美国国家安全局新的零信任指南

2023 年，勒索软件支付额达11 亿美元，网络犯罪分子从组织安全结构的漏洞中获取了大量利益。勒索软件攻击的不断增加揭示了对全面安全性的迫切需求，以及组织构建以零信任分段 (ZTS) 为核心的零信任架构的重要性。美国国家安全局 (NSA) 发布的新零信任信息表是网络安全行业集体的关键一步，因为该指南为公共和私营部门的组织提供了实现零信任的必要框架。

勒索软件攻击需要扁平网络，将设备连接到单个网段，没有层次结构或中央控制。这为不良行为者留下了一个利用并访问系统中所有数据的入口点。细分消除了这种风险。美国国家安全局的信息表认识到分段是零信任的重要组成部分，从而重申了构建零信任以强化网络安全的价值。

人们对身份支柱（识别请求系统访问的每个用户和实体）如此关注，以至于很少有组织认识到网络安全控制在构建零信任环境（无论是在本地还是在各种云中）的重要性。安全专家应重点关注在其网络环境中实施策略控制，确保只有需要数据访问的人才可以访问。

为什么分段数据对于遏制违规行为至关重要

2013 年Target 数据泄露事件说明了ZTS的重要性。美国国家安全局将其作为因缺乏网络分段而发生的数据泄露的一个例子；更准确地说，零售商没有正确地将持卡人数据环境与网络的其他部分分开。因此，当攻击者破坏 HVAC 控制系统时，无法阻止他们在网络内横向移动并获取信用卡信息。

批评者通常会指责暖通空调公司；然而，现实情况是，该漏洞是一个架构问题。这违反了PCI 数据安全标准，该标准要求有效且可操作的网络分段，以将信用卡数据与其他数据分开。

可见性、遏制性和操作一致性是我长期以来认为实现稳健且持久的零信任架构所必需的一些核心原则。作为分段的补充，可视性工具允许团队监控网络内的移动和操作，并随后在任何异常活动扩展到组织的其他部分之前支持遏制任何异常活动。采取这些主动措施可确保组织能够高效运营，而不会因违规而遭受中断。

现在的问题是：这些国家安全局指南对当今的零信任国家意味着什么？我们如何确保采取有效的方法实现零信任？

跟踪数据流并实现设置控制的可见性

在我的零信任职业生涯的早期，我了解到，为了构建成功的零信任环境，您需要首先了解系统如何协同工作。这涉及决定谁应该在何时何地访问什么应用程序，并根据需要知道的基础上授予访问权限。

谁、什么、在哪里、为什么以及如何是我们都理解的范式。这种基本理解帮助创建了一个零信任五步模型，其中包括数据流映射。安全团队必须花时间通过映射进出受保护表面的交易流来了解网络如何工作，包括各种 DAAS 组件如何与网络上的其他资源交互。这是通过使用可视性工具来实现的，这些工具可以深入了解移动和数字活动，使安全团队能够检测系统中发生的任何异常情况，并提供有关实施控制策略的指导。

正如我们锁上房屋或工作场所的门以确保只有拥有钥匙的授权人员才能进入一样，分段和控制对于防止未经授权的用户访问信息至关重要。

NSA 的零信任指南让世界各地的组织了解网络安全控制的价值以及如何采用 ZTS 模型来保护其环境并最大程度地减少网络攻击的损害。