2023年4月,CISA发布了ZTMM(Zero Trust Maturity Model)2.0版本,按照联邦行政命令《改善国家网络安全》(EO 14028)和美国白宫办公厅(OMB)备忘录《将美国政府引向零信任安全原则》(M-22-09)对其零信任成熟度模型进行了调整完善。本文对ZTMM 2.0进行了翻译,旨在帮助零信任供应商、企业用户和安全研究人员在设计、实施零信任项目时,正确理解零信任实践面临的挑战、成熟度路线和未来前景。
摘要:2023年4月,CISA发布了ZTMM(Zero Trust Maturity Model)2.0版本,按照联邦行政命令《改善国家网络安全》(EO 14028)和美国白宫办公厅(OMB)备忘录《将美国政府引向零信任安全原则》(M-22-09)对其零信任成熟度模型进行了调整完善。本文对ZTMM 2.0进行了翻译,旨在帮助零信任供应商、企业用户和安全研究人员在设计、实施零信任项目时,正确理解零信任实践面临的挑战、成熟度路线和未来前景。
网络安全和基础设施安全局(CISA)是国家层面理解、管理和降低网络安全风险的领导机构,包括为联邦文职行政部门的网络安全计划和能力实施提供支持。CISA的零信任成熟度模型(ZTMM)提供了一种零信任的持续性实现途径,以适应快速变化的网络环境和技术发展。在联邦行政命令《改善国家网络安全》(EO 14028)中,美国政府要求各联邦机构制定各自的零信任架构(ZTA)实施计划,ZTMM是设计和实施零信任迁移计划的众多途径之一。
尽管ZTMM是按EO 14028专门为联邦机构量身定制,但所有组织都应审查,并考虑采用该方法。
最近发生的一些网络安全事件凸显了,联邦政府及大型企业在确保网络空间安全方面所面临的广泛挑战,传统方法已经不足以防御网络威胁,来保护整个国家。作为理解、管理和降低网络风险的领导机构,CISA必须采用清晰、可操作、基于风险的方法,来保护联邦民政行政部门。面对新兴网络安全威胁,网络防御措施需要提高响应速度和灵活性,以便更快地增加对手的攻击成本,并提高耐久性和韧性,以快速恢复到全面运营状态。
CISA的职责是通过推动和支持有效的网络防御、增强国家核心功能的韧性,以及推进强大的技术生态系统,来捍卫和保护网络空间。CISA在维护跨联邦民政行政部门(FCEB)的网络态势感知、保护.gov域、帮助组织机构(包括联邦民政机构,关键基础设施所有者和运营商,以及行业伙伴)管理重大网络安全事件等方面发挥着关键作用。虽然CISA已经具备抵御已知或可疑网络威胁的能力,但不断变化的威胁形势和新兴技术带来了全新的挑战。
EO 14028标志着联邦政府网络安全现代化的新承诺和重点方向。除其他政策要求外,该行政命令将零信任视为联邦政府期望的安全模式,并呼吁FCEB部门制定相关计划以实施ZTA。典型的计划需要评估机构的网络安全状态,并规划如何完全实施ZTA。作为联邦政府的网络安全领导机构,CISA ZTMM将协助机构制定相应的零信任战略、实施计划的持续演进,并提出各种CISA服务以支持跨机构的零信任解决方案。
美国白宫办公厅(OMB)备忘录《将美国政府引向零信任安全原则》(M-22-09)按照ZTMM提出的零信任支柱,制定了一个联邦ZTA战略,说明了联邦机构要采取的具体行动,并要求各机构在2024财年结束前实现网络安全目标,以加强FCEB的网络安全防御。为了与M-22-09保持一致,CISA对ZTMM进行了重新修订,各FCEB部门在制定和实施零信任策略时,应同时审阅ZTMM和该备忘录。
国家标准和技术研究院(NIST)在SP 800-207中为零信任和ZTA提供了如下的操作性定义:
零信任由一系列概念和思想组成,能够在基于每个请求为信息系统和服务实施精确的、最小特权访问策略时,以网络已遭受攻击为假定前提,并减少策略实施中的不确定性。
ZTA是企业采用零信任理念制定的网络安全规划,包括组件关系、工作流规划和访问策略。因此,零信任企业作为ZTA计划的产物,包含网络基础架构(物理和虚拟)和运营策略两大部分。
《SP 800-207》强调,零信任的目标是“以尽可能精细的访问控制粒度,防止对数据和服务的未授权访问。”同样,国家安全电信咨询委员会(NSTAC)将零信任描述为“一种网络安全策略,其设计基础是任何用户或资源都并非隐含可信的,而是假定网络已经发生了入侵行为,或即将发生入侵,因此不应该只通过位于企业边界的单一验证机制,来授予用户对敏感信息的访问权限。相反,每个用户、设备、应用程序和会话都必须持续地进行验证。”零信任将传统的、以位置为中心的访问模型转变为以身份、上下文和数据为中心、具有随时间变化的细粒度安全控制,包括对用户、系统、应用程序、数据和资产等各种实体的控制。因此,采用ZTA是一项非常具有挑战性的工作,这种转变为支持安全策略的开发、实现、执行和演进提供了必要的可见性。从根本上讲,为了实施零信任,组织机构可能需要在网络安全理念和企业文化上做出一些改变。
迈向零信任的道路是一个逐步的过程,可能需要数年才能完成。
最初,实施零信任所需的技术和服务可能会导致企业的成本增加,但从长远来看,零信任向最关键数据和服务进行的精准投资,将使得安全投资更加明智,而不是在整个企业范围内采用“一刀切”的安全投资。
与大多数大型企业一样,联邦政府在实施ZTA时也面临着多项挑战。遗留系统通常依赖于“隐式信任”,它们仅通过少量的固定属性对访问和授权进行安全评估,这与ZTA自适应信任评估的核心原则是冲突的。为了更好地遵从零信任原则,需要一些额外的投资,来改造这些以隐式信任为基础的现有基础设施。此外,随着技术领域的不断演进,为了更好地实现零信任,保持对新的解决方案的探索和持续讨论也很重要。
