NIST零信任架构

NISTSP800-207(第二版草稿)零信任架构 1 ©版权所有2020云安全联盟大中华区 NISTSP800-207(第二版草稿)零信任架构 中文翻译版说明 本文当由云安全联盟大中华区（CSAGCR）SDP工作组专家对NIST（美国国家标准与技术研究院）的《零信任架构》以及《零信任架构实施》两篇白皮书进行翻译审校。 翻译审校工作专家： 组长：陈本峰（云深互联） 组员：陈智雨（国网信通公司）、邓辉（吉大正元）、靳明星（易安联）、王永霞（腾讯云）、魏小强（360）、闫龙川（国网信通公司）、于继万（华为）、余晓光（华为）、余强（中宇万通）、袁初成（缔安科技）、郑大义（万物安全）、崔泷跃、高巍、何国锋、刘洪森、王贵宗、姚凯、于乐、周杰 CSA大中华区研究助理：高健凯 贡献单位：缔安科技、国网信通公司、华为、吉大正元、360、腾讯云、万物安全、易安联、云深互联、中宇万通 特别感谢 奇安信、云深互联、字节云智为本次翻译提供草稿版翻译文档。 在此感谢以上参与翻译审校工作的专家们以及工作人员。如译文有不妥当之处，敬请联系CSAGCR秘书处给予雅正！联系邮箱：info@c-csa.cn。 2 ©版权所有2020云安全联盟大中华区 授权 本出版物由NIST根据美国2014年《联邦信息安全现代化法案》（FISMA）的法定职责开发。《公法》(P.L.)第3551条44款及以后各条（第113-283条）。NIST负责制定信息安全标准和指南，包括联邦信息系统的最低要求，但未经对此类系统行使政策权力的相关联邦官员的明确批准，此类标准和指南不应适用于国家安全系统。该准则符合管理和预算办公室第A-130号通知的要求。 本出版物中的任何内容都不应被视为与商业部长根据法定授权而对联邦机构强制和具有约束力的标准和准则相抵触。也不应将这些准则解释为改变或取代商务部长、监事会主任或任何其他联邦官员的现有权力。本出版物可由非政府组织自愿使用，在美国不受版权限制。使用请注明出处，NIST将对此表示赞赏。 国家标准与技术研究所特别出版物800-207 国家标准与技术研究所特别出版物800-207，总58页(2020年2月)分类编号:NSPUE2 本出版物可从以下地址免费获取：https://doi.org/10.6028/NIST.SP.800-207-draft2 本文件中可能会提到某些商业实体、设备或材料，以便更加充分地描述实验过程或概念。提到他们并不意味着NIST推荐或认可，也不意味着实体、材料或设备必然是用于该目的的最佳备选。 本出版物中内容可能参考到NIST的其它出版物，这些出版物可能正在NIST根据其法定职责开发中。本出版物中的信息，包括概念和方法，联邦机构可以马上使用，甚至在完成此类配套出版物之前。因此，在每份出版物完成之前，现有 3 ©版权所有2020云安全联盟大中华区 的要求、准则和程序仍然有效。为了规划和过渡的目的，联邦机构可以密切关注NIST这些新出版物的进展。 鼓励各种组织在征求意见期间审阅所有出版物草稿，并向NIST提供反馈。除上述出版物外，NIST的其他网络安全出版物可在https://csrc.nist.gov/publications上获取查阅 公开征求意见时间段:2020年2月13到2020年3月13 国家标准与技术研究院 地址:先进网络技术处信息技术实验室 盖瑟斯堡市100局道（邮递站8920）,MD20899-8920电子邮件:zerotrust-arch@nist.gov 所有反馈意见均根据《信息自由法》（FOIA）予以发布 计算机系统技术报告 美国国家标准与技术研究院（NIST）的信息技术实验室（ITL）通过引领国家测量和标准基础，促进美国经济和公共福利。信息技术实验室通过开发测试、测试方法、参考数据、概念证明实施和技术分析，以推进信息技术的发展和生产使用。信息技术实验室的责任包括制定管理、行政、技术和物理标准和指南，以在联邦信息系统中为与国家安全相关的信息以外的其他信息提供具有成本效益的安全和隐私。