1、翻譯：江蘇易安聯紅岸實驗室 2023.05 1 CISA 零信任成熟度模型（譯文）零信任成熟度模型（譯文）摘要：2023 年 4 月，CISA 發布了 ZTMM（Zero Trust Maturity Model）2.0 版本，按照聯邦行政命令改善國家網絡安全（EO 14028）和美國白宮辦公廳（OMB）備忘錄將美國政府引向零信任安全原則（M-22-09）對其零信任成熟度模型進行了調整完善。本文對ZTMM 2.0 進行了翻譯，旨在幫助零信任供應商、企業用戶和安全研究人員在設計、實施零信任項目時，正確理解零信任實踐面臨的挑戰、成熟度路線和未來前景。1.簡介簡介 網絡安全和基礎設施安全局（CISA

2、）是國家層面理解、管理和降低網絡安全風險的領導機構，包括為聯邦文職行政部門的網絡安全計劃和能力實施提供支持。CISA 的零信任成熟度模型（ZTMM）提供了一種零信任的持續性實現途徑，以適應快速變化的網絡環境和技術發展。在聯邦行政命令改善國家網絡安全（EO 14028）中，美國政府要求各聯邦機構制定各自的零信任架構（ZTA）實施計劃，ZTMM 是設計和實施零信任遷移計劃的眾多途徑之一。盡管 ZTMM 是按 EO 14028 專門為聯邦機構量身定制，但所有組織都應審查，并考慮采用該方法。2.背景背景 最近發生的一些網絡安全事件凸顯了，聯邦政府及大型企業在確保網絡空間安全方面所面臨的廣泛挑戰，傳統方

3、法已經不足以防御網絡威脅，來保護整個國家。作為理解、管理和降低網絡風險的領導機構，CISA 必須采用清晰、可操作、基于風險的方法，來保護聯邦民政行政部門。面對新興網絡安全威脅，網絡防御措施需要提高響應速度和靈活性，以便更快地增加對手的攻擊成本，并提高耐久性和韌性，以快速恢復到全面運營狀態。CISA 的職責是通過推動和支持有效的網絡防御、增強國家核心功能的韌性，以及推進強大的技術生態系統，來捍衛和保護網絡空間。CISA 在維護跨聯邦民政行政部門（FCEB）的網絡態勢感知、保護.gov 域、幫助組織機構（包括聯邦民政機構，關鍵基礎設施所有者和運營商，以及行業伙伴）管理重大網絡安全事件等方面發揮著關

4、鍵作用。雖然 CISA 已經具備抵御已知或可疑網絡威脅的能力，但不斷變化的威脅形勢和新興技術帶來了全新的挑戰。翻譯：江蘇易安聯紅岸實驗室 2023.05 2 EO 14028 標志著聯邦政府網絡安全現代化的新承諾和重點方向。除其他政策要求外，該行政命令將零信任視為聯邦政府期望的安全模式，并呼吁 FCEB 部門制定相關計劃以實施 ZTA。典型的計劃需要評估機構的網絡安全狀態，并規劃如何完全實施 ZTA。作為聯邦政府的網絡安全領導機構，CISA ZTMM 將協助機構制定相應的零信任戰略、實施計劃的持續演進，并提出各種 CISA 服務以支持跨機構的零信任解決方案。美國白宮辦公廳（OMB）備忘錄將美國

5、政府引向零信任安全原則（M-22-09）按照ZTMM 提出的零信任支柱，制定了一個聯邦 ZTA 戰略，說明了聯邦機構要采取的具體行動，并要求各機構在 2024 財年結束前實現網絡安全目標，以加強 FCEB 的網絡安全防御。為了與 M-22-09 保持一致，CISA 對 ZTMM 進行了重新修訂，各 FCEB 部門在制定和實施零信任策略時，應同時審閱 ZTMM 和該備忘錄。3.零信任的含義零信任的含義 國家標準和技術研究院（NIST）在 SP 800-207 中為零信任和 ZTA 提供了如下的操作性定義：零信任由一系列概念和思想組成，能夠在基于每個請求為信息系統和服務實施精確的、最小特權訪問策略