实施零信任需要高层领导、IT人员、数据和系统所有者,以及遍布联邦政府的各类用户的参与和合作,以有效设计实现目标并改善网络安全态势。联邦政府的网络安全现代化要求各机构将烟囱式和孤立的IT服务和员工,转变为零信任战略的协调和协作组件,并在整个机构范围内购买通用架构和治理政策,包括当前和未来采用云技术的计划。
不同的联邦机构正在从不同的起点开启他们的零信任之旅,有的机构可能走得更远或取得更多的进步。但是无论起点如何,成功采用零信任都可以带来诸多好处,包括提高生产力、增强用户体验、降低IT成本、提供更灵活的访问和增强的安全性。
ZTMM代表了在5个不同方面或支柱(参看图1)逐步实施零信任改进的过程,包括身份(Identity)、设备(Devices)、网络(Networks)、应用与工作负载(Applications and Workloads),以及数据(Data)。此外,还包含了一些横跨所有支柱的能力:可见性与分析、自动化与编排,以及治理。
图1 零信任成熟度模型的支柱与相关能力
CISA的ZTMM是通向零信任的路径之一。
本成熟度模型在开发时参考借鉴了大量已有的ZTA出版材料(参见第6部分)。该模型反映了NIST SP 800-207中概述的7个零信任原则:
(1)将所有数据来源和计算服务视为资源。
(2)不论网络位置如何,所有通信都需要安全强化。
(3)以会话(per-session)为单位,对企业资源访问进行授权。
(4)按照动态策略确定资源访问权限。
(5)企业监控和度量所有自有和关联资产的完整性和安全姿态。
(6)在允许访问之前,所有资源都必须经过严格、动态地认证和授权。
(7)企业尽可能收集关于资产、网络基础设施的状态信息,并利用它来改善安全姿态。
随着各机构逐步迈向最佳的零信任实现,相关解决方案越来越依赖自动化流程和系统,这些系统将各个支柱进一步整合,并更加动态地执行策略决策。每个支柱可以独立演进发展,也可能比其他支柱发展地更快,直到需要进行跨支柱的协调。然而,这种协调的实现需要相关支柱的能力和依赖在整个企业范围和环境中能够相互兼容,这就要求能够定义一个逐步的零信任演进路线,以分摊成本,而不是一次性全部投入。
按照NIST提出的零信任实施步骤,各机构在投资零信任能力(包括ZTMM支柱和功能)建设之前,应当评估其当前的企业系统、资源、基础设施、人员和流程,帮助各机构判断识别能够支撑零信任成熟度的现有能力,并确定需优先解决的能力缺口。各机构还可以规划如何协调跨支柱的能力,以实现细粒度的最小特权访问控制,并减轻额外风险。
零信任成熟度旅程包括从传统阶段(Traditional)到初始(Initial)、高级(Advanced)和最佳(Optimal)三个阶段,这种阶段性设计将有助于促进联邦ZTA的实现,每个后续阶段对保护能力、实现细节和技术复杂性提出了更高的要求。
图2 零信任成熟度之旅
如图2所示,在各支柱和跨支柱的零信任成熟度不断提高时,各机构需预见到应付出的努力和效益将会显著增加。在各机构准备开启ZTA之旅时,应探索如何提高支柱成熟度,使之与特定的任务需求相匹配,并支持其他支柱的发展。图3强调了传统企业向未来发展的预期演变过程,未来企业的网络安全将具有更动态的更新、自动化的流程、集成的能力和其他ZTMM最佳阶段的能力特性。这些阶段是动态的,并呈指数增长,从一个成熟度阶段到下一阶段的进展可能会随着时间的推移,产生不同范围的影响。
图3 零信任成熟度的演进
各机构应在每个阶段使用以下原则,识别、确定各个零信任技术支柱的成熟度,以取得在整个成熟度模型中的一致性。
l 传统阶段:手动的生命周期(从建立到废除)管理和属性分配(安全和日志记录);静态的安全策略和解决方案,通过对不同外部系统的分散依赖,每次只能处理一个支柱;仅在配置时遵循最小特权原则;执行策略的各个支柱相互独立;手动式的响应和缓解措施部署;只对依赖、日志和监测进行了少量关联。
l 初始阶段:使用了自动化属性分配和生命周期管理、策略决策和执行,具有与外部系统集成的跨支柱解决方案;通过一些对权限的响应式调整,在配置之后实施最小特权原则;针对内部系统的聚合可见性。
l 高级阶段:在适用的情况下,能够对跨支柱的策略、配置的生命周期和分配进行自动控制;集中式的可见性和身份控制;跨支柱的策略执行;能够对预定义的缓解措施进行响应;根据风险和态势评估调整最小特权;向企业范围感知的方向发展(包括外部托管资源)。
l 最佳阶段:资产和资源能够通过基于自动/监测触发器的动态策略提供自报告,实现完全自动化、及时的生命周期和属性分配;对企业范围内的资产实施动态最小特权(刚好够用,并在阈值内)访问;具备持续监控的跨支柱互操作;具备全面态势感知的集中可见性。
图4是ZTMM的顶层概览,包括每个支柱在不同成熟度阶段的关键能力,以及在不同成熟度阶段的跨支柱能力特性。
图4 零信任成熟度模型概览
这些成熟度阶段以及与每个支柱相关的详细信息,使机构能够评估、规划和维护实施ZTA所需的投资。本文后续各小节将为每个支柱提供详细信息,以支持各机构在5个不同的支柱上实现向零信任的过渡,包括身份、设备、网络、应用和工作负载以及数据。每个支柱还包括了与可见性与分析、自动化与编排,以及治理能力相关的详细信息,以支撑该支柱和整个模型之间的集成。
跨支柱能力指支持不同支柱互操作功能的相关活动,包括以下3个方面:
l 可见性与分析。可见性是指从企业环境的事件特征中产生的可观测指标。对与网络安全相关的数据进行分析有助于提供策略决策依据、促进应急响应活动,并在
安全时间发生之前,建立风险概况以开发积极的安全措施。