特别出版物800号系列报告，介绍了信息技术实验室在信息系统安全方面的研究、指南和外联工作，以及与工业界、政府和学术组织的合作活动。 摘要 零信任（ZeroTrust，缩写ZT）是一组不断演进的网络安全范式，它将网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任架构（ZTA）使用零信任原则来规划企业基础架构和工作流。零信任取消了传统基于用户的物理或网络位置（即，相对公网的局域网）而授予用户帐户或者设备权限的隐式信任。认证和授权（用户和设备）是与企业资源建立会话之前执行的独立步骤。零信任顺应了企业网络发展的趋势：位于远程的用户和基于云的资产，这些资产都不位于企业拥有的网络边界内。零信任的重心在于保护资源，而不是网段，因为网络位置不再被视为资源安全与否的主要依据。本文档包含零信任架构（ZTA）的抽象定义，并给出了零信任可以改进企业总体信息技术安全状况的通用部署模型和使用案例。 关键词：架构；网络空间安全；企业；网络安全；零信任 致谢 本出版物是多个联邦机构合作的成果，由联邦首席信息官委员会监督。架构组负责本文的开发，但是有一些特定的个人值得表彰。其中包括联邦首席信息官委员会ZTA项目的项目经理GregHolden、NIST/国家网络安全卓越中心ZTA项目的项目经理AlperKerman,以及DouglasMontgomery。 读者 本出版物旨在为企业安全架构师介绍零信任理念。它旨在帮助理解用于民用非保密系统的零信任，并为将零信任安全概念移植和部署到企业环境提供路线图。网络安全经理、网络管理员和管理者也可以从本文档中了解零信任和ZTA。它不是针对ZTA的单一部署计划，因为企业将拥有需要保护的独特业务用例和数据资产。从对组织业务和数据的扎实了解开始，将形成一种强有力的零信任方法。 评审人须知 本特别出版物的目的是开发一组与技术无关的术语、定义和逻辑架构组件，以开发和支持ZTA。本文没有就如何在企业中部署零信任组件给出具体的指导或建议。评审人根据文档的明确目的，对评审意见进行裁剪。 商标信息 所有商标或注册商标属于其各自的组织。 要求专利权利声明 此次公开审查包括要求提供有关基本专利权利要求的信息（要求使用这些权利要求以符合本信息技术实验室（ITL）出版物草案中的指南或要求的信息）。此类指导和/或要求可以在本信息技术实验室出版物中直接声明，也可以参考其他出版物。该要求还包括在已知的情况下公开与该信息技术实验室草案出版物有关的待决美国或外国专利申请以及任何相关的未到期美国或外国专利。 信息技术实验室可能要求专利持有人或授权代表其以书面或电子形式作出保证： a)以一般免责声明的形式作出保证，该当事方不持有或目前不打算持有任何必要专利权利要求； 或b)确保将此类基本专利权利要求的许可提供给希望使用许可以符合本信息技术实验室出版物草案中的指南或要求的申请人： 处于合理的条款和条件之下，没有受到任何不公平的歧视； 没有补偿，并在合理的条款和条件下证明没有受到任何不公平的歧视。 此种保证应表明专利权人（或受权代表其作出保证的第三方）在任何受担保专利的所有权转让文件中，将包括足以确保担保中的承诺对受让人具有约束力的规定，以及受让人在今后转让时同样将包括适当规定，目的是对每一利益继承人具有约束力。 保证书还应表明其意图对利益继承人具有约束力，无论相关转让文件中是否包含此类规定。 此类声明应发送至：zerotrust-arch@nist.gov 序言 零信任代表着业界正在演进的网络安全最佳实践，它的思路是把防御从依靠网络边界的马其顿防线向个体保护目标收缩。把防护重心从网段转移到资源本身后，当今企业面临的安全挑战得以缓解，比如远程访问与云资源使用这些离开了企业网络边界的应用场景。 美国国家标准与技术研究院NIST认识到向零信任架构的转型是漫长的旅程而不是简单的置换企业现有基础设施，预计大部分企业将以混合模式（即零信任模式与传统模式）运作很长时间。