零信任产生的历史背景

零信任产生的背景

伴随着云计算、移动互联、物联网等新兴技术的发展、移动办公等需求的增加，互联网渗透到经济社会的方方面面，网络安全问题也愈演愈烈，网络安全事件带来的危害越来越大。传统的“纵深防御+边界防护”这类基于边界的安全防护体系因为边界的模糊而渐渐失效，难以适应企业的快速增长及业务的快速变化。聚焦资源保护，不允许隐式信任的零信任理念在过去几年里获得了众多政府及企业的认可。为了便于企业合理评估自身零信任安全建设实施进度并为企业后续相关安全能力建设发展提供指引及决策依据，本文引入了CISA发布的基于身份、设备、网络、应用程序工作负载和数据五大模块构建的零信任成熟度模型ZTCMM及零信任路线图，供组织机构评估自身建设情况并针对评估结果制定企业后续零信任安全能力建设发展规划。伴随着云原生、DevSecOps在企业内的成功落地，本文在SDP、IAM和微隔离（网络分段）的基础上额外讨论了和容器高度契合的服务网格、边缘计算和策略即代码技术与零信任架构融合的可行性。并从技术、文化、策略及监管措施多个领域分析解决方案影响，帮助行业利益相关方识别挑战和机遇。

企业利益相关者必须考虑与日俱增的实时系统复杂度所带来的挑战、新网络安全策略带来的需求，以及在复杂和混合世界中安全地运行系统所需的强大文化支持。零信任等新兴技术解决方案和方法对于满足美国总统拜登的第 14028 号行政令《改善国家网络安全》中的要求至关重要。本文探讨了新兴的、丰富的、多元化的解决方案格局的影响以及组织机构最终交付零信任架构(ZTA)的能力所面临的挑战。对行业如何改善关键利益相关者群体之间的协作以加速企业领导者和安全从业者在其环境中采用零信任提出了建议。

零信任背景

由于全球COVID疫情大流行，组织机构不得不迅速适应全球远程办公的方式。随着远程办公的不断扩张和云计算技术的采用，安全边界的定义也随之扩展，因此需要采用零信任 (ZT) 策略保护未来的工作。加上企业向更敏捷和更易规模化的多云、混合架构的不断转变，这些变化导致我们比以往任何时候都需要改善信息系统的安全性和风险管理。于是，IT组织现在有强大的驱动力将重点放在定义和采用适合其环境的独特的零信任架构（ZTA）上。最近颁布的（美国）总统行政命令要求改善国家网络安全 和实施联邦零信任战略 ，进一步促进了 ZTA零信任架构的采用。
随着基于边界和纵深防御方法让位于这种新的安全范式，企业正在寻求降低安全风险，尤其是当他们开始采用现代微服务、微隔离和软件定义架构提高远程生产力的时候更是如此。尽管得到IT供应商的广泛支持，ZTA的现实状态仍然是一个雄心勃勃的未来目标，因为组织机构才刚刚开始为其ZTA方案制定基线，而行业正在寻求洞察力，通过持续合作形成最佳实践或标准。
本文适合网络安全从业人员、工程师、架构师、商业领袖和IT业务相关者。虽然本文内容广泛且有价值，但主要代表美国政府的观点。因此，本文假定您已经熟悉NIST的SP 800 - 207 文档。

为什么选择零信任?

信息安全的零信任模型于 2003 年在Jericho项目上提出，当时人们已经认识到传统边界网络面临的安全挑战，随后在 2009 年（ 2014 年公开可用）的谷歌BeyondCorp项目中实施了零信任模型，然后由Forrester Research在 2010 年予以定义。零信任模型“消除了可信网络的概念”并教导“在零信任(ZT)中，因为所有网络流量都是不可信的，所以安全专业人员必须验证和保护所有资源、限制并严格执行访问控制、检查和记录所有网络流量。”2019 年，NIST撰写了零信任架构特别出版物 (SP 800 - 207 ) ，该文章将零信任理念融入零信任架构（ZTA）的抽象定义，并提出了ZTA开发和实施的指导原则。
行业的变化推动了ZT零信任安全的新格局，包括急速上涨的安全成本、以及5 G 、云计算、物联网 (IoT) 和面向微服务的架构的广泛使用。这些因素重新定义了所有权边界和应用模式，导致了固定物理边界或软件定义的网络边界的消失。