l 自动化与编排。零信任采用自动化工具和工作流程,在支持产品和服务安全响应功能的同时,对这些功能、产品和服务的开发过程进行监管、安全保障和交互。
l 治理。指网络安全策略、程序和流程(在支柱内或跨支柱层面)的定义和执行方式,以符合零信任原则和满足联邦政府要求,减轻网络安全风险。
尽管ZTMM涵盖了联邦企业网络安全的许多关键方面,但也存在一些未涉及到的部分,例如,与事件响应相关的活动,包括日志记录、监测、警报、取证分析、风险承受和事后恢复等,与企业网络安全态势管理相关的特性和最佳实践也没有明确地纳入成熟度模型。尽管成熟度模型并非排他性的技术措施,但它确实没有解决与运营相关的挑战,包括特定类型的物联网(IoT)设备或已被广泛采用新兴技术,例如欺骗平台、可认证的WAF、行为分析等。另外,这个模型中也没有包括将机器学习和人工智能纳入零信任解决方案的建议方法。在每个支柱的成熟度提高过程中,各机构应该采取措施来监测和评估他们的安全能力、基础设施和策略的性能和完整性,来发现未授权的访问和变化。各机构应该注意不要为攻击者创造新的利用机会或削弱安全协议。为了有效保障联邦机构企业范围内软件和硬件系统的完整性,必要的研究和开发也是需要的。
在规划ZTA的实施时,各机构应根据风险、任务、联邦要求和操作限制等因素做出决策。尽管该模型与联邦企业的单一管理域或认证边界一致,但各机构在评估ZTA的影响因素时,仍然需要考虑与外部合作伙伴、利益相关者和服务提供商的互动和依赖关系。另外,该成熟度模型不应该被视为一个严格要求,而是一个能够帮助机构成功实施ZTA,并对网络安全态势进行整体提升的通用指南。
身份是指描述机构用户或实体(包括非人实体)的一个或一组属性。
各机构应确保并保证用户和实体因正确的目的,在正确的时间访问正确的资源,且未授予他们过多的访问权限。各机构应尽可能在企业范围内集成身份、凭据和访问管理解决方案,以强制执行强身份验证、实施基于上下文的授权,并评估机构用户和实体的身份风险。机构应在适当的情况下对其身份存储和管理系统进行集成,改善对企业身份、职责和权限的感知。
表1列出了零信任架构中“身份”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表1 “身份”支柱
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
身份认证 | 在静态访问授权中,使用密码或双因素认证(MFA)对实体身份进行认证。
| 使用MFA对身份进行验证,将密码作为MFA中的一种认证方式,并要求验证多个实体属性(例如场所或活动)。 | 使用抗钓鱼攻击的MFA和属性对所有身份进行身份验证,包括通过FIDO2或PIV实现的无密码MFA的最初实现。 | 持续使用抗钓鱼攻击的MFA对身份进行验证,而不仅仅是在最初授权时进行验证。 |
身份库
| 只使用自主管理的本地身份库(计划、部署和维护均由自行承担)。 | 同时使用自主管理的和托管(例如,云或其他机构)的身份库,存储库之间实现了较少的集成(例如,单点登录)。 | 开始合并和整合一些自主管理的和托管的身份库。 | 根据需要在所有合作伙伴和环境中安全地整合身份库。 |
风险评估 | 对身份风险进行有限的判断(即身份被窃取的可能性)。 | 使用手动方法和静态规则来确定身份风险,以支持可见性。 | 使用一些自动化分析和动态规则来确定身份风险,以支持访问决策和响应动作。 | 基于持续分析和动态规则,实时地确定身份风险,以提供持续的保护。 |
访问管理 (新增) | 永久性访问授权,并对特权和非特权账户进行周期性审核。 | 对访问(包括特权访问)进行授权,并通过自动审核使访问权限过期失效。 | 提供对基于需求和基于会话的访问(包括特权访问请求)授权,以适应不同操作和资源。 | 使用自动化来实现即时授权和恰到好处的授权,以满足个人的操作和资源需求。 |
可见性与分析 | 收集用户和实体的活动日志(特别是特权凭据),并进行例行的手动分析。 | 收集用户和实体活动日志,进行例行的手动分析和部分自动分析,不同类型的日志仅实现了少量关联。 | 在某些类型的用户和实体活动日志上进行自动化分析,并增加收集范围以解决可见性短板。 | 通过对用户活动日志(包括基于行为的分析)进行自动化分析,维护企业范围的全面可见性和态势感知。 |
自动化与编排 | 手动对自管理身份(用户和实体)进行编排(入职、离职和禁用),集成性较少,并定期进行审查。 | 手动对特权和外部身份进行编排,并自动编排非特权用户和自管理实体。 | 手动编排特权用户身份,并在所有环境中集成实现所有身份的自动编排。 | 基于行为、注册和部署需求,在所有环境中实现完全集成的所有身份自动编排。 |
治理 | 通过静态技术和人工审核实施身份策略(认证、凭证、访问、生命周期等)。 | 在企业范围内定义并实施具有少量自动化、并通过人工更新的身份策略。 | 在企业范围内实现自动化、并定期更新的身份策略。 | 在企业范围内,为所有用户和实体实现针对所有系统的自动化身份策略,能够实现持续的策略实施和动态更新。 |
设备是指可以连接到网络的任何资产(包括其硬件、软件、固件等),包括服务器、台式机、笔记本电脑、打印机、手机、物联网设备、网络设备等。
设备既可能是机构拥有的资产,也可能是员工、合作伙伴或访问者的自带资产(BYOD)。机构应该确保所有自有设备的安全性,管理那些非机构可控的授权设备的安全风险,并阻止未授权设备访问资源。设备管理包括维护所有资产(包括其硬件、软件、固件等)的动态清单、配置信息及相关漏洞。