零信任模式并不是一个单一的网络架构或技术产品，它是一套理念、战略、架构，NIST在本书提出的零信任架构属于参考架构，对零信任的解决方案如ZT-IAM，SDP，MSG的部署与整合起到指导作用。 很高兴CSA大中华区的专家们参与了NIST这项标准工作的起草、评审、翻译，大中华区研究院贾良玉等参与了英文原著的设计与评审，大中华区SDP工作组陈本峰等对本文做了深入解读并翻译成为中文，这是CSA与NIST长期合作的又一项重要成果，感谢NIST本工作组进行原创的专家们和CSA大中华区进行翻译的专家们。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 中文翻译版说明2 摘要6 序言9 1介绍15 1.1与联邦机构有关的零信任历史16 1.2本文结构17 2零信任基本概念19 2.1零信任原则21 2.2零信任视角的网络24 2.2.1针对企业拥有的网络基础设施的假设24 2.2.2针对非企业所有的网络基础设施的假设25 3零信任体系架构的逻辑组件26 3.1零信任架构的常见方案29 3.1.1基于增强身份治理的ZTA29 3.1.2基于微隔离的ZTA30 3.1.3基于网络基础设施和软件定义边界SDP的ZTA31 3.2抽象架构的常见部署方案31 3.2.1基于设备代理/网关的部署31 3.2.2基于安全区的部署33 3.2.3基于资源门户的部署34 3.2.4设备应用沙箱36 3.3信任算法37 3.3.1信任算法的常见实现方法39 3.4网络/环境组件41 3.4.1支持ZTA的网络需求41 4部署场景/用例44 4.1具有分支机构的企业44 4.2多云企业45 4.3具有外包服务和/或访客的企业46 4.4跨企业边界协作47 4.5具有面向公共或面向用户服务的企业48 5与零信任架构相关的威胁50 5.1ZTA决策过程的颠覆50 5.2拒绝服务或网络中断50 5.3凭据被盗/内部威胁51 5.4网络可见性52 5.5网络信息存储53 5.6依赖专有数据格式53 5.7在ZTA管理中使用非人类实体（NPE）54 6零信任架构及与现有联邦政府引导的相互作用55 6.1ZTA和NIST风险管理框架（RMF）55 6.2ZT和NIST隐私框架55 6.3ZTA和联邦身份、凭证和访问管理体系结构56 6.4ZTA和可信Internet连接3.057 6.5ZTA和EINSTEIN（NCPS-国家网络安全保护系统）57 6.6ZTA和DHS连续诊断和缓解（CDM）计划58 6.7ZTA，智能云和联邦数据策略59 7迁移到零信任架构60 7.1纯零信任架构60 7.2混合型零信任架构和基于边界防御的架构61 7.3将零信任架构引入基于边界防御架构网络的步骤61 7.3.1确定企业中的参与方62 7.3.2识别企业自有资产63 7.3.3确定关键流程并评估其运行风险64 7.3.4如何选择零信任架构实施对象65 7.3.5确定候选解决方案65 7.3.6初期部署和监控66 7.3.7扩大零信任架构的范围67 8参考资料68 9附录A缩略语73 10附录B：识别ZTA当前技术水平的差距74 B.1技术调查74 B.2阻碍立即转移至ZTA的鸿沟75 B.2.1）缺乏ZTA设计、规划和采购的通用术语75 B.2.2）关于ZTA与现有联邦网络安全政策冲突的认知76 B.3影响ZTA的系统性差距76 B.3.3）组件间接口的标准化76 B.3.4）解决过度依赖专有API的新兴标准77 B.4ZTA的认知差距与未来研究方向78 B.4.5）攻击者对ZTA的反击78 B.4.6）ZTA环境中的用户体验79 B.4.7）ZTA对企业和网络中断的适应能力79 B.5ZTA测试环境80 B.6ZTA参考资料80 项目说明：零信任架构实施83 1执行摘要85 1.1目的85 1.2范围87 1.3假设/挑战88