零信任参考架构（英文版）

清除 为了公开发布 2022年9月12日 国防部 正式出版前的办公室和安全审查 国防部（DoD）零信任参考体系结构 版本2.02022年7月 由国防信息系统局（DISA）和国家安全局（NSA）零信任工程团队编写 分发声明A.已批准公开发布。分发是无限的。 文档准备的日期 名称:罗伯特担心2022年6月 DISA零信任程序铅(ID2) 表的内容 1目的和战略目标9 1.1介绍9 1.2目的9 1.3范围10 1.3.1利益相关者10 1.3.2参考体系结构组织10 1.3.3时间12 1.4愿景和目标(会阴)13 1.4.1愿景和高级目标(会阴)14 1.4.2零信任策略15 1.5网络安全（过渡）问题陈述（OV-1）16 1.6总体目标环境(OV-1)18 1.7假设19 1.8约束20 2柱子和原则20 2.1概述20 2.220零信任的概念和原则 2.3柱子21 2.4参考体系结构原则(OV-6a)23 3能力25 3.1功能分类(曲骨)25 3.231日FFP:柱、资源和能力映射 4用例35 4.1数据中心安全保护(OV-1)35 4.2以数据为中心的安全性保护(ov-2)37 4.3数据加密保护(ov-2)39 4.4以数据为中心的安全保护协调策略（OV-2）41 4.5数据分析和人工智能(OV-1)42 4.6数据分析和人工智能(SV-1)44 4.7集中式编排和策略管理（OV-1）45 4.8集中式编排和策略管理（OV-2）46 4.9动态的、自适应的政策反馈回路(OV-1)47岁 4.10VPN-Less实现(OV-1)48 4.11东西方分割(OV-1)49 4.12全球统一的设备卫生(OV-1)50 4.13全球统一的设备卫生(ov-2)52 4.14动态的、连续的身份验证(OV-1)54 4.15动态的、连续的身份验证(ov-2)56 4.16有条件的授权(OV-1)60 4.17有条件的授权(ov-2)62 5技术职位63 5.1新兴技术63 5.2标准,架构和导游64有关 5.3联系到其他架构65 5.3.1国防部网络安全参考架构（CSRA）集成65 5.3.2国防部ICAM参考设计(RD)66 5.3.3NIST特别出版物800-207零信任架构67 6安全评估68 6.1治理68 6.2数据治理68(ov-2) 6.3确保供应链70(ov-2) 7体系结构模式71 7.1体系结构模式(关元)71 7.1.1资源访问的域策略实施（SV-1）72 7.1.2软件定义的周长73(ov-2) 7.1.3ZT型代理集成(SV-1)74 7.1.4微观细分74(SV-1) 7.1.5宏观细分78(SV-1) 7.2外部服务78 7.2.179SvcV-1:外部服务(SvcV-1) 7.2.2SvcV-2：企业联合身份服务（SvcV-2）80 8建筑规划(FFP)81过渡 8.1成熟度模型(FFP)81 8.2基线(OV-1)82 8.3(OV-1)83过渡 9附录(av-2)84 9.1系统85 9.2服务90 9.3一般条款929.4-93 9.5StdV-1-2引用96 9.6功能表9710引用104 名单表 表1参考体系结构原理（OV-6A）24 表2表(关元)71设计模式 数据列表 图1传奇演员12 图20信任愿景(会阴)13 图3网络安全问题说明（OV-1）16 图4目标环境(OV-1)18 图50信任支柱22 图6能力支柱映射(FFP)26 图7零信任身份验证和授权功能分类（CV-2）27 图8零信任基础结构、工作负载和数据功能分类（CV-2）28 图9零信任分析和编排功能分类（CV-2）29 图10零信任启用功能分类（CV-2）30 图11FFP：支柱、资源和能力映射（CV-7）31 图12以数据为中心的安全保护（OV-1）35 图13以数据为中心的安全保护（OV-2）37 