企业网络环境中多样化的设备类型为实施ZTA提出了新的挑战,必须按照基于风险的流程对它们逐个进行评估。例如,网络设备、打印机等设备在身份验证、可见性和安全性方面,只具有少量的能力选项。在维持设备可见性和控制方面,允许使用BYOD的机构也会受到很多制约和限制。随着技术环境的不断变化,机构也将继续采用更多的设备来管理这些不断演变的设备相关风险。在特殊情况下,本指南可能无法适用于各机构的特定设备。另外,各机构也会面临维护可信设备和服务的生命周期,并获得技术支持的挑战,因为遗留设备通常会存在更多未解决的漏洞、易受攻击的配置和未知的风险。最后,尽管面临这些挑战和困难,各机构仍然应该能够在实现ZTA方面取得重大进展。
私有化部署的计算资产管理需要记录和管理物理资产(设备)。随着各机构逐渐转向云环境,还要考虑如何管理和跟踪机构的云和虚拟资产。云资产包括计算资源(如虚拟机、服务器或容器)、存储资源(如块存储或文件存储)、平台资产(如数据库、Web服务器、消息总线/队列)和网络资源(如虚拟网络、VPN、网关、DNS服务等),以及其他与托管云服务相关的虚拟资源(如人工智能模型)。
表2列出了零信任架构中“设备”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表2 “设备”支柱
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
策略实施与合规监控(新增) | 在策略实施或管理软件、配置或漏洞方面,只有少量的方法,几乎没有与设备合规相关的可见性。 | 能接收自报告的设备特征(例如,设备上的密钥、令牌、用户等),但其执行机制非常有限。机构已经初步建立了软件准入的基本流程,并能将更新和配置推送到设备上。 | 能够在初始使用设备时,对设备进行合规验证(即管理员可以检查和验证设备上的数据),并对大多数设备和虚拟资产实施合规策略。使用自动化方法来管理设备和虚拟资产、批准软件、识别漏洞和安装补丁。 | 在设备和虚拟资产的整个生命周期中,持续检查并执行合规策略。将设备、软件、配置和漏洞管理整合到所有机构环境中,包括虚拟资产。 |
资产和供应链风险管理(新增) | 没有以全企业或跨供应商的方式,跟踪物理或虚拟资产,采用临时性的方式对设备和服务供应链进行管理,对企业风险的认识非常有限。 | 跟踪所有物理和部分虚拟资产,并按照联邦建议,使用风险框架(例如NIST SCRM)建立策略和控制基线,来管理供应链风险。 | 通过自动化流程来开发全面的企业物理、虚拟资产视图,该流程可以跨多个供应商验证资产获取、跟踪开发周期,并提供第三方评估。 | 拥有全面的、实时或接近实时的、跨供应商和服务提供商的资产视图,在合适情况下,自动化其供应链风险管理,建立能容忍供应链故障的操作,并融入最佳实践。 |
资源访问(原数据访问) | 在访问资源时,未要求对于设备或虚拟资产的可见性。 | 要求某些设备或虚拟资产报告其特征,然后利用这些信息审批资源访问。 | 在初始资源访问时考虑设备的验证情况或虚拟资产的可见性。 | 资源访问时考虑设备和虚拟资产内的实时风险分析。 |
设备威胁保护(新增) | 对部分设备手动部署了威胁保护功能。 | 具有一些自动化流程,用于将威胁保护能力部署和更新到设备和虚拟资产,并集成了少量的策略执行和合规监控。 | 将威胁保护能力整合到面向设备和虚拟资产的集中式解决方案中,并将其中的大部分能力与策略执行和合规监控集成。 | 为所有设备和虚拟资产,部署了具有先进功能的集中式威胁保护安全解决方案,并采用统一方法解决设备威胁保护、策略实施和合规监控。 |
可见性与分析 | 使用物理标签清单和有限的软件监控,定期人工查看和分析设备信息。 | 在可用时,使用数字标识符(例如接口地址、数字化标记)、手动清单和终端监控(若可用)来监测设备。部分设备和虚拟资产能通过自动化分析(例如软件扫描器),执行基于风险的异常检测。 | 实现清单的自动化采集(包括所有标准用户设备上的终端监控,例如台式机、笔记本电脑、手机、平板电脑及其虚拟资产)和异常检测(检测未授权设备)。 | 自动化采集所有可接入网络的设备和虚拟资产的状态,并与身份关联、执行端点监控和异常检测,为资源访问授权提供信息。跟踪虚拟资产的供应和销毁模式以监测异常。 |
自动化与编排 | 在企业范围内,人工完成设备供应、配置和注册。 | 使用工具和脚本来自动化处理流程,包括设备和虚拟资产的供应、配置、注册和销毁。 | 实施了监控和策略执行机制,能识别、手动断开或隔离不符合规定(易受攻击、未经验证的证书、未注册的MAC地址)的设备和虚拟资产。 | 拥有全自动的流程,用以实现设备及虚拟资产的供应、注册、监控、隔离、修复和销毁。 |
治理 | 制定了针对传统外设的生命周期策略,但依赖人工流程来维护(例如更新、打补丁、杀毒)这些设备。 | 制定并实施了设备采购、非传统计算设备和虚拟资产的生命周期策略,并定期对设备进行监测和扫描。 | 为设备和虚拟资产制定了企业级的生命周期策略,包括设备枚举和问责,并实现了一些自动实施机制。 | 对企业范围内、所有可连接网络的设备和虚拟资产实现了自动化的生命周期策略。 |
注:设备生命周期包括采购、配置、跟踪、监控、更新、使用、清理、销毁以及恢复等多个阶段。
网络是指一个开放的通信介质和通道,包括传统通道,如机构内部网络、无线网络和互联网,以及其他通道,如用于传输信息的蜂窝和应用层通道等。
零信任架构使传统基于边界的安全方法发生了改变,允许机构管理内部和外部流量、隔离主机、实施加密、分段访问活动,并增强了企业网络的可见性。ZTA允许在更接近应用程序、数据和其他资源的位置实现安全控制,增强了传统基于网络的保护措施,并提高了深度防御能力。由于不同应用在访问权限、优先级、可达性、依赖服务和连接路径等方面存在不同的要求,网络中的每个应用程序都可以以唯一的方式对待处理。这些网络应用要求可以被采集为应用程序概要,然后相同的概要可以作为同一类流量进行处理。
