零信任架構并不是一個新概念，隨著美國政府在今年早些時候發(fā)布的行政命令，網(wǎng)絡領域的許多企業(yè)開始詢問網(wǎng)絡可見性分析如何適應這一趨勢。要回答這個問題，首先需要看看是什么推動了這種轉(zhuǎn)變。

[[440260]]

這個行政命令的第三節(jié)指出，行業(yè)機構(以及與他們的合作伙伴)必須采用安全最佳實踐，向零信任架構邁進，并加速移動以保護SaaS、IaaS和PaaS等云服務。它呼吁政府機構更新現(xiàn)有計劃，優(yōu)先考慮采用云計算技術的資源，并制定實施零信任架構的計劃(使用NIST的遷移步驟)。它還呼吁美國網(wǎng)絡安全和基礎設施安全局(CISA)進行現(xiàn)代化改造，以通過零信任架構在云計算環(huán)境中充分發(fā)揮作用，并呼吁美國聯(lián)邦風險和授權管理計劃(FedRAMP)制定管理云服務提供商的安全原則，以納入各機構的現(xiàn)代化工作。

由于供應商對于零信任架構是什么而感到困惑，以下探討它對網(wǎng)絡可見性和要求的影響。

美國國家標準與技術研究院(NIST)指出，“零信任是一組不斷發(fā)展的網(wǎng)絡安全范式的術語，它將防御從靜態(tài)的、基于網(wǎng)絡的邊界轉(zhuǎn)移到專注于用戶、資產(chǎn)和資源。零信任架構使用零信任原則來規(guī)劃工業(yè)和企業(yè)基礎設施和工作流程。”這種方法采用的基本NIST原則包括：

• 企業(yè)專用網(wǎng)絡不被視為隱藏的信任區(qū)域。
• 網(wǎng)絡上的設備可能不屬于企業(yè)所有或不可配置。
• 沒有一種資源是固有可信的。
• 并非所有企業(yè)資源都位于企業(yè)擁有的基礎設施上。
• 遠程企業(yè)主體和資產(chǎn)無法完全信任其本地網(wǎng)絡連接。
• 在企業(yè)和非企業(yè)基礎設施之間移動的資產(chǎn)和工作流應該具有一致的安全策略和狀態(tài)。

但是零信任架構與網(wǎng)絡可見性或網(wǎng)絡性能監(jiān)控(NPM)有何關聯(lián)?

零信任架構有三種NIST架構方法具有網(wǎng)絡可見性影響：第一種是使用增強的身份治理，這意味著使用用戶身份僅允許在經(jīng)過驗證后訪問特定資源。第二種是使用微分段，例如在劃分云計算或數(shù)據(jù)中心資產(chǎn)或工作負載時，將流量與其他流量分開以包含但也防止橫向移動。第三種是使用網(wǎng)絡基礎設施和軟件定義的邊界，例如零信任網(wǎng)絡訪問(ZTNA)，例如允許遠程工作人員僅連接到特定資源。

NIST還描述了對零信任架構部署的監(jiān)控。概述網(wǎng)絡性能監(jiān)控將需要安全功能以實現(xiàn)可見性。這包括應該檢查和記錄網(wǎng)絡上的流量(并分析以識別和達到潛在的攻擊)，包括資產(chǎn)日志、網(wǎng)絡流量和資源訪問操作。

此外，NIST對無法訪問所有相關和加密的流量表示擔憂——這些流量可能來自不是企業(yè)擁有的資產(chǎn)(例如使用企業(yè)基礎設施訪問互聯(lián)網(wǎng)的服務)或應用程序和服務。無法執(zhí)行深度數(shù)據(jù)包檢查或檢查加密流量的企業(yè)必須使用其他方法來評估網(wǎng)絡上可能的網(wǎng)絡攻擊者。

美國國防部將零信任架構分解為七個信任支柱：用戶、設備、網(wǎng)絡/環(huán)境、應用程序和工作負載、數(shù)據(jù)、可見性和分析，以及自動化和編排。毫不奇怪，節(jié)點包管理器(NPM)與可見性和分析支柱直接相關。以下是NPM融入零信任架構的四種方式：

• NPM可以提供場景詳細信息以及對跨其他支柱(包括應用程序和用戶)的性能、行為和活動的理解。例如，監(jiān)控網(wǎng)絡各個部分的應用程序性能或指向安全問題，如拒絕服務或受損網(wǎng)絡設備。NPM還可以針對來自各種用戶設備的應用程序的流量模式提供用戶行為分析。

• NPM改進了對異常行為的檢測，并使利益相關者能夠?qū)Π踩呗院蛯崟r訪問決策進行動態(tài)更改。例如，利用網(wǎng)絡AIOps查找站點內(nèi)和站點間的異常行為。如果大量流量表明存在某種類型的數(shù)據(jù)泄露，則可以發(fā)出警報并調(diào)整安全策略。另一個例子是使用VXLAN的微分段網(wǎng)絡，并具有各種虛擬網(wǎng)絡的可見性，其中包括每個VXLAN內(nèi)的流量。人們了解正確的安全策略是否有效很重要。