(Zero Trust Architecture, ZTA)是由美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)发布的第二版草稿,旨在提供一套动态的网络安全框架,以应对现代企业的安全挑战。该框架将防御重心从传统的网络边界转向对用户、设备和资源的持续验证和授权,从而提高网络安全性。
主要内容
定义与原则
- 零信任原则:强调对所有用户、设备和资源进行持续验证和授权,无论其位置或接入方式。
- 零信任视角的网络:区分企业拥有的网络基础设施与非企业拥有的网络基础设施,提出相应的假设和策略。
架构逻辑组件
- 常见方案:介绍了基于增强身份治理、微隔离和网络基础设施与软件定义边界(SDP)的零信任架构方案。
- 部署方案:提供了基于设备代理/网关、安全区、资源门户和设备应用沙箱的部署选项。
- 信任算法:探讨了实现零信任架构中信任度量的常见方法。
- 网络/环境组件:明确了支持零信任架构所需的关键网络需求。
部署场景与用例
- 多分支企业、多云环境、外包服务与访客管理、跨企业协作、面向公共或用户服务的企业的零信任实施策略。
威胁与对策
- 分析了与零信任架构相关的潜在威胁及其应对措施,包括ZTA决策过程的颠覆、拒绝服务攻击、内部威胁、网络可见性问题等。
与现有框架的互动
- 描述了零信任架构与NIST风险管理框架、隐私框架、联邦身份管理系统的交互,以及对可信互联网连接、EINSTEIN项目和DHS连续诊断与缓解计划的影响。
迁移路径
- 提出了从传统边界防御架构向零信任架构迁移的步骤,包括确定参与方、识别资产、评估关键流程、选择实施对象、初期部署与监控、以及扩大范围的策略。
结论
《零信任架构》提供了全面的指导,帮助企业构建和实施零信任策略,以提升整体网络安全水平。通过关注用户、设备和资源的持续验证,该框架能够有效应对复杂多变的网络威胁环境,为现代企业提供更加安全的网络环境。