表3列出了零信任架构中“网络”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表3 “网络”支柱
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
网络分段 | 使用大边界/宏分段来定义网络架构,网段内的可达性基本不受约束。也可能依赖多服务互连(例如,不同流量按批量使用VPN隧道)的方案。 | 在网络架构对关键工作负载进行隔离,按最小功能(权限)原则限制连通性,并向特定服务互连的网络架构过渡。 | 在入向/出向微边界和特定服务互连框架中,扩展终端和基于应用程序概要的隔离机制。 | 网络架构由完全分布式的入向/出向微边界和基于应用程序概要的微分段组成,动态实现即时和适度连通性,以实现特定服务的互连。 |
网络流量管理(新增) | 在服务提供过程中,人工实施静态网络规则和配置来管理流量,仅具有有限的监控能力(例如应用程序性能监控或异常检测),对关键业务应用的配置变更通过人工进行审计和审核。 | 建立了具有不同流量管理特征的应用程序概要,并开始将所有应用程序映射到这些概要。将静态规则扩展应用到所有应用程序,并对应用程序概要进行定期手动审计。 | 实施动态网络规则和配置,以进行资源优化,这些规则和配置根据自动风险感知和具备风险响应的应用程序概要评估和监控,定期进行调整。 | 实施不断演变的动态网络规则和配置,以满足应用程序概要的需求,根据关键任务、风险等因素重新确定应用程序优先级。 |
流量加密(原加密) | 对少量流量实施加密,并依靠手动或临时流程来管理和保护加密密钥。 | 对所有流向内部应用的流量进行加密,对外部应用的流量进行尽可能的加密,规范化密钥管理策略,并保护服务器/服务的加密密钥。 | 所有应用的内部和外部流量均使用协议加密,对密钥和证书的签发和更换实施管理,并引入密码敏捷实践。 | 持续根据需求加密流量,在企业范围执行最小权限原则,以保证密钥的安全管理,并尽可能广泛地采用密码敏捷实践。 |
网络弹性(新增) | 根据单个应用程序的可用性需求,按个案配置网络能力,只能提供适用于非关键任务负载的有限弹性。 | 通过配置网络能力,管理其他应用程序的可用性要求,并扩展非关键任务负载的弹性机制。 | 网络功能的配置能动态管理大部分应用程序的可用性需求和弹性机制。 | 能感知所有工作负载的可用性需求变化,并集成全面的交付,提供相应的弹性机制。 |
可见性与分析 | 通过以网络边界为重点的有限监控和分析,开始开发集中式的态势感知。 | 采用基于已知入侵指标(包括网络枚举)的网络监控,在每个网络环境中开发态势感知,并将各种环境中的不同流量关联起来,进行分析和威胁检测。 | 通过基于异常的网络检测能力,在所有环境中开发态势感知,并将多来源的监测信息进行关联以进行分析,并采用自动化流程进行强大的威胁搜索。 | 在启用企业范围态势感知和监控能力的同时,维持对所有网络和环境中的通信可见性,并自动对所有检测源的监测信息进行关联。 |
自动化与编排 | 使用手动流程来管理网络、环境的配置和资源生命周期,定期整合策略要求和态势感知。 | 使用自动化方法来管理某些网络、环境的配置和资源生命周期,并确保所有资源都基于策略和监测数据定义了生命周期。 | 使用自动化的变更管理方法(如CI/CD)来管理所有网络、环境的配置和资源生命周期,能够对感知到的风险进行响应、执行策略和保护。 | 网络和环境由基础设施即代码来定义,并实现自动化的变更管理方法,包括自动的初始化和过期失效,以应对不断变化的需求。 |
治理 | 通过以边界保护为重点的方法,实施静态的网络策略(访问、协议、分段、警告和修复)。 | 针对每个网络分段和资源制定并实施相应的策略,并适当沿用企业级策略规则。 | 在实施个性化策略时引入了自动化,促进从关注边界的保护向未来过渡。 | 实施企业范围的网络策略,使基于应用和用户工作流的策略定制、局部控制、动态更新和安全外连成为可能。 |
应用和工作负载是指在私有化环境、移动设备和云环境中运行的系统、计算机程序和服务。
各机构应该管理和保护其部署的应用程序,并确保安全的应用程序交付。精细化访问控制和集成的威胁防护可以提供增强的态势感知,并减轻应用程序特定的威胁。根据OMB M-22-09的规定,各机构应逐渐使已授权用户能够在公共网络上访问应用程序。在可能的情况下,各机构应采用基于DevSecOps和CI/CD过程的最佳实践,包括使用非可变工作负载。各机构应该探索一些新的选择,将运营重点从认证边界和更新ATO(Authorization to Operate),逐渐转向对应用程序自身的支持,使其无论是从内部访问,还是从外部访问都具有相同的安全性。
表4列出了零信任架构中“应用与工作负载”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表4 “应用与工作负载”支柱
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
应用访问(原访问授权) | 主要基于静态属性对应用访问实施本地授权。 | 采用上下文信息(如身份、设备合规性和/或其他属性)实施对应用的每个访问请求进行授权,并设置授权的过期时间。 | 使用扩展的上下文信息自动化应用程序的访问决策,并依据最小特权原则设置相应的过期条件。 | 对应用程序实施持续的访问授权,并引入实时的风险分析和因素,如行为/使用模式等。 |