随着组织机构不断将其全部或部分网络迁移到云，政府机构和商业企业的业务负责人必须以新的方式保护其私有、公共或专有云实例。尽管需求迫在眉睫，但安全格局的这种变化的实施需要时间和决心。组织机构将需要通过新技术栈、技能集和流程提高他们在云中保护系统的能力。这对开发新的安全治理和策略提出了挑战，要求基于持续验证、微分段、软件定义网络以及持续监控和持续可见性。为了实施和执行这些现代化策略，行业从业者需要设计和运营传统和现代访问控制和网络技术的复杂组合，并随着时间的推移进行适合自己环境的定制。常见的部署方法（如始终在线的VPN连接和将所有流量路由到企业网关），从成本和用户体验的角度看，变得低效或不再可行。
此外，许多网络安全方法都采用基于特征的概念，即安全工具寻找已知的不良行为“特征”，但根据定义，零日威胁并没有已知特征。零信任解决了这个问题，因为零信任架构不依赖基于特征或异常的技术帮助降低风险。在零信任中，实际的数据和功能无论何时何实例化，安全控制都将无处不在，并且正朝着更接近实际数据和功能的方向发展。然而，鉴于各组织机构的现代化速度和水平存在差异，关于如何保护这些现代化架构的行业指南的进展和成熟度已经落后，充其量也太不协调，无法最好地保护系统及其数据。
鉴于架构和市场的复杂性，零信任解决方案和路线图的成熟度才刚刚开始。例如，安全从业人员面临着在实时、多云环境中识别用户和自动化检测新网络威胁的挑战。鉴于当今复杂混合的环境，本文提出了零信任体系架构能力成熟度模型（ZTA-CMM）的基本要素，并使之与零信任路线图关联。持续与政府和产业的交流合作将有助于制定ZTA-CMM最佳实践，并评估如何将零信任原则应用于当前架构以及相应的零信任路线图，以缩小差距、提高风险管理和网络弹性。

评估当前的零信任成熟度

组织机构必须了解其零信任架构的当前成熟度水平，调研整个组织机构范围，进行彻底和有效的分析。该分析应涉及到目前与零信任所有模块相关的人员、流程和技术。虽然CISA联邦零信任战略^5 文件主要服务于联邦机构，但也可作为一个指南文件帮助理解对成功实施零信任架构至关重要的流程和技术。美国国家标准与技术研究院（NIST）和行业领导者^6 （如ACT-IAC^7 和Forrester^8 ）正在定义概念模型和框架并不断改进；然而，应当指出，目前这些框架还没有结合在一起。CISA发布了零信任成熟度模型ZT CMM^9 ，由以下模块组成：身份、设备、网络、应用程序工作负载和数据。这五大模块共同组成了一个整体方案，指导了一个组织机构如何将资源用于开发零信任架构。
零信任架构成熟度模型ZTA-CMM提供了每个模块成熟度级别的洞察（如图 2所示）。深入了解每个领域有助于组织机构负责人了解环境中采用零信任架构方面的独特优势和差距。目前，组织机构并没有赋予一个普适的零信任成熟度模型执行零信任架构评估，这是行业指南中的一个空白，因此整个行业需要增强关于零信任成熟度ZTA-CMM的排名和评级合作。在此过渡期，个别组织可能会先执行初步评估，这些初步评估的结果将成为该组织的基线评估。

制定零信任路线图

随着组织机构对其零信任架构成熟度级别的当前状态有更多的了解，可以确定其所在级别并将新的解决方案纳入其架构，缩小差距并提高成熟度。例如，DHSCISA ZT CMM（DHS CISA）使用三个级别：传统、高级和最优
为了达到理想的零信任架构成熟度，组织需要评估自己当前的成熟度，并根据评估结果确认要优先建设的领域、需要的资源以及在一段时间内达到目标所需的预算。
相较于在安全和IT现代化建设处于起步阶段的组织，ZTA成熟度在已经实现了较好零信任的环境下更具相关性。为了满足ZTA路线图的要求，负责人需要更好地理解不断发展的前沿技术，这些技术为达到目标成熟度提供了先进的方式。首先，完成对组织零信任成熟度五大模块能力的评估。对于每个模块可以制定几个问题，以便负责人全面评估每个重点领域的成熟度水平。这些问题按照难度和范围递增，从而使零信任在该模块中更为成熟。完成调查问卷后，组织机构可以利用量化结果作为组织当前零信任架构ZTA成熟度的评估基线。组织架构的的当前成熟度水平和组织预期的成熟度水平目标可以按照量化规则图展现，量化规则图类似CMMC^10 建议的蜘蛛图表示方法 。
这种方法产生了一个零信任ZT的投资优先级路线图，如图 5 所示。投资优先级路线图应结合应用行业最佳实践和框架，如NIST特别出版物(SP) 800 系列,CSA云控制矩阵(Cloud Controls Matrix ,CCM), 或政府安全技术实施指南(Government Security Technical Implementation Guides, STIG)。这些最佳实践和框架适用于每个模块，有助于指导组织机构了解其当前状态中缺乏的详细流程和技术需求，以便在一到三年内达到预期的成熟度水平。这种方法只是一个示例，每个组织机构都可以根据自身情况量身定做。未来的工作组和组织可能会制定一套标准的规范性问题和图形描述采用ZTA零信任架构的整体能力成熟度水平。

零信任 更多材料阅读
CSA 2021中国零信任全景图
NIST 零信任架构 中文版
产业互联网联盟 零信任实战白皮书 2019