多位置环境中云原生应用访问控制的零信任体系架构模型

1NIST特别出版物 2NISTSP800-207Aipd 3零信任体系结构模型 4用于Cloud-Native中的访问控制 5 多位置应用 6 Environments 7 初步公开草案 89 RamaswamyChandramouli 10 扎克屠夫 11 12本出版物可从以下网址免费获得： 13https://doi.org/10.6028/NIST.800-207A.ipd 14NIST特别出版物 15NISTSP800-207Aipd 16零信任体系结构模型 17用于Cloud-Native中的访问控制 18多位置应用 19Environments 20 21初步公开草案 22RamaswamyChandramouli 23计算机安全司 24信息技术实验室 25 26扎克屠夫 27Tetrate,Inc. 28本出版物可从以下网址免费获得： 29https://doi.org/10.6028/NIST.800-207A.ipd2023年4月30日 31 32美国商务部 33GinaM.Raimondo,秘书 34国家标准与技术研究所 35LaurieE.Locascio，NIST主管兼商务部标准和技术事务副部长 36 37某些商业设备、仪器、软件或材料，商业或非商业，在 38本文是为了充分指定实验程序。这种识别并不意味着 39NIST对任何产品或服务的推荐或认可，也不意味着材料或 40确定的设备必然是最适合该目的的设备。 41本出版物中可能会引用NIST目前正在开发的其他出版物 42根据其指定的法定职责。本出版物中的信息，包括概念和 43即使在完成此类伴侣出版物之前，联邦机构也可以使用方法。因此， 44在每个出版物完成之前，现有的要求、准则和程序仍然存在 45Operative.Forplanningandtransitionpurposes,federalagenciesmaywishtoclosefollowthedevelopmentof 46NIST的这些新出版物。 47鼓励各组织在公众意见征询期内审查所有出版物草案并提供反馈意见 48到NIST。除上述内容外，许多NIST网络安全出版物均可在 49https://csrc.nist.gov/publications. 50Authority 51本出版物由NIST根据其在联邦下的法定责任制定 522014年信息安全现代化法案（FISMA），44U.S.C.§3551等，公法（P.L.）113-283。 53NIST负责制定信息安全标准和指南，包括最低要求 54适用于联邦信息系统，但此类标准和准则不适用于国家安全系统 55没有对此类系统行使政策权限的适当联邦官员的明确批准。这 56准则与管理和预算办公室（OMB）通知A-130的要求一致。 57 58本出版物中的任何内容都不应与强制性和约束性的标准和准则相抵触 59在法定授权下由商务部长负责联邦机构。这些准则也不应 60解释为改变或取代商务部长、办公室主任的现有权力，或 61任何其他联邦官员。本出版物可由非政府组织自愿使用 62在美国不受版权保护。但是，NIST将赞赏归因。 63NIST技术系列政策 64版权、使用和许可声明 65NIST技术系列发布标识符语法 66出版历史记录 67由NIST编辑审查委员会在YYYY-MM-DD上批准[将在最终出版物中更新] 68如何引用此NIST技术系列出版物： 69ChandramouliR，ButcherZ(2023)云原生访问控制的零信任架构模型 70在多位置环境中的应用。（美国国家标准与技术研究所，马里兰州盖瑟斯堡）， 71NIST特别出版物(SP)NISTSP800-207Aipd.https://doi.org/10.6028/NIST.800-207A.ipd 72作者ORCIDiDs 73RamaswamyChandramouli:0000-0002-7387-5858 74公众评论期 752023年4月18日-2023年6月7日 76提交评论 77 78 79国家标准与技术研究所 80Attn:信息技术实验室计算机安全处 81100BureauDrive(MailStop8930)Gaithersburg,MD20899-8930 82根据《信息自由法》（FOIA），所有评论均可发布。 83Abstract 84零信任的基本原则之一是消除用户，服务和设备中的隐式信任 85仅基于其网络位置，隶属关系和所有权。NIST特别出版物800- 86207制定了一套全面的零信任原则，并引用了零信任 87架构(ZTA)将这些概念变为现实。ZTA中的一个关键范式转变是 88使用网络从基于分段和隔离的安全控制的重点变化 89参数（例如，IP地址、子网、边界）到身份。从应用程序安全性 90从角度来看，这需要基于应用程序和 91服务标识以及底层网络参数和用户标识。这在 92转向需要一个由API网关、sidecar代理和应用程序标识组成的平台 93基础设施(例如，SPIFFE)，无论 94服务/应用程序，无论是在本地还是在多个云上。 95出版物是为实现可以强制细粒度的体系结构提供指导 96应用程序级策略，同时满足ZTA对多云和 97混合环境。 98关键词 99出口网关;身份层策略;入口网关;微服务;多云;网络层 100策略；服务网格；sidecar代理；SPIFFE；中转网关；零信任；零信任架构。 101计算机系统技术报告 102信息技术实验室（ITL）在国家标准和技术研究所 103技术（NIST）通过提供技术促进美国经济和公共福利 104领导国家的测量和标准基础设施。ITL开发测试，测试 105方法、参考数据、概念实现证明和技术分析，以推进 106信息技术的开发和有效使用。ITL的职责包括 107制定管理、行政、技术和物理标准和指导方针 108除国家安全相关信息外的成本效益高的安全性和隐私性 109联邦信息系统。