应用威胁保护(原威胁保护) | 仅实现了威胁保护与应用工作流的少量集成,能针对已知威胁提供一般性防护。 | 将威胁保护集成到关键业务应用的工作流中,能针对已知威胁和一些特定应用的威胁提供保护。 | 将威胁保护集成到所有应用的工作流中,保护某些特定于应用程序和有针对性的威胁。 | 将高级威胁保护集成到所有应用工作流中,提供实时可见性和内容感知保护,以应对特定于应用程序的复杂攻击。 |
可访问应用(原可访问性) | 关键应用仅在私有网络和带监控的安全公共网络连接(例如VPN)上可用。 | 为了满足需要,通过代理连接的方式,将部分适用的关键任务应用提供给授权用户在开放的公共网络中使用。 | 根据需要,把大部分适用的关键任务应用通过开放的公共网络连接提供给授权用户使用。 | 根据需要,把所有适用的应用通过开放的公共网络提供给授权用户和设备使用。 |
开发和部署工作流(新增) | 使用非正式的开发、测试和生产环境,缺乏健全的代码部署机制。 | 采用具备规范的代码部署机制的基础架构来支持开发、测试和生产环境(包括自动化),通过CI/CD流水线和必要的访问控制来,来支持最小特权原则。 | 由不同团队完成开发、安全和运营,并取消开发人员在代码部署时对生产环境的访问权限。 | 在可行的情况下充分利用非可变工作负载,更改只能通过重新部署生效,并取消管理员对部署环境的访问权限,以支持自动化的代码部署流程。 |
应用安全测试(原应用安全) | 在部署之前进行应用安全测试,主要通过手动测试方法实施。 | 在应用部署前的安全测试中,使用静态和动态(即应用程序正在执行)测试方法,包括手动的专家分析。 | 将应用安全测试整合到应用程序开发和部署流程中,包括使用周期性的动态测试方法。 | 在企业软件开发生命周期中全面整合应用程序安全测试,在已部署应用程序中进行例行自动化测试。 |
可见性与分析 | 对关键业务应用进行了一些性能和安全监控,但聚合和分析能力有限。 | 自动采集应用信息(例如状态、健康度和性能)和安全监控,以改进日志收集、聚合和分析。 | 通过启发式技术,自动化地对大部分应用程序进行信息采集和安全监控,以识别应用程序特有的和企业整体的趋势,并逐步完善流程以填补可见性中存在的短板。 | 在所有应用程序上执行持续、动态的监控,以保持企业范围内全面的可见性。 |
自动化与编排 | 通过手动方式,在应用资源分配阶段,设立静态的应用托管位置和访问权限,并进行有限维护和审查。 | 定期修改应用配置(包括位置和访问权限),以满足相关的安全和性能目标。 | 自动处理应用程序配置,以应对运营和环境变化。 | 自动处理应用程序配置,以持续优化安全性和性能。 |
治理 | 主要依靠手动执行策略来实现对应用访问、开发、部署、软件资产管理、安全测试和评估(ST&E)的管理,包括技术插入、修补漏洞和跟踪软件依赖。 | 根据任务需求(例如,软件物料清单)来自动执行策略进行规范,通过自动化方式实现对应用程序开发、部署、软件资产管理、ST&E,及技术插入、打补丁和跟踪软件依赖关系等方面的管理和监管。 | 为应用实施分层、定制的企业范围内的策略,覆盖开发和部署生命周期的所有方面,并尽可能利用自动化的策略执行。 | 完全自动化的应用开发和部署策略,包括通过CI/CD流程动态更新应用程序。 |
数据包括所有结构化和非结构化的文件和碎片,它们存在(或曾存在)于部署在本地或虚拟环境中的系统、设备、网络、应用程序、数据库、基础设施和备份中,包括相关的元数据。
按照联邦政府要求,各机构的数据应该在设备、应用程序和网络上得到保护。各机构应该建立数据清单,对其进行分类和标记,在数据存储和传输时为其提供保护,并部署能检测和阻止数据外泄的相关机制。各机构应该仔细制定和审查数据治理策略,以确保在企业范围内实施基于数据生命周期的安全管理。
表6列出了零信任架构中“数据”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表5 “数据”支柱
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
数据清单管理 | 人工识别部分数据(例如,关键业务数据),并为其建立清单。 | 采用自动化的数据清单流程,覆盖本地和云环境中的大部分数据,并引入防止数据丢失的保护措施。 | 在企业范围内自动建立数据清单和跟踪,涵盖所有适用的机构数据,并采用基于静态属性和/或标签的数据防泄漏策略。 | 持续维护所有适用数据的清单,并采用强大的数据防泄漏策略,动态阻止可疑的数据泄露。 |
数据分类(新增) | 采用了有限的、非正式的数据分类。 | 实现了数据分类策略,具备明确的标签定义和手动执行机制。 | 以一致、分级、有针对性的方式自动化了一些数据分类和标记过程,并使用简单、结构化的格式和定期审查来管理。 | 通过强大的技术和机制,在企业范围内采用了细粒度、结构化格式自动对所有数据执行分类和标记。 |
数据可用性(新增) | 主要由本地数据库提供数据,同时提供了一些异地备份。 | 可以从冗余、高可用的数据存储库(例如,云)中提供一些数据,并为本地数据维护了异地备份。 | 主要从冗余、高可用的数据存储库中提供数据,并确保可以访问历史数据。 | 使用动态方法根据用户和实体的需求调整优化数据可用性,包括历史数据。 |
