NIST 零信任架构实施规划指南

【国际视野】美国国家标准与技术研究院发布《零信任架构实施规划指南》零信任零信任提供了一组概念，旨在最大限度地减少在信息系统和服务中执行准确的、最小权限的每项请求访问决定时的不确定性，面对一个被视为有争议的网络。零信任从根本上说是由一套原则组成的，信息技术架构的规划、部署和运行都基于这些原则。零信任采用整体观点，考虑到对特定任务或业务流程的潜在风险以及如何减轻这些风险。因此，没有单一的具体的零信任基础设施实施或架构。零信任解决方案取决于被分析的工作流程和执行该工作流程时使用的资源。零信任战略思想可用于规划和实施企业IT基础设施，该计划被称为零信任架构（ZTA）。企业管理员和系统操作员需要参与规划和部署，以使ZTA获得成功。ZTA规划需要系统和工作流程所有者以及专业安全架构师的投入和分析。零信任不能简单地添加到现有的工作流程中，而是需要整合到企业的所有方面。本文件为正在向ZTA迁移的管理员和操作人员介绍了NIST风险管理框架（RMF）的概念。RMF规定了一种方法，包括一套步骤和任务，被整合到企业风险分析、规划、开发和运营中。通常不执行RMF中详述的步骤和任务的管理员可能会发现，当他们迁移到ZTA时，他们需要熟悉这些步骤和任务。 NIST特别出版物800-207提供了一个零信任的概念框架。虽然这个概念框架并不全面，但可以作为一个工具来理解和开发企业的ZTA。该指南还提供了一个抽象的逻辑架构，可以用来映射解决方案和差距。这个抽象的架构在下面的图1中得到了再现。图1：核心零信任逻辑组件在这张图中，组件是按逻辑功能来描述的，因此不一定代表作战系统中的能力构成。多个组件有可能以分布式的方式服务于一个逻辑功能，或者一个解决方案可以完成多个逻辑角色。政策引擎（ P E ）： Z TA 实施的 " 大脑 " 和最终评估资源访问请求的组件。 P E 依赖于来自各种数据源的信息（访问日志、威胁情报、端点健康和网络ID认证等）；政策管理员（ PA ）： P E 的执行者功能。政策管理员的作用是在主体和资源之间的数据平面上建立、维护并最终终止会话。 PA 、 P E 和 P E P 在一组逻辑上（或物理上）独立的通道上进行通信，称为控制平面。控制平面用于建立和配置用于发送应用流量的数据平面通道；政策执行点（ P E P ）：应用程序、终端等将与之互动以获得对资源的访问许可的组件。 P E P 负责为 P E 收集信息，并遵循 PA 发出的指令，建立和终止通信会话。企业资源之间的所有数据面通信必须由PEP管理；信息反馈（左边和右边）：有时称为策略信息点（ P I P ）。这些不是 " 核心 " 功能的 Z TA 组件本身，而是用来支持 P E 的。这些馈送包括编纂的策略集、身份和终端属性、环境因素和历史数据，由PE用于生成资源访问决策。 1 零信任的信条零信任可以被概括为一套用于规划和实施IT架构的原则。以下原则最初是在NISTSP800-207中定义的，但在这里被重复和扩展，并被分组为与网络身份、终端健康或数据流有关。其中包括对这些信条的一些讨论，以及规划者在开发零信任架构时应牢记的一些考虑。 1.1.1 处理网络身份治理的信条所有的资源认证和授权都是动态的，并在允许访问之前严格执行。一个典型的企业拥有广泛的网络身份集合：终端用户、流程和服务使用的账户等。有些终端用户可能有多个网络身份，有些身份可能只被硬件/软件组件使用。企业需要有治理政策和结构，以便只有授权的操作才能执行，而且只有在身份正确认证后才能执行。企业需要考虑目前的身份治理政策是否足够成熟，以及目前在哪里和如何进行认证和授权检查。动态执行意味着其他因素，如端点和环境因素会影响认证和授权政策。 1.1.2 处理端点的信条 I.所有数据源和计算服务都被视为资源。一个企业依靠不同的资源来执行其任务：移动设备、数据存储、计算资源（包括虚拟）、远程传感器/执行器等。所有这些组件都是资源，需要在 Z TA 中加以考虑。一些组件（如物联网传感器）可能无法支持一些解决方案，如配置代理、应用程序沙盒等，因此可能需要补偿技术或替代缓解措施。如果资源缺乏某些安全能力，企业可能需要添加一个PEP组件来提供该功能。 II.企业监控和测量所有拥有的和相关的资源的完整性和安全态势。本宗旨涉及企业拥有的资源和那些可能不属于企业但在企业工作流程中使用的资源的网络卫生方面，如配置、补丁、应用程序加载等。应该对资源的状态进行监控，并在报告或观察到新的信息，如新的漏洞或攻击时采取适当的行动。资源上的数据的保密性和完整性应该得到保护。这就要求企业管理员知道资源是如何配置、维护和监控的。 1.1.3 适用于数据流的原则 I . 所有通信都是安全的，无论网络位置如何。在零信任中，网络总是被认为是有争议的。