图14(ov-2)39数据加密保护 图15以数据为中心的安全防护协调策略（OV-2）41 图16大数据分析和人工智能(OV-1)42 图17数据分析和人工智能(SV-1)44 图18集中式编排和策略管理（OV-1）45 图19集中式编排和策略管理（OV-2）46 图20动态自适应策略反馈循环（OV-1）47 图21VPN-Less实现(OV-1)48 图22东西方分割(OV-1)49 图23全球统一的设备卫生(OV-1)50 图24全球统一的设备卫生(ov-2)52 图25动态、连续身份验证（OV-1）54 图26动态、连续身份验证（OV-2）56 图27表演者需要身份验证58图28条件授权(OV-1)60 图29(ov-2)62条件授权 图31DoD零信任体系结构的标准配置文件64 图32确保供应链70(ov-2) 图33资源访问的域策略实施（SV-1）72 图34设计模式：软件定义的边界（OV-2）73 图35SoS设计模式：零信任代理集成（SV-1）74 图36SoS微观细分75(SV-1)图37SoS微观细分76(SV-1)图38SoS微观细分77(SV-1) 图39设计模式：SoS宏分割（SV-1）78 图40外部服务(SvcV-1)79 图41企业联合身份服务（SvcV-2）80 图42(SvcV-2)80ICAM服务 图43成熟度模型(FFP)81 图44过渡体系结构基线（OV-1）82 图45转换体系结构转换（OV-1）83 1目的和战略目标 1.1介绍 “零信任是一组不断发展的网络安全范式的术语，这些范式将防御从静态的、基于网络的边界转移到专注于用户 、资产和资源上。零信任假设没有仅基于资产或用户帐户的物理或网络位置（即局域网与Internet）或基于资产所有权（企业或个人拥有）授予资产或用户帐户的隐式信任。1零信任（ZT）要求在不妨碍操作或损害安全性的情况下设计一个整合且更安全的体系结构。经典的边界/纵深防御网络安全策略一再表明，对资源充足的对手的价值有限，并且是解决内部威胁的无效方法。 国防部网络安全参考架构（CSRA）记录了该部门的网络安全方法，并正在更新以成为以数据为中心并注入ZT 原则。 ZT支持2018年国防部网络战略、2019年国防部数字现代化战略、2021年关于改善国家网络安全的行政命令 ，以及国防部首席信息官（CIO）的愿景，即创建“更安全、协调、无缝、透明且具有成本效益的架构，将数据转换为可操作的信息，并确保在面对持续网络威胁时可靠地执行任务。2应使用ZT重新确定优先级并整合现有的DoD功能和资源，同时保持可用性并最大限度地减少身份验证机制中的时间延迟，以实现DoDCIO的愿景。 1.2目的 架构是为定义的目的而构建的，应回答一组特定的问题，以实现数据驱动的明智决策。参考架构（RA）建立了一个框架，通过架构支柱和原则提供指导。它确定了哪些总体战略需求（目标和目的）是RA的重点。RA是对体系结构的概念性、以能力为中心的描述，主要支持能力规划、项目组合管理和信息技术（IT）投资决策。它建立了高级服务和运营概念、重要的架构问题以及塑造方法领域的技术机会和约束。RA还包括当前行业和国防部方法的概要，并确定了共同描述限制和机遇的关键确定标准。 1NISTSP800-207零信任架构，2020年8月2国防部数字现代化战略，2019年6月。 1.3范围 DoD零信任工程团队开发了此零信任参考体系结构（ZTRA），以符合DoD定义：“参考体系结构是有关特定主题领域的权威信息源，可指导和约束多个体系结构和解决方案的实例化。3 此参考体系结构介绍了企业标准和功能。可以采用单个产品/套件来解决多种功能。集成的供应商产品套件而不是单个组件将有助于降低成本和政府风险。本文档将随着需求、技术和最佳做法的变化和成熟而发展。ZT促进个人旅程，以实现持续增强的协作目标，同时还结合了行业的最佳实践，工具和方法。 