数据访问 | 通过静态访问控制,管理用户和实体的数据访问(例如,读取、写入、复制、授权他人访问等)权限。 | 开始部署自动化的数据访问控制,在企业范围内引入最小特权原则。 | 在自动化数据访问控制中,考虑采用各种属性,如身份、设备风险、应用程序、数据类别等,并在适当情况下进行时间限制。 | 在企业范围内自动执行即时(just-in-time)和恰到好处(just-enough)的数据访问控制,并持续审查权限。 |
数据加密 | 只对必要的数据进行最低限度的加密,包括数据存储和传输过程中的加密,并依赖手动或临时流程来管理和保护加密密钥。 | 对所有传输中的数据进行了加密,可行的话,还对数据存储(例如,关键业务数据和存储在外部环境中的数据)进行了加密,并开始规范密钥管理策略和强化加密密钥。 | 尽最大可能对企业范围内的所有存储、传输数据进行加密,开始采用密码敏捷性,并保护加密密钥(即,不使用硬编码密钥,并定期轮换)。 | 在必要时,对使用中的数据进行加密,在企业范围内执行最小权限原则以进行安全密钥管理,并尽可能使用最新的NIST标准和密码敏捷性来应用加密技术。 |
可见性与分析 | 对数据位置、访问和使用的可见性非常有限,主要依赖手动流程进行分析。 | 通过数据清单管理、分类、加密和访问尝试来获得可见性,还结合了一些自动化分析和相关性分析。 | 采用自动化分析和相关性分析,在企业范围内维护更全面的数据可见性,并开始采用预测分析。 | 能够全面跟踪数据生命周期,具备强大的分析能力,包括预测分析,支持全面的数据视图和持续的安全状况评估。 |
自动化与编排 | 通过手动和非正式的流程实施数据的生命周期管理和安全策略(例如,访问、使用、存储、加密、配置、保护、备份、分类、清洗)。 | 使用了一些自动流程来实施数据的生命周期管理和安全策略。 | 在企业范围内,以一致、分级、有针对性的自动化方式对大部分数据实施数据的生命周期挂你和安全策略。 | 在企业范围内,尽可能自动化地实施所有数据的生命周期管理和安全策略。 |
治理 | 手动实施非正式的数据治理策略(例如,保护、分类、访问、清单化、存储、恢复、清除等)。 | 定义了高级的数据治理策略,主要依赖手动、分段实施。 | 开始在整个企业范围内集成数据生命周期的策略执行机制,实现数据治理策略的统一定义。 | 数据的生命周期策略尽可能统一一致,并在整个企业范围内动态执行。 |
可见性与分析、自动化与编排、治理这3种横跨能力为推进5个能力支柱的集成提供了机会。各机构在发展某一支柱的成熟度时,可以独立地提高它的每个功能和能力。可见性与分析支持全面的可见性,为策略决策提供信息,并有利于相关响应活动的开展。自动化与编排利用这些可见性,通过强大而简单的操作,处理各种安全事件并及时响应。治理使各机构能够管理和监测其监管、法律、环境、联邦和运营需求,以支持基于风险的决策生成,还可以确保通过采用正确的人员、流程和技术,实现任务、风险和合规目标的达成。
表6提供了每种横跨能力的高级成熟度演进情况。
表6 横跨能力
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
可见性与分析 | 在企业范围内,手动收集了有限的日志,日志质量较差,且仅进行了最基本的分析。 | 开始自动收集和分析关键业务的日志和事件,并定期评估可见性方面的短板。 | 扩大了自动化日志和事件的收集范围内(包括虚拟环境),以进行跨多个来源的集中式关联分析分析。 | 通过对日志和事件的集中、动态监控和高级分析,全面实现企业范围内的可见性。 |
自动化与编排 | 依靠静态和手动流程,来编排操作和响应活动,自动化程度有限。 | 开始自动化编排和响应活动,以支持关键任务功能。 | 在企业范围内,实现自动化编排和响应活动,并利用多源上下文信息来指导策略决策。 | 编排和响应活动能动态响应整个企业范围内的需求变化和环境变化。 |
治理 | 在整个企业中以非正式方式实施策略,主要通过手动流程或静态技术执行策略。 | 定义并开始实施适用于整个企业范围的策略,但是缺乏自动化,需要手动更新。 | 实施分层和定制的企业级策略,并尽可能利用自动化技术来支持策略执行。访问控制策略的决策利用了来自多个来源的上下文信息。 | 实施完全自动化的企业级策略,能通过持续的策略执行和动态更新,实现定制化的本地控制。 |
在制定和修订本指南时,CISA参考了联邦政府发布的以下ZTA材料。
(1)M-22-09(管理和预算办公室)
该备忘录提出了一个联邦政府的零信任架构战略,要求各机构在2024财年结束之前满足特定的网络安全标准和目标,以增强政府在抵御日益复杂和持久的威胁行动方面的能力。该战略包含了以下部分,强调了企业身份验证和访问控制(包括MFA),要求在可行的情况下尽早加密所有网络流量,为建立自动化的安全访问规则基础提供支持,并将每个应用程序视为可从互联网访问。
(2)SP 800-207(国家标准与技术研究院特别出版物)
NIST SP 800-207为企业安全架构师描述了零信任概念,以帮助理解用于民用非机密系统的零信任架构,并提供了在企业环境实施零信任迁移的路线图。SP 800-207是多个联邦机构之间合作的成果,并由联邦首席信息官委员会监督。NIST正在开发并发布其他的ZTA实施指南。
(3)零信任参考架构(国防部)
国防部(DoD)的零信任参考架构描述了数据为中心的企业标准和能力,可用于成功推进国防信息网络(DoDIN)向互操作的零信任终状态的发展。
(4)拥抱零信任安全模型(国家安全局)
NSA在拥抱零信任安全模型中,解释了零信任安全模型的好处和实施挑战,讨论了建立详细策略、投入必要资源、成熟实施、全面承诺零信任模型以达到预期效果的重要性。该文件的建议将帮助考虑采用这种现代网络安全模型的网络安全领导者、企业网络所有者和管理员。
