CSA NIST零信任架构

NIST SP 800-207 (第二版草稿) 零信任架构 m o c . 5 b u h t i g 1 © 版权所有 2020 云安全联盟大中华区 NIST SP 800-207 (第二版草稿) 零信任架构中文翻译版说明本文当由云安全联盟大中华区（CSA GCR）SDP 工作组专家对 NIST（美国国家标准与技术研究院）的《零信任架构》以及《零信任架构实施》两篇白皮书进行翻译审校。翻译审校工作专家：组长：陈本峰（云深互联） m o c . 5 组员：陈智雨（国网信通公司）、邓辉（吉大正元）、靳明星（易安联）、王永霞（腾讯云）、魏小强（360）、闫龙川（国网信通公司）、于继万（华为）、余晓光（华为）、余强（中宇万通）、袁初成（缔安科技）、郑大义（万物安全）、 b u 崔泷跃、高巍、何国锋、刘洪森、王贵宗、姚凯、于乐、周杰 h t i g CSA 大中华区研究助理：高健凯贡献单位：缔安科技、国网信通公司、华为、吉大正元、360、腾讯云、万物安全、易安联、云深互联、中宇万通特别感谢奇安信、云深互联、字节云智为本次翻译提供草稿版翻译文档。在此感谢以上参与翻译审校工作的专家们以及工作人员。如译文有不妥当之处，敬请联系 CSA GCR 秘书处给予雅正！联系邮箱：info@c-csa.cn 。 2 © 版权所有 2020 云安全联盟大中华区 NIST SP 800-207 (第二版草稿) 零信任架构授权本出版物由 NIST 根据美国 2014 年《联邦信息安全现代化法案》（FISMA）的法定职责开发。《公法》(P.L.)第 3551 条 44 款及以后各条（第 113-283 条）。 NIST 负责制定信息安全标准和指南，包括联邦信息系统的最低要求，但未经对此类系统行使政策权力的相关联邦官员的明确批准，此类标准和指南不应适用于国家安全系统。该准则符合管理和预算办公室第 A-130 号通知的要求。 m o c . 5 本出版物中的任何内容都不应被视为与商业部长根据法定授权而对联邦机构强制和具有约束力的标准和准则相抵触。也不应将这些准则解释为改变或取代商务部长、监事会主任或任何其他联邦官员的现有权力。本出版物可由非政府组织自愿使用，在美国不受版权限制。使用请注明出处，NIST 将对此表示赞赏。 b u 国家标准与技术研究所特别出版物 800-207 h t i g 国家标准与技术研究所特别出版物 800-207，总 58 页 (2020 年 2 月) 分类编号: NSPUE2 本出版物可从以下地址免费获取： https://doi.org/10.6028/NIST.SP.800-207-draft2 本文件中可能会提到某些商业实体、设备或材料，以便更加充分地描述实验过程或概念。提到他们并不意味着 NIST 推荐或认可，也不意味着实体、材料或设备必然是用于该目的的最佳备选。本出版物中内容可能参考到 NIST 的其它出版物，这些出版物可能正在 NIST 根据其法定职责开发中。本出版物中的信息，包括概念和方法，联邦机构可以马上使用，甚至在完成此类配套出版物之前。因此，在每份出版物完成之前，现有 3 © 版权所有 2020 云安全联盟大中华区 NIST SP 800-207 (第二版草稿) 零信任架构的要求、准则和程序仍然有效。为了规划和过渡的目的，联邦机构可以密切关注 NIST 这些新出版物的进展。鼓励各种组织在征求意见期间审阅所有出版物草稿，并向 NIST 提供反馈。除上述出版物外， NIST 的其他网络安全出版物可在 https://csrc.nist.gov/publications 上获取查阅公开征求意见时间段: 2020 年 2 月 13 到 m o c . 5 2020 年 3 月 13 国家标准与技术研究院 b u 地址: 先进网络技术处信息技术实验室 h t i g 盖瑟斯堡市 100 局道（邮递站 8920）,MD 20899-8920 电子邮件: zerotrust-arch@nist.gov 所有反馈意见均根据《信息自由法》（FOIA）予以发布 © 版权所有 2020 云安全联盟大中华区 4 NIST SP 800-207 (第二版草稿) 零信任架构计算机系统技术报告美国国家标准与技术研究院（NIST）的信息技术实验室（ITL）通过引领国家测量和标准基础，促进美国经济和公共福利。信息技术实验室通过开发测试、测试方法、参考数据、概念证明实施和技术分析，以推进信息技术的发展和生产使用。信息技术实验室的责任包括制定管理、行政、技术和物理标准和指南，以在联邦信息系统中为与国家安全相关的信息以外的其他信息提供具有成本效益的安全和隐私。特别出版物 800 号系列报告，介绍了信息技术实验室在信息系 m o c . 5 统安全方面的研究、指南和外联工作，以及与工业界、政府和学术组织的合作活动。 b u h t i g © 版权所有 2020 云安全联盟大中华区 5 NIST SP 800-207 (第二版草稿) 零信任架构摘要零信任（Zero Trust，缩写 ZT）是一组不断演进的网络安全范式，它将网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任架构（ZTA）使用零信任原则来规划企业基础架构和工作流。