近日，美國國家安全局發(fā)布了新的零信任指南，旨在幫助企業(yè)通過零信任框架原則來抵御外部網(wǎng)絡(luò)攻擊。零信任安全架構(gòu)要求對(duì)網(wǎng)絡(luò)資源的訪問進(jìn)行嚴(yán)格控制，無論是在物理邊界內(nèi)外，以最大限度地減少漏洞的影響。

一般情況下，傳統(tǒng)的 IT 安全模式會(huì)以默認(rèn)可信的模式來運(yùn)行，但零信任一般直接會(huì)默認(rèn)假定威脅已經(jīng)存在，不允許任何人在網(wǎng)絡(luò)內(nèi)自由行動(dòng)。零信任的成熟度是通過解決威脅行為者在攻擊中可以利用的各種組件或支柱逐步實(shí)現(xiàn)的。

零信任架構(gòu)的七大支柱，圖源：美國國家安全局

昨天（3月5日），美國國家安全局發(fā)布了網(wǎng)絡(luò)和環(huán)境組件的零信任指南，其中包括所有硬件和軟件資產(chǎn)、非人實(shí)體以及相互通信協(xié)議。

零信任模式通過數(shù)據(jù)流映射、宏觀和微觀分段以及軟件定義網(wǎng)絡(luò)提供深入的網(wǎng)絡(luò)安全。對(duì)于其中的每一項(xiàng)，企業(yè)都必須達(dá)到特定的成熟度，才能繼續(xù)按照零信任原則進(jìn)行建設(shè)。

“網(wǎng)絡(luò)和環(huán)境支柱通過定義網(wǎng)絡(luò)訪問、控制網(wǎng)絡(luò)和數(shù)據(jù)流、劃分應(yīng)用程序和工作負(fù)載以及使用端到端加密，將關(guān)鍵資源與未經(jīng)授權(quán)的訪問隔離開來"--國家安全局

數(shù)據(jù)流映射首先要確定數(shù)據(jù)存儲(chǔ)和處理的位置和方式。當(dāng)企業(yè)對(duì)數(shù)據(jù)流有了全面的清點(diǎn)和可視性，并能減少所有當(dāng)前的、新的或異常的路徑時(shí)，就達(dá)到了高級(jí)成熟度。

通過宏觀劃分，企業(yè)可以為每個(gè)部門的用戶創(chuàng)建網(wǎng)絡(luò)區(qū)域，從而限制網(wǎng)絡(luò)上的橫向移動(dòng)。比如，除非有明確要求，否則會(huì)計(jì)人員不需要訪問人力資源專用網(wǎng)段，因此威脅行為者可利用的攻擊面有限。

通過微分段，網(wǎng)絡(luò)管理被分解成更小的組成部分，并實(shí)施嚴(yán)格的訪問策略來限制橫向數(shù)據(jù)流。

美國國家安全局解釋說，"微分段涉及將用戶、應(yīng)用程序或工作流程隔離到單個(gè)網(wǎng)段中，以進(jìn)一步減少攻擊面，并限制發(fā)生入侵時(shí)的影響"。

通過軟件定義網(wǎng)絡(luò)（SDN）組件，可以對(duì)微分段進(jìn)行更細(xì)粒度的控制，從而提供可定制的安全監(jiān)控和警報(bào)。SDN 允許從集中控制中心控制數(shù)據(jù)包路由，提供更好的網(wǎng)絡(luò)可見性，并允許對(duì)所有網(wǎng)段執(zhí)行策略。

對(duì)于零信任架構(gòu)中網(wǎng)絡(luò)和環(huán)境支柱的四個(gè)組成部分，美國國家安全局描述了四個(gè)成熟度等級(jí)，從準(zhǔn)備階段到高級(jí)階段，在高級(jí)階段實(shí)施廣泛的控制和管理系統(tǒng)，以實(shí)現(xiàn)最佳的可見性和監(jiān)控，并確保網(wǎng)絡(luò)的增長。

設(shè)計(jì)和構(gòu)建零信任環(huán)境是一項(xiàng)復(fù)雜的任務(wù)，需要系統(tǒng)地經(jīng)歷各個(gè)成熟階段。如果方法得當(dāng)，企業(yè)架構(gòu)就能抵御、識(shí)別和應(yīng)對(duì)試圖利用弱點(diǎn)的威脅。

美國國家安全局于 2021 年 2 月發(fā)布了第一份零信任框架指南《擁抱零信任安全模型》，該指南介紹了該模型及其背后原則的優(yōu)勢(shì)。

2023 年 4 月，該機(jī)構(gòu)發(fā)布了達(dá)到零信任框架中用戶組件成熟度的指南《在整個(gè)用戶支柱中推進(jìn)零信任成熟度》。