特别出版物800系列报告了ITL的研究， 110信息系统安全方面的指导方针和外联工作及其合作活动 111与行业，政府和学术组织合作。112 113专利索赔要求 114此公开审查包括要求提供有关基本专利权利要求（其使用的权利要求 115将需要遵守本信息中的指导或要求 116技术实验室（ITL）出版物草案）。此类指导和/或要求可能是 117在本国际交易日志出版物中直接陈述或引用另一份出版物。这也呼吁 118包括在已知的情况下公开未决的美国或外国专利申请的存在 119与本ITL草案出版物以及任何相关未到期的美国或外国专利有关。 120ITL可以要求专利持有人或被授权代表其作出保证的一方， 121以书面或电子形式， 122a)以一般免责声明的形式保证该方不持有 123并且目前不打算持有任何必要的专利权利要求；或 124b)保证此类基本专利权利要求的许可将提供给 125申请人希望利用许可证来遵守指南 126或本国际交易日志草案出版物中的要求： 127I.在合理的条款和条件下，明显没有任何不公平的 128歧视；或 129ii.在没有补偿的情况下，在合理的条款和条件下 130显然没有任何不公平的歧视。 131此类保证应表明专利持有人(或授权第三方作出保证 132代表其)将在任何文件中包括转让受 133保证，足以确保保证中的承诺对 134受让人，并且受让人将在以下情况下类似地包括适当的规定 135未来的转移，目标是约束每个利益继承人。 136保证还应表明其旨在对利益继承人具有约束力 137无论相关转让文件中是否包含此类规定。 138此类声明应发送至：sp800-207A-comments@nist.gov139 140 目录 141 执行摘要1 142 Introduction2 143 背景-零信任原则和零信任架构2 144 与其他NIST指导文件的关系3 145 范围3 146 目标受众4 147 本文件的组织4 148 企业云原生平台及其组件5 149 企业基础设施第6层 150 为ZTA设计适用于云原生应用环境的策略框架。7 151 ZTA8基于身份的分割策略的功能组件 152 企业ZTA9基于身份的分割策略的缺点 153 企业ZTA9的多层策略 154 针对云原生应用环境实施ZTA的多层策略 155 11 156 参考应用程序基础架构方案11 157 服务网格在策略部署、实施和更新中的作用12 158 参考应用程序基础架构的策略部署13 159 另一个应用程序基础设施方案14 160 应用程序基础结构元素在实施策略中的功能作用15 161 身份层和网络层策略的比较16 162 4.6.1部署方法和网络层策略的限制16 163 4.6.2.部署身份层策略的先决条件17 164 4.6.3身份层策略的优势18 165 总结和结论19 166 参考文献20 167 数字列表 168 图1.用于统一策略部署的企业基础架构层7 169 图2.多层政策提供的灵活性10 170 图3.混合应用环境的多层策略12 171 图4.一个Istio授权策略，允许在端口443上的服务1到服务2，但仅 172 允许它在“/public”路径14上执行GETHTTP动词 173 Fig.5.三层应用程序的策略部署15 174174 175Acknowledgments 176作者要感谢NIST的IsabelVanWyk的详细社论 177审查公众意见版本以及最终出版物。 178执行摘要 179NIST特别出版物(SP)800-207中描述的零信任原则 180成为开发安全零信任架构的指导标志。一个完善的 181类的应用程序是云原生应用程序。普遍接受的表征 182云原生应用包括: 183该应用程序由一组称为微服务的松散耦合组件组成。 184每个微服务都可以托管在不同的物理或虚拟机(VM)上 185甚至是地理分布的(例如，在属于 186企业，如总部、分支机构和各种云服务提供商 187environments). 188涉及应用程序的任何事务也可能涉及一个或多个服务间 189（微服务）跨网络的调用。 190广泛的功能（尽管不一定是云原生应用程序的要求） 191是一个称为服务网格的软件平台的存在，它提供了一个集成的 192所有应用程序服务的集合(例如，服务发现、网络连接、 193通信弹性，以及身份验证和授权等安全服务)。 194实现上述一类云原生应用的零信任架构 195需要一个稳健的政策框架。为了遵循零信任原则，组成 196框架中的政策应考虑以下情况： 197用户、服务或设备中不应该存在完全基于其 198网络位置、从属关系或所有权。因此，策略定义和关联 199基于使用网络的网络分段或隔离的安全控制 200参数（例如，IP地址、子网、边界）不足。这些策略属于 201在网络层策略的分类下。 202为了确保在整个应用程序中存在零信任原则，网络- 203必须使用能够建立对 204各种参与实体(例如，用户和服务)，无论 205服务或应用程序，无论是本地还是多个云上。 206本文档为实现零信任架构提供了指导，该架构可以强制细化 207云原生应用程序的应用程序级策略。该指南位于 208follows: 209网络层和身份层策略的组合 210支持定义和部署的云原生应用程序的组件 211这些策略，如边缘、入口、侧车和出口网关；创建， 212服务身份的发布和维护；认证和 213在企业应用程序基础结构中携带用户身份的授权令牌 214包括多云和混合环境215 216Introduction 217零信任（ZT）原则或原则已被接受为架构所有 218applications.Thereareseveralreasonswhyadherencetothesetenetsiscriticalforobtaining 219必要的安全保证，尤其是对于云原生应用程序。企业 220此类应用程序的应用程序环境在地理上高度分散