1.3.1利益相关者 国防部任务所有者（MO）将使用DoDZTRA来指导和限制现有国防部IT和企业环境的演变。MO是负责整体任务环境的个人/组织，确保满足系统的功能和网络安全要求。 ZTRA为国防部的MO提供了一个最终状态愿景、战略和框架，以加强网络安全并指导现有能力的发展，以专注于以数据为中心的战略。 ZT在整个架构中嵌入安全原则，旨在保护数据和服务操作，防止、检测、响应恶意网络活动并从中恢复。ZTRA的观点是指导ZT的开发人员、运营商、管理者和用户开发解决方案，以在现有环境中实施ZT框架。 ZT型RA的目的是: 为利益相关者提供在应用ZTA时更好地理解原则和规则所需的操作上下文。 定义一个ZTA功能需要支持。 提供ZT的基线描述，用于管理与不断变化的运营需求相关的变更和风险。 通过展示模型如何在需要时不断限制访问、持续监控和识别异常或恶意行为来定义ZT的重要性。 1.3.2参考体系结构的组织 3DoD参考体系结构说明–2010年6月 这个RA包含以下部分: 战略和愿景（具有广泛的运营观点） 柱子和原则 概念能力架构（组织成功能分类法的能力，此处与支柱相关） 用例和相关要求 描述新兴技术、常见行业方法和关键标准的技术环境 安全评估 架构模式（实现一致性设计和将执行者提炼为系统和服务的其他方法的范围） 例如，满足上述约束并在RA时追求的过渡架构方向（成熟度模型、基线、过渡、目标、阶段） 按照DoD标准，此RA中的工件来自国防部架构框架（DoDAF）。由于广大观众需要理解和适应ZT，因此对工件使用了非正式的风格。非正式图纸更容易被广大受众理解，但并非所有人都熟悉DoDAF/MODAF（UPDM ）模型表示的统一配置文件。这些图纸应允许目标利益相关者的共同代表掌握工件的含义。对于RA，重要的是内容。但是，这仍然是一个数字架构模型，包括带有描述、定义列表和交互表的工件。实体（DoDAF的名词）在讲述功能和实体关系故事的工件图纸中定义和使用。全视图集成词典（AV-2）按实体类型进行组织，其中大多数表都在附录中。通过此RA，可以创建参考设计（RD），以捕获满足特定环境和功能需求的ZT逻辑架构。 概念能力架构主要在多个操作视图[OV-1：高级操作概念图、OV-2：操作资源流描述]和能力视图[CV-1：愿景 ，CV-2：能力分类法]中捕获。策略在CV-1中捕获。在这里，OV-1描述了特定功能环境的问题和机会。然后解释与OV-1机会相关的功能。（实体类型）功能以细线显示在图形中。它们在按其与支柱和资源的关联组织的能力分类（CV-2）中捕获。另一种主要视图类型是OV-2：操作资源流描述。这捕获了特定的资源以及它们如何在特定的用例或架构模式中进行交互（具有一些概念性的SV-1：系统接口描述和SvcV-1：服务上下文描述） 。 1.3.3时间表 图1传奇演员 这些是与ZTRA开发相关的一般时间表。 2020年9月30日：初始ZTRAv0.9提交迪砂、国家安全局、国防部首席信息官和美国网络司令部审查 2020年11月4日：ZTRAv0.9提交给企业架构工程小组（EAEP）征求反馈 2020年12月4日：零信任联合工程团队收到反馈并开始裁决 2020年12月24日：向EAEP提交ZTRAv0.95 2021年1月4日：EAEP成员对ZTRA发布进行了投票 2021年2月11日：数字现代化基础设施基础设施执行委员会批准ZTRAv1.0 2021年5月13日：ZTRAv1.0发布在国防部首席信息官库上 2021年9月30日：ZTRAv2.0草案开发完成 2021年11月21日：DCIOCS首席架构师指示ZTRA2.0通过CSRA指导小组前往EAEP和/或 DMIEXCOM 2022年2月7日：CSRA指导小组-完成对ZTRAv2.0草案的O-6/GS-15CATMS联合审查 2022年5月24日:EAEP完成评估 2022年6月1日：在小组成员完全同意的情况下简要介绍了EAEP评估结果 2.4愿景和目