6、時，以網絡已遭受攻擊為假定前提，并減少策略實施中的不確定性。ZTA 是企業采用零信任理念制定的網絡安全規劃，包括組件關系、工作流規劃和訪問策略。因此，零信任企業作為 ZTA 計劃的產物，包含網絡基礎架構（物理和虛擬）和運營策略兩大部分。SP 800-207強調，零信任的目標是“以盡可能精細的訪問控制粒度，防止對數據和服務的未授權訪問?！蓖瑯?，國家安全電信咨詢委員會（NSTAC）將零信任描述為“一種網絡安全策略，其設計基礎是任何用戶或資源都并非隱含可信的，而是假定網絡已經發生了入侵行為，或即將發生入侵，因此不應該只通過位于企業邊界的單一驗證機制，來授予用戶對敏感信息的訪問權限。相反，每個用戶、設

7、備、應用程序和會話都必須持續地進行驗證?！绷阈湃螌鹘y的、以位置為中心的訪問模型轉變為以身份、上下文和數據為中心、具有隨時間變化的細粒度安全控制，包括對用戶、系統、應用程序、數據和資產等各種實體的控制。因此，采用 ZTA 是一項非常具有挑戰性的工作，這種轉變為支持安全策略的開發、實現、執行和演進提供了必要的可見性。從根本上講，為了實施零信任，組織機構可能需要在網絡安全理念和企業文化上做出一些改變。邁向零信任的道路是一個逐步的過程，可能需要數年才能完成。邁向零信任的道路是一個逐步的過程，可能需要數年才能完成。翻譯：江蘇易安聯紅岸實驗室 2023.05 3 最初，實施零信任所需的技術和服務可能會導

8、致企業的成本增加，但從長遠來看，零信任向最關鍵數據和服務進行的精準投資，將使得安全投資更加明智，而不是在整個企業范圍內采用“一刀切”的安全投資。4.實施零信任的挑戰實施零信任的挑戰 與大多數大型企業一樣，聯邦政府在實施 ZTA 時也面臨著多項挑戰。遺留系統通常依賴于“隱式信任”，它們僅通過少量的固定屬性對訪問和授權進行安全評估，這與 ZTA 自適應信任評估的核心原則是沖突的。為了更好地遵從零信任原則，需要一些額外的投資，來改造這些以隱式信任為基礎的現有基礎設施。此外，隨著技術領域的不斷演進，為了更好地實現零信任，保持對新的解決方案的探索和持續討論也很重要。實施零信任需要高層領導、IT 人員、數

9、據和系統所有者，以及遍布聯邦政府的各類用戶的參與和合作，以有效設計實現目標并改善網絡安全態勢。聯邦政府的網絡安全現代化要求各機構將煙囪式和孤立的 IT 服務和員工，轉變為零信任戰略的協調和協作組件，并在整個機構范圍內購買通用架構和治理政策，包括當前和未來采用云技術的計劃。不同的聯邦機構正在從不同的起點開啟他們的零信任之旅，有的機構可能走得更遠或取得更多的進步。但是無論起點如何，成功采用零信任都可以帶來諸多好處，包括提高生產力、增強用戶體驗、降低 IT 成本、提供更靈活的訪問和增強的安全性。5.零信任成熟度模型零信任成熟度模型 ZTMM 代表了在 5 個不同方面或支柱（參看圖 1）逐步實施零信任

10、改進的過程，包括身份（Identity）、設備（Devices）、網絡（Networks）、應用與工作負載（Applications and Workloads），以及數據（Data）。此外，還包含了一些橫跨所有支柱的能力：可見性與分析、自動化與編排，以及治理。翻譯：江蘇易安聯紅岸實驗室 2023.05 4 圖 1 零信任成熟度模型的支柱與相關能力 CISA 的的 ZTMM 是通向零信任的路徑之一。是通向零信任的路徑之一。本成熟度模型在開發時參考借鑒了大量已有的 ZTA 出版材料（參見第 6 部分）。該模型反映了 NIST SP 800-207 中概述的 7 個零信任原則：（1）將所有數據來源

11、和計算服務視為資源。（2）不論網絡位置如何，所有通信都需要安全強化。（3）以會話（per-session）為單位，對企業資源訪問進行授權。（4）按照動態策略確定資源訪問權限。（5）企業監控和度量所有自有和關聯資產的完整性和安全姿態。（6）在允許訪問之前，所有資源都必須經過嚴格、動態地認證和授權。（7）企業盡可能收集關于資產、網絡基礎設施的狀態信息，并利用它來改善安全姿態。隨著各機構逐步邁向最佳的零信任實現，相關解決方案越來越依賴自動化流程和系統，這些系統將各個支柱進一步整合，并更加動態地執行策略決策。每個支柱可以獨立演進發展，也可能比其他支柱發展地更快，直到需要進行跨支柱的協調。然而，這種協調