在设计 Z TA 时，应假定网络上存在攻击者，并可能观察 / 修改通信。适当的保障措施应到位，以保护传输中的数据的保密性和完整性。如果一个资源不能提供这个功能，则需要一个单独的PEP组件； II.对单个企业资源的访问是在每个会话的基础上授予的。在一个理想的零信任架构中，每一个独特的操作都会在执行操作之前经过认证和授权。例如，在对数据库进行读操作之后的删除操作应该触发额外的认证和授权检查。这种级别的细化可能并不总是可能的，可能需要其他缓解方案，如日志和备份，以检测和恢复未经授权的操作。企业管理员将需要计划如何在单个资源上执行细粒度的访问策略。如果企业使用的安全工具不允许这样做，其他解决方案，如日志、版本工具或备份可能有助于实现预期的访问控制结果和管理这种风险； III.对资源的访问由动态策略决定，包括客户身份、应用/服务和请求资产的可观察状态，并可能包括其他行为和环境属性。在零信任中，所有资源的默认行为是拒绝所有连接，只接受策略明确允许的连接。那些被授权访问资源的人仍然必须验证自己，并证明他们符合企业政策，以获得会话。这可能包括满足诸如客户端软件版本、补丁级别、地理位置、历史请求模式等要求。请注意，可能无法在每次访问请求时执行所有检查，一些政策检查可能在独立的时间表上执行； I V. 企业应尽可能多地收集有关资产、网络基础设施和通信现状的信息，并利用这些信息来改善其安全态势。零信任增加了动态响应因素，这在以前基于周边的架构中通常是缺乏的（或不可能）。这就要求企业在可行的范围内，在政策、法规或法律要求的限制（或要求）下，监控所有的流量。系统日志和威胁情报被用来完善或改变政策，以应对新的信息。一个零信任的企业可以迅速采取行动，隔离受影响的资源，直到它们可以被修补或修改以减轻新发现的漏洞。管理员将需要为企业建立和维护一个全面的监控和补丁程序，并应考虑自动化工具如何协助应对新发现的威胁。零信任旅程转向零信任架构永远不会从头开始，而是会随着时间的推移涉及一系列的升级和变化。有些变化是简单的配置变化，有些则涉及购买和部署新的基础设施；这一切都取决于企业目前使用的和可用的工具。迁移到ZTA的过程并不是一个独特的过程，与其他网络安全的升级或改进类似，但在规划和实施中以零信任原则为指导。现有的框架，如NIST风险管理框架（RMF）和网络安全框架（CSF）可以帮助企业讨论、开发和实施ZTA。 1 过程 NISTSP 800-37修订版，信息系统和组织的风险管理框架。安全和隐私的系统生命周期方法，描述了风险管理框架（RMF）方法及其七个步骤。七个步骤 1 . 组织和系统准备（ P R E PA R E 步骤） 2 . 系统分类 ( C AT E G O R I Z E 步骤 ) 3. 控制选择（SELECT步骤） 4. 控制的实施（IMPLEMENT步骤） 5. 控制评估（ASSESS步骤） 6 . 系统授权（ AU T H O R I Z E 步骤） 7 . 控制监控（ M O N I TO R 步骤）虽然RMF步骤是按顺序描述的，但在最初实施后，它们可以按任何顺序进行或重新审视。构成这七个步骤的各个任务可以根据需要进行和重新审视，也可能与其他步骤和任务并行。各个步骤之间的过渡可以是流动的（见图2）。在制定和实施ZTA时也是如此，因为零信任的动态性质可能需要重新审视RMF步骤，以应对新的信息或技术变化。对于最初的零信任迁移，这些步骤通常是按顺序进行的。RMF的步骤与JohnKindervag为零信任所开发的高级步骤非常相似，下面是部分映射。这个过程假设授权边界已经创建，工作流程中使用的系统组件也是已知的。在Kindervag的原始高层描述中，没有明确的 CATEGORIZE步骤，因为它的开发没有考虑到联邦机构的政策。Kindervag的步骤是： 1.绘制资源的攻击面并确定可能被恶意行为者攻击的关键部分。这项活动将由"准备"和"选择"步骤中的任务涵盖。 2.从准备步骤开始，数据流应该被识别和映射。 3.实施步骤。重点是在资源和相关的PEP上实施SELECT阶段的控制。PEP可以是一个独立于资源本身的组件，用于满足认证/授权相关控制。底层网络不应该被认为是可信的，所以单个资源之间的链接必须通过一个PEP。 4.评估步骤。确保所有在实施步骤中制定并到位的访问策略都得到了实施，并按计划运行。这将以授权步骤结束，系统和工作流处于开始实际操作的状态。 5.监控步骤。实施对资源（及其安全状态）的监控和管理流程。 2.1.1 准备 RMF流程的第一步是准备。当开始零信任过渡时，这一步是基础性的，因为资源、网络身份和角色/特权的完整清单是零信任所必需的。 PREPARE步骤包括适用于组织和任务/业务流程层面以及系统层面的任务。系统架构师、管理员和操作人员可能会专注于PREPARE步骤中基于系统级别的任务