NSA的《拥抱零信任安全模型》解释了零信任安全模型的优势和实施挑战,强调了制定详细策略、投入必要资源、改进实现的成熟度以及全面投入零信任模型对实现预期结果的重要性。该文档对考虑采用零信任模型的网络安全领导者、企业网络所有者和管理员将非常有帮助。
CISA计划在零信任的各个支柱领域提供网络安全支持和指导,包括将这些支柱集成到ZTA中。以下文件是各机构迁移到零信任所需的有用资源。随着机构开发ZTA,CISA将继续审查和完善这些资源。
(1)持续诊断和缓解
CDM指南可在CDM官网(https://www.cisa.gov/cdm)上找到。
(2)高价值资产
HVA指南可在CISA官网(https://www.cisa.gov/hva-pmo)上找到。
l High Value Asset Control Overlay, Version 2.0, January 2021
l High Value Asset Control Overlay FAQ, Version 1.0, January 2018
l Securing High Value Assets, July 2018
l CISA Insights: Securing High Value Assets, September 2019
l Binding Operational Directive 18-02—Securing High Value Assets, May 2018
(3)国家网络安全保护系统(National Cybersecurity Protection System)
NCPS 指南可以在NCPS 官网(https://www.cisa.gov/publication/national-cybersecurity-protection-system-documents)上找到。
l National Cybersecurity Protection System (NCPS) Cloud Interface Reference Architecture
l Volume 1: General Guidance, Version 1.4, May 2021
l National Cybersecurity Protection System (NCPS) Cloud Interface Reference Architecture
l Volume 2: Reporting Pattern Catalog DRAFT, Version 1.1, May 2021
(4)网络安全共享服务提供(原质量服务管理办公室)
l Quality Services Management Office Fact Sheet
l Centralized Mission Support Capabilities for the Federal Government (M-19-16), April 2019
(5)可信互联连接
TIC指南可以在 TIC官方库(https://www.cisa.gov/publication/tic-30-core-guidance-documents)中找到。
l Trusted Internet Connections 3.0 Program Guidebook, Version 1.1, July 2021
l Trusted Internet Connections 3.0 Reference Architecture, Version 1.1, July 2021
l Trusted Internet Connections 3.0 Security Capabilities Catalog, Version 2.0, October 2021
l Trusted Internet Connections 3.0 Traditional TIC Use Case, Version 1.0, April 2021
l Trusted Internet Connections 3.0 Branch Office Use Case, Version 1.0, April 2021
l Trusted Internet Connections 3.0 Remote User Use Case, Version 1.0, October 2021
l Trusted Internet Connections 3.0 Cloud Use Case, DRAFT, June 2022
(6)其他资源
l Cloud Security Technical Reference Architecture
l Applying Zero Trust Principles to Enterprise Mobility
l Secure Cloud Business Applications (SCuBA) Technical Reference Architecture (TRA) (Draft)
l Extensible Visibility Reference Framework (eVRF) Guidebook (Draft)
l Multifactor Authentication
l Applying Zero Trust Principles to Enterprise Mobility
l Cyber Resilience Review Assessments
l govCAR Factsheet
l Cybersummit 2021 Session Day 2: Zero Trust