12、的實現需要相關支柱的能力和依賴在整個企業范圍和環境中能夠相互兼容，這就要求能夠定義一個逐步的零信任演進路線，以分攤成本，而不是一次性全部投入。翻譯：江蘇易安聯紅岸實驗室 2023.05 5 按照 NIST 提出的零信任實施步驟，各機構在投資零信任能力（包括 ZTMM 支柱和功能）建設之前，應當評估其當前的企業系統、資源、基礎設施、人員和流程，幫助各機構判斷識別能夠支撐零信任成熟度的現有能力，并確定需優先解決的能力缺口。各機構還可以規劃如何協調跨支柱的能力，以實現細粒度的最小特權訪問控制，并減輕額外風險。零信任成熟度旅程包括從傳統階段（Traditional）到初始（Initial）、高級（Ad

13、vanced）和最佳（Optimal）三個階段，這種階段性設計將有助于促進聯邦 ZTA 的實現，每個后續階段對保護能力、實現細節和技術復雜性提出了更高的要求。圖 2 零信任成熟度之旅 如圖 2 所示，在各支柱和跨支柱的零信任成熟度不斷提高時，各機構需預見到應付出的努力和效益將會顯著增加。在各機構準備開啟 ZTA 之旅時，應探索如何提高支柱成熟度，使之與特定的任務需求相匹配，并支持其他支柱的發展。圖 3 強調了傳統企業向未來發展的預期演變過程，未來企業的網絡安全將具有更動態的更新、自動化的流程、集成的能力和其他 ZTMM 最佳階段的能力特性。這些階段是動態的，并呈指數增長，從一個成熟度階段到下一

14、階段的進展可能會隨著時間的推移，產生不同范圍的影響。翻譯：江蘇易安聯紅岸實驗室 2023.05 6 圖 3 零信任成熟度的演進 各機構應在每個階段使用以下原則，識別、確定各個零信任技術支柱的成熟度，以取得在整個成熟度模型中的一致性。傳統階段：手動的生命周期（從建立到廢除）管理和屬性分配（安全和日志記錄）；靜態的安全策略和解決方案，通過對不同外部系統的分散依賴，每次只能處理一個支柱；僅在配置時遵循最小特權原則；執行策略的各個支柱相互獨立；手動式的響應和緩解措施部署；只對依賴、日志和監測進行了少量關聯。初始階段：使用了自動化屬性分配和生命周期管理、策略決策和執行，具有與外部系統集成的跨支柱解決方案

15、；通過一些對權限的響應式調整，在配置之后實施最小特權原則；針對內部系統的聚合可見性。高級階段：在適用的情況下，能夠對跨支柱的策略、配置的生命周期和分配進行自動控制；集中式的可見性和身份控制；跨支柱的策略執行；能夠對預定義的緩解措施進行響應；根據風險和態勢評估調整最小特權；向企業范圍感知的方向發展（包括外部托管資源）。最佳階段：資產和資源能夠通過基于自動/監測觸發器的動態策略提供自報告，實現完全自動化、及時的生命周期和屬性分配；對企業范圍內的資產實施動態最小特權（剛好夠用，并在閾值內）訪問；具備持續監控的跨支柱互操作；具備全面態勢感知的集中可見性。翻譯：江蘇易安聯紅岸實驗室 2023.05 7

16、圖 4 是 ZTMM 的頂層概覽，包括每個支柱在不同成熟度階段的關鍵能力，以及在不同成熟度階段的跨支柱能力特性。圖 4 零信任成熟度模型概覽 這些成熟度階段以及與每個支柱相關的詳細信息，使機構能夠評估、規劃和維護實施ZTA 所需的投資。本文后續各小節將為每個支柱提供詳細信息，以支持各機構在 5 個不同的支柱上實現向零信任的過渡，包括身份、設備、網絡、應用和工作負載以及數據。每個支柱還包括了與可見性與分析、自動化與編排，以及治理能力相關的詳細信息，以支撐該支柱和整個模型之間的集成?？缰е芰χ钢С植煌еゲ僮鞴δ艿南嚓P活動，包括以下 3 個方面：可見性與分析?？梢娦允侵笍钠髽I環境的事件特征中產