零信任取消了传统基于用户的物理或网络位置（即，相对公网的局域网）而授予用户帐户或者设备权限的隐式信任。认证和授权（用户和设备）是与企业资源建立会话之前执行的 m o c . 5 独立步骤。零信任顺应了企业网络发展的趋势：位于远程的用户和基于云的资产，这些资产都不位于企业拥有的网络边界内。零信任的重心在于保护资源，而不是网段，因为网络位置不再被视为资源安全与否的主要依据。本文档包含零信任架 b u 构（ZTA）的抽象定义，并给出了零信任可以改进企业总体信息技术安全状况的 h t i g 通用部署模型和使用案例。关键词：架构；网络空间安全；企业；网络安全；零信任 © 版权所有 2020 云安全联盟大中华区 6 NIST SP 800-207 (第二版草稿) 零信任架构致谢本出版物是多个联邦机构合作的成果，由联邦首席信息官委员会监督。架构组负责本文的开发，但是有一些特定的个人值得表彰。其中包括联邦首席信息官委员会 ZTA 项目的项目经理 Greg Holden、NIST/国家网络安全卓越中心 ZTA 项目的项目经理 Alper Kerman,以及 Douglas Montgomery。读者 m o c . 5 本出版物旨在为企业安全架构师介绍零信任理念。它旨在帮助理解用于民用非保密系统的零信任，并为将零信任安全概念移植和部署到企业环境提供路线图。网络安全经理、网络管理员和管理者也可以从本文档中了解零信任和 ZTA。它不是针对 ZTA 的单一部署计划，因为企业将拥有需要保护的独特业务用例和数据 b u 资产。从对组织业务和数据的扎实了解开始，将形成一种强有力的零信任方法。评审人须知 h t i g 本特别出版物的目的是开发一组与技术无关的术语、定义和逻辑架构组件，以开发和支持 ZTA。本文没有就如何在企业中部署零信任组件给出具体的指导或建议。评审人根据文档的明确目的，对评审意见进行裁剪。商标信息所有商标或注册商标属于其各自的组织。 © 版权所有 2020 云安全联盟大中华区 7 NIST SP 800-207 (第二版草稿) 零信任架构要求专利权利声明此次公开审查包括要求提供有关基本专利权利要求的信息（要求使用这些权利要求以符合本信息技术实验室（ITL）出版物草案中的指南或要求的信息）。此类指导和/或要求可以在本信息技术实验室出版物中直接声明，也可以参考其他出版物。该要求还包括在已知的情况下公开与该信息技术实验室草案出版物有关的待决美国或外国专利申请以及任何相关的未到期美国或外国专利。信息技术实验室可能要求专利持有人或授权代表其以书面或电子形式作出 m o c . 5 保证： a) 以一般免责声明的形式作出保证，该当事方不持有或目前不打算持有任何必要专利权利要求；或 b) b u 确保将此类基本专利权利要求的许可提供给希望使用许可以符合本信息 h t i g 技术实验室出版物草案中的指南或要求的申请人：  处于合理的条款和条件之下，没有受到任何不公平的歧视；  没有补偿，并在合理的条款和条件下证明没有受到任何不公平的歧视。此种保证应表明专利权人（或受权代表其作出保证的第三方）在任何受担保专利的所有权转让文件中，将包括足以确保担保中的承诺对受让人具有约束力的规定，以及受让人在今后转让时同样将包括适当规定，目的是对每一利益继承人具有约束力。保证书还应表明其意图对利益继承人具有约束力，无论相关转让文件中是否包含此类规定。此类声明应发送至： zerotrust-arch@nist.gov 8 © 版权所有 2020 云安全联盟大中华区 NIST SP 800-207 (第二版草稿) 零信任架构序言零信任代表着业界正在演进的网络安全最佳实践，它的思路是把防御从依靠网络边界的马其顿防线向个体保护目标收缩。把防护重心从网段转移到资源本身后，当今企业面临的安全挑战得以缓解，比如远程访问与云资源使用这些离开了企业网络边界的应用场景。美国国家标准与技术研究院 NIST 认识到向零信任架构的转型是漫长的旅程 m o c . 5 而不是简单的置换企业现有基础设施，预计大部分企业将以混合模式（即零信任模式与传统模式）运作很长时间。零信任模式并不是一个单一的网络架构或技术产品，它是一套理念、战略、架构，NIST 在本书提出的零信任架构属于参考架 b u 构，对零信任的解决方案如 ZT-IAM，SDP，MSG 的部署与整合起到指导作用。 h t i g 很高兴 CSA 大中华区的专家们参与了 NIST 这项标准工作的起草、评审、翻译，大中华区研究院贾良玉等参与了英文原著的设计与评审，大中华区 SDP 工作组陈本峰等对本文做了深入解读并翻译成为中文，这是 CSA 与 NIST 长期合作的又一项重要成果，感谢 NIST 本工作组进行原创的专家们和 CSA 大中华区进行翻译的专家们。李雨航 Yale Li CSA 大中华区主席兼研究院院长 9 © 版权所有 2020 云安全联盟大中华区 NIST SP