美国国防部实施零信任模型的方法指南-前言

本文针对gartner 2024年发布的报告原文进行了汉化，不是简单单的翻译，还针对原文中的绝大部分概念添加了注释，希望做到通俗易懂，所见即所得！

前言

零信任是网络安全计划的关键要素，但制定战略规划可能会很困难。安全和风险管理领导者可结合美国国防部零信任模型的七大支柱和Gartner的研究成果来设计零信任战略。
 

战略规划设想

到 2026 年，10% 的大型企业将拥有全面、成熟且可衡量的零信任计划，而 2023 年这一比例还不到 1%。

分析

人们对零信任的兴趣主要来自政府授权、混合工作场景的需求、公开的违规行为和供应商炒作驱动。不同的政府（以及部分政府）正在为某种版本的零信任制定指令。（参考注释）。

注释 ：

政府指令：不同的政府机构和部门正在推动零信任原则的采用，一般包括颁布法规、发布指导意见或鼓励采用特定技术。

   混合工作力的需求: 随着远程办公和混合办公模式的普及，传统的网络安全边界变得模糊。零信任模型通过验证和授权访问，有助于保护分布式工作环境中的数据。

  公开的违规行为: 指安全事件，如网络安全事件和数据泄露事件，这是事件的发生，促使组织重新评估其安全策略，并寻求更强大的防御机制，如零信任架构。

  供应商炒作: 许多安全厂商都在积极宣传零信任的好处，这在一定程度上推动了市场对零信任的关注。

Gartner估计，大多数组织正处于零信任之旅的起步阶段。Gartner 客户对零信任表现出兴趣，但真正实施并有效利用零信任的组织仍然相对较少。许多组织可能缺乏必要的技术、人力和预算来全面实施零信任模型。此外，一些组织可能过于关注零信任的技术方面，而忽视了其对业务流程和组织文化的影响。。

Gartner 的2023 年零信任安全计划实施战略路线图指出，安全和风险管理 (SRM) 领导者（指CISO、安全管理者等角色）必须为零信任计划建立清晰的路线图，以优化其组织的风险态势。

启动或完善零信任计划的一种方法是评估领先组织已经取得的成就。美国国防部 (DoD)、网络安全和基础设施安全局 ( CISA)和 Google 等组织已将零信任概念应用于多个领域。在本研究中，我们重点关注国防部提出的建议。

 注释：

零信任计划: 指组织实施零信任安全原则的具体行动计划，包括目标、策略、技术、人员、流程等方面的规划。

风险态势: 指组织面临的各种安全威胁和风险的综合状况。

2022 年 1 月，美国国防部成立了国防部零信任投资组合管理办公室 (ZT PfMO)，以协调工作并从零信任角度加速网络安全建设。该计划的成果包括国防部零信任战略和国防部零信任能力执行路线图 。

这项研究包括了与美国国防部模型相一致的七份文件，该模型列出了七大支柱方面的能力（见下图）：

1.    用户

2.    设备

3.    应用程序和工作负载

4.    数据

5.    网络与环境

6.    自动化与编排

7.    可视性和分析

负责零信任战略的 SRM 领导者如何利用美国国防部的零信任模型来制定自己的网络安全策略？

SRM 领导者可以通过参考 Gartner 的研究，将研究成果与国防部模型中的支柱能力进行映射，从而确定适用于自身组织的技术、最佳实践和具体措施，最终完善和发展自己的零信任战略。

研究亮点

美国国防部零信任战略指出：

“这项零信任战略是国防部的首创，它为推进零信任概念发展、差距分析、需求开发、实施、执行决策，以及最终采购和部署所需的零信任能力和活动提供了必要的指导，这些将对对手产生有意义且可衡量的网络安全影响。”

该战略指出，零信任功能将在由七大支柱定义关键领域内进行开发、部署和运行（参考图 1），这些支柱为国防部零信任安全模型和国防部零信任参考架构提供了基础。

图 1. 用户支柱内的零信任功能