17、生的可觀測指標。對與網絡安全相關的數據進行分析有助于提供策略決策依據、促進應急響應活動，并在安全時間發生之前，建立風險概況以開發積極的安全措施。自動化與編排。零信任采用自動化工具和工作流程，在支持產品和服務安全響應功能的同時，對這些功能、產品和服務的開發過程進行監管、安全保障和交互。翻譯：江蘇易安聯紅岸實驗室 2023.05 8 治理。指網絡安全策略、程序和流程（在支柱內或跨支柱層面）的定義和執行方式，以符合零信任原則和滿足聯邦政府要求，減輕網絡安全風險。盡管 ZTMM 涵蓋了聯邦企業網絡安全的許多關鍵方面，但也存在一些未涉及到的部分，例如，與事件響應相關的活動，包括日志記錄、監測、警報、取證

18、分析、風險承受和事后恢復等，與企業網絡安全態勢管理相關的特性和最佳實踐也沒有明確地納入成熟度模型。盡管成熟度模型并非排他性的技術措施，但它確實沒有解決與運營相關的挑戰，包括特定類型的物聯網（IoT）設備或已被廣泛采用新興技術，例如欺騙平臺、可認證的 WAF、行為分析等。另外，這個模型中也沒有包括將機器學習和人工智能納入零信任解決方案的建議方法。在每個支柱的成熟度提高過程中，各機構應該采取措施來監測和評估他們的安全能力、基礎設施和策略的性能和完整性，來發現未授權的訪問和變化。各機構應該注意不要為攻擊者創造新的利用機會或削弱安全協議。為了有效保障聯邦機構企業范圍內軟件和硬件系統的完整性，必要的研究

19、和開發也是需要的。在規劃 ZTA 的實施時，各機構應根據風險、任務、聯邦要求和操作限制等因素做出決策。盡管該模型與聯邦企業的單一管理域或認證邊界一致，但各機構在評估 ZTA 的影響因素時，仍然需要考慮與外部合作伙伴、利益相關者和服務提供商的互動和依賴關系。另外，該成熟度模型不應該被視為一個嚴格要求，而是一個能夠幫助機構成功實施 ZTA，并對網絡安全態勢進行整體提升的通用指南。5.1 身份身份 身份身份是是指描述機構用戶或實體指描述機構用戶或實體（包括非人實體）（包括非人實體）的的一個或一組一個或一組屬性。屬性。各機構應確保并保證用戶和實體因正確的目的，在正確的時間訪問正確的資源，且未授予他們過

20、多的訪問權限。各機構應盡可能在企業范圍內集成身份、憑據和訪問管理解決方案，以強制執行強身份驗證、實施基于上下文的授權，并評估機構用戶和實體的身份風險。機構應在適當的情況下對其身份存儲和管理系統進行集成，改善對企業身份、職責和權限的感知。表 1 列出了零信任架構中“身份”的相關功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。表 1“身份”支柱 功能 傳統階段 初始階段 高級階段 最佳階段 身份認證 在靜態訪問授權中，使用密碼或雙因素認證（MFA）使用 MFA 對身份進行驗證，將密碼作為 MFA 中的一使用抗釣魚攻擊的 MFA 和屬性對所有身份進行身持續使用抗釣魚攻擊的 MFA

21、對身份進行驗證，而不翻譯：江蘇易安聯紅岸實驗室 2023.05 9 對實體身份進行認證。種認證方式，并要求驗證多個實體屬性（例如場所或活動）。份驗證，包括通過FIDO2 或 PIV 實現的無密碼 MFA的最初實現。僅僅是在最初授權時進行驗證。身份庫 只使用自主管理的本地身份庫（計劃、部署和維護均由自行承擔）。同時使用自主管理的和托管（例如，云或其他機構）的身份庫，存儲庫之間實現了較少的集成（例如，單點登錄）。開始合并和整合一些自主管理的和托管的身份庫。根據需要在所有合作伙伴和環境中安全地整合身份庫。風險評估 對身份風險進行有限的判斷（即身份被竊取的可能性）。使用手動方法和靜態規則來確定身份風險

22、，以支持可見性。使用一些自動化分析和動態規則來確定身份風險，以支持訪問決策和響應動作?；诔掷m分析和動態規則，實時地確定身份風險，以提供持續的保護。訪問管理（新增）永久性訪問授權，并對特權和非特權賬戶進行周期性審核。對訪問（包括特權訪問）進行授權，并通過自動審核使訪問權限過期失效。提供對基于需求和基于會話的訪問（包括特權訪問請求）授權，以適應不同操作和資源。使用自動化來實現即時授權和恰到好處的授權，以滿足個人的操作和資源需求?？梢娦耘c分析 收集用戶和實體的活動日志（特別是特權憑據），并進行例行的手動分析。收集用戶和實體活動日志，進行例行的手動分析和部分自動分析，不同類型的日志僅實現了少量關聯。

23、在某些類型的用戶和實體活動日志上進行自動化分析，并增加收集范圍以解決可見性短板。通過對用戶活動日志（包括基于行為的分析）進行自動化分析，維護企業范圍的全面可見性和態勢感知。自動化與編排 手動對自管理身份（用戶和實體）進行編排（入職、離職和禁用），集成性較少，并定期進行審查。手動對特權和外部身份進行編排，并自動編排非特權用戶和自管理實體。手動編排特權用戶身份，并在所有環境中集成實現所有身份的自動編排?；谛袨?、注冊和部署需求，在所有環境中實現完全集成的所有身份自動編排。治理 通過靜態技術和人工審核實施身份策略（認證、憑證、訪問、生命周期等）。在企業范圍內定義并實施具有少量自動化、并通過人工更新的

24、身份策略。在企業范圍內實現自動化、并定期更新的身份策略。在企業范圍內，為所有用戶和實體實現針對所有系統的自動化身份策略，能夠實現持續的策略實施和動態更新。翻譯：江蘇易安聯紅岸實驗室 2023.05 10 5.2 設備設備 設備是指可以連接到網絡的任何資產（包括其硬件、軟件、固件等），包括服務器、臺設備是指可以連接到網絡的任何資產（包括其硬件、軟件、固件等），包括服務器、臺式機、筆記本電腦、打印機、手機、物聯網設備、網絡設備等。式機、筆記本電腦、打印機、手機、物聯網設備、網絡設備等。設備既可能是機構擁有的資產，也可能是員工、合作伙伴或訪問者的自帶資產（BYOD）。機構應該確保所有自有設備的安全性

25、，管理那些非機構可控的授權設備的安全風險，并阻止未授權設備訪問資源。設備管理包括維護所有資產（包括其硬件、軟件、固件等）的動態清單、配置信息及相關漏洞。企業網絡環境中多樣化的設備類型為實施 ZTA 提出了新的挑戰，必須按照基于風險的流程對它們逐個進行評估。例如，網絡設備、打印機等設備在身份驗證、可見性和安全性方面，只具有少量的能力選項。在維持設備可見性和控制方面，允許使用 BYOD 的機構也會受到很多制約和限制。隨著技術環境的不斷變化，機構也將繼續采用更多的設備來管理這些不斷演變的設備相關風險。在特殊情況下，本指南可能無法適用于各機構的特定設備。另外，各機構也會面臨維護可信設備和服務的生命周期

26、，并獲得技術支持的挑戰，因為遺留設備通常會存在更多未解決的漏洞、易受攻擊的配置和未知的風險。最后，盡管面臨這些挑戰和困難，各機構仍然應該能夠在實現 ZTA 方面取得重大進展。私有化部署的計算資產管理需要記錄和管理物理資產（設備）。隨著各機構逐漸轉向云環境，還要考慮如何管理和跟蹤機構的云和虛擬資產。云資產包括計算資源（如虛擬機、服務器或容器）、存儲資源（如塊存儲或文件存儲）、平臺資產（如數據庫、Web 服務器、消息總線/隊列）和網絡資源（如虛擬網絡、VPN、網關、DNS 服務等），以及其他與托管云服務相關的虛擬資源（如人工智能模型）。表 2 列出了零信任架構中“設備”的相關功能和能力，及其在可見

27、性與分析、自動化與編排，以及治理方面的考慮。表 2“設備”支柱 功能 傳統階段 初始階段 高級階段 最佳階段 策略實施與合規監控（新增）在策略實施或管理軟件、配置或漏洞方面，只有少量的方法，幾乎沒有與設備合規相關的可見性。能接收自報告的設備特征（例如，設備上的密鑰、令牌、用戶等），但其執行機制非常有限。機構已經初步建立了軟件準入的基本流程，并能夠在初始使用設備時，對設備進行合規驗證（即管理員可以檢查和驗證設備上的數據），并對大多數設備和虛擬資產實施合規策略。使在設備和虛擬資產的整個生命周期中，持續檢查并執行合規策略。將設備、軟件、配置和漏洞管理整合到所有機構環境翻譯：江蘇易安聯紅岸實驗室 20

28、23.05 11 能將更新和配置推送到設備上。用自動化方法來管理設備和虛擬資產、批準軟件、識別漏洞和安裝補丁。中，包括虛擬資產。資產和供應鏈風險管理（新增）沒有以全企業或跨供應商的方式，跟蹤物理或虛擬資產，采用臨時性的方式對設備和服務供應鏈進行管理，對企業風險的認識非常有限。跟蹤所有物理和部分虛擬資產，并按照聯邦建議，使用風險框架（例如NIST SCRM）建立策略和控制基線，來管理供應鏈風險。通過自動化流程來開發全面的企業物理、虛擬資產視圖，該流程可以跨多個供應商驗證資產獲取、跟蹤開發周期，并提供第三方評估。擁有全面的、實時 或 接 近 實 時的、跨供應商和服務提供商的資產視圖，在合適情況下，

29、自動化其供應鏈風險管理，建立能容忍供應鏈故障的操作，并融入最佳實踐。資源訪問（原數據訪問）在訪問資源時，未要求對于設備或虛擬資產的可見性。要求某些設備或虛擬資產報告其特征，然后利用這些信息審批資源訪問。在初始資源訪問時考慮設備的驗證情況或虛擬資產的可見性。資源訪問時考慮設備和虛擬資產內的實時風險分析。設備威脅保護（新增）對部分設備手動部署了威脅保護功能。具有一些自動化流程，用于將威脅保護能力部署和更新到設備和虛擬資產，并集成了少量的策略執行和合規監控。將威脅保護能力整合到面向設備和虛擬資產的集中式解決方案中，并將其中的大部分能力與策略執行和合規監控集成。為所有設備和虛擬資產，部署了具有先進功能

30、的集中式威脅保護安全解決方案，并采用統一方法解決設備威脅保護、策略實施和合規監控?？梢娦耘c分析 使用物理標簽清單和有限的軟件監控，定期人工查看和分析設備信息。在可用時，使用數字標識符（例如接口地址、數字化標記）、手動清單和終端監控（若可用）來監測設備。部分設備和虛擬資產能通過自動化分析（例如軟件掃描器），執行基于風險的異常檢測。實現清單的自動化采集（包括所有標準用戶設備上的終端監控，例如臺式機、筆記本電腦、手機、平板電腦及其虛擬資產）和異常檢測（檢測未授權設備）。自動化采集所有可接入網絡的設備和虛擬資產的狀態，并與身份關聯、執行端點監控和異常檢測，為資源訪問授權提供信息。跟蹤虛擬資產的供應和銷

31、毀模式以監測異常。翻譯：江蘇易安聯紅岸實驗室 2023.05 12 自動化與編排 在企業范圍內，人工完成設備供應、配置和注冊。使用工具和腳本來自動化處理流程，包括設備和虛擬資產的供應、配置、注冊和銷毀。實施了監控和策略執行機制，能識別、手動斷開或隔離不符合規定（易受攻擊、未經驗證的證書、未注冊的MAC 地址）的設備和虛擬資產。擁有全自動的流程，用以實現設備及虛擬資產的供應、注冊、監控、隔離、修復和銷毀。治理 制定了針對傳統外設的生命周期策略，但依賴人工流程來維護（例如更新、打補丁、殺毒）這些設備。制定并實施了設備采購、非傳統計算設備和虛擬資產的生命周期策略，并定期對設備進行監測和掃描。為設備和

32、虛擬資產制定了企業級的生命周期策略，包括設備枚舉和問責，并實現了一些自動實施機制。對企業范圍內、所有可連接網絡的設備和虛擬資產實現了自動化的生命周期策略。注：設備生命周期包括采購、配置、跟蹤、監控、更新、使用、清理、銷毀以及恢復等多個階段。5.3 網絡網絡 網絡是指一個開放的通信介質網絡是指一個開放的通信介質和通道和通道，包括傳統通道，如機構內部網絡、無線網，包括傳統通道，如機構內部網絡、無線網絡和互聯網，以及其他通道，如用于傳輸信息的蜂窩和應用層通道等。絡和互聯網，以及其他通道，如用于傳輸信息的蜂窩和應用層通道等。零信任架構使傳統基于邊界的安全方法發生了改變，允許機構管理內部和外部流量、隔離

33、主機、實施加密、分段訪問活動，并增強了企業網絡的可見性。ZTA 允許在更接近應用程序、數據和其他資源的位置實現安全控制，增強了傳統基于網絡的保護措施，并提高了深度防御能力。由于不同應用在訪問權限、優先級、可達性、依賴服務和連接路徑等方面存在不同的要求，網絡中的每個應用程序都可以以唯一的方式對待處理。這些網絡應用要求可以被采集為應用程序概要，然后相同的概要可以作為同一類流量進行處理。表 3 列出了零信任架構中“網絡”的相關功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。表 3“網絡”支柱 功能 傳統階段 初始階段 高級階段 最佳階段 網絡分段 使用大邊界/宏分段來定義網絡架構，

34、網段內的可達性基本不受約束。也可能依賴多服務互連（例在網絡架構對關鍵工作負載進行隔離，按最小功能（權限）原則限制連通性，并向在入向/出向微邊界和特定服務互連框架中，擴展終端和基于應用程序概要的隔離機制。網絡架構由完全分布式的入向/出向微邊界和基于應用程序概要的微分段組成，動態實現即時和適度連通性，翻譯：江蘇易安聯紅岸實驗室 2023.05 13 如，不同流量按批量使用 VPN 隧道）的方案。特定服務互連的網絡架構過渡。以實現特定服務的互連。網絡流量管理（新增）在服務提供過程中，人工實施靜態網絡規則和配置來管理流量，僅具有有限的監控能力（例如應用程序性能監控或異常檢測），對關鍵業務應用的配置變更

35、通過人工進行審計和審核。建立了具有不同流量管理特征的應用程序概要，并開始將所有應用程序映射到這些概要。將靜態規則擴展應用到所有應用程序，并對應用程序概要進行定期手動審計。實施動態網絡規則和配置，以進行資源優化，這些規則和配置根據自動風險感知和具備風險響應的應用程序概要評估和監控，定期進行調整。實施不斷演變的動態網絡規則和配置，以滿足應用程序概要的需求，根據關鍵任務、風險等因素重新確定應用程序優先級。流量加密（原加密）對少量流量實施加密，并依靠手動或臨時流程來管理和保護加密密鑰。對所有流向內部應用的流量進行加密，對外部應用的流量進行盡可能的加密，規范化密鑰管理策略，并保護服務器/服務的加密密鑰。

36、所有應用的內部和外部流量均使用協議加密，對密鑰和證書的簽發和更換實施管理，并引入密碼敏捷實踐。持續根據需求加密流量，在企業范圍執行最小權限原則，以保證密 鑰 的 安 全 管理，并盡可能廣泛地采用密碼敏捷實踐。網絡彈性（新增）根據單個應用程序 的 可 用 性 需求，按個案配置網絡能力，只能提供適用于非關鍵任務負載的有限彈性。通過配置網絡能力，管理其他應用程序的可用性要求，并擴展非關鍵任務負載的彈性機制。網絡功能的配置能動態管理大部分應用程序的可用性需求和彈性機制。能感知所有工作負載的可用性需求變化，并集成全面的交付，提供相應的彈性機制?？梢娦耘c分析 通過以網絡邊界為重點的有限監控和分析，開始開發

37、集中式的態勢感知。采用基于已知入侵指標（包括網絡枚舉）的網絡監控，在每個網絡環境中開發態勢感知，并將各種環境中的不同流量關聯起來，進行分析和威脅檢測。通過基于異常的網絡檢測能力，在所有環境中開發態勢感知，并將多來源的監測信息進行關聯以進行分析，并采用自動化流程進行強大的威脅搜索。在啟用企業范圍態勢感知和監控能力的同時，維持對所有網絡和環境中的通信可見性，并自動對所有檢測源的監測信息進行關聯。自動化與編排 使用手動流程來管理網絡、環境的配置和資源生命周期，定期整使用自動化方法來 管 理 某 些 網絡、環境的配置和 資 源 生 命 周使用自動化的變更管理方法（如CI/CD）來管理所有網絡、環境的網

38、絡和環境由基礎設施即代碼來定義，并實現自動化的變更管理翻譯：江蘇易安聯紅岸實驗室 2023.05 14 合策略要求和態勢感知。期，并確保所有資源都基于策略和監測數據定義了生命周期。配置和資源生命周期，能夠對感知到的風險進行響應、執行策略和保護。方法，包括自動的初始化和過期失效，以應對不斷變化的需求。治理 通過以邊界保護為重點的方法，實施靜態的網絡策略（訪問、協議、分段、警告和修復）。針對每個網絡分段和資源制定并實施相應的策略，并適當沿用企業級策略規則。在實施個性化策略時引入了自動化，促進從關注邊界的保護向未來過渡。實施企業范圍的網絡策略，使基于應用和用戶工作流的策略定制、局部控制、動態更新和安

39、全外連成為可能。5.4 應用和工作負載應用和工作負載 應用和工作負載應用和工作負載是指在私有化環境、移動設備和云環境中運行的是指在私有化環境、移動設備和云環境中運行的系統、計算機程序和系統、計算機程序和服務服務。各機構應該管理和保護其部署的應用程序，并確保安全的應用程序交付。精細化訪問控制和集成的威脅防護可以提供增強的態勢感知，并減輕應用程序特定的威脅。根據 OMB M-22-09 的規定，各機構應逐漸使已授權用戶能夠在公共網絡上訪問應用程序。在可能的情況下，各機構應采用基于 DevSecOps 和 CI/CD 過程的最佳實踐，包括使用非可變工作負載。各機構應該探索一些新的選擇，將運營重點從認

40、證邊界和更新 ATO（Authorization to Operate），逐漸轉向對應用程序自身的支持，使其無論是從內部訪問，還是從外部訪問都具有相同的安全性。表 4 列出了零信任架構中“應用與工作負載”的相關功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。表 4“應用與工作負載”支柱 功能 傳統階段 初始階段 高級階段 最佳階段 應用訪問（原訪問授權）主要基于靜態屬性對應用訪問實施本地授權。采用上下文信息（如身份、設備合規性和/或其他屬性）實施對應用的每個訪問請求進行授權，并設置授權的過期時間。使用擴展的上下文信息自動化應用程序的訪問決策，并依據最小特權原則設置相應的過期條

41、件。對應用程序實施持續的訪問授權，并引入實時的風險分析和因素，如行 為/使 用 模 式等。應用威脅保護（原威脅保護）僅實現了威脅保護與應用工作流將威脅保護集成到關鍵業務應用將威脅保護集成到所有應用的工將高級威脅保護集成到所有應用翻譯：江蘇易安聯紅岸實驗室 2023.05 15 的少量集成，能針對已知威脅提供一般性防護。的工作流中，能針對已知威脅和一些特定應用的威脅提供保護。作流中，保護某些特定于應用程序和有針對性的威脅。工作流中，提供實時可見性和內容感知保護，以應對特定于應用程 序 的 復 雜 攻擊?？稍L問應用（原可訪問性）關鍵應用僅在私有網絡和帶監控的安全公共網絡連接（例如 VPN）上可用。

42、為了滿足需要，通過代理連接的方式，將部分適用的關鍵任務應用提供給授權用戶在開放的公共網絡中使用。根據需要，把大部分適用的關鍵任務應用通過開放的公共網絡連接提供給授權用戶使用。根據需要，把所有適用的應用通過開放的公共網絡提供給授權用戶和設備使用。開發和部署工作流（新增）使用非正式的開發、測試和生產環境，缺乏健全的 代 碼 部 署 機制。采用具備規范的代碼部署機制的基礎架構來支持開發、測試和生產環境（包括自動 化），通 過CI/CD 流水線和必要的訪問控制來，來支持最小特權原則。由不同團隊完成開發、安全和運營，并取消開發人員在代碼部署時對生產環境的訪問權限。在可行的情況下充分利用非可變工作負載，更

43、改只能通過重新部署生效，并取消管理員對部署環境的訪問權限，以支持自動化的代碼部署流程。應用安全測試（原應用安全）在部署之前進行應用安全測試，主要通過手動測試方法實施。在應用部署前的安全測試中，使用靜態和動態（即應用程序正在執行）測試方法，包括手動的專家分析。將應用安全測試整合到應用程序開發和部署流程中，包括使用周期性的動態測試方法。在企業軟件開發生命周期中全面整合應用程序安全測試，在已部署應用程序中進行例行自動化測試?？梢娦耘c分析 對關鍵業務應用進行了一些性能和安全監控，但聚合和分析能力有限。自動采集應用信息（例如狀態、健康度和性能）和安全監控，以改進日志收集、聚合和分析。通 過 啟 發 式

44、技術，自動化地對大部分應用程序進行信息采集和安全監控，以識別應用程序特有的和企業整體的趨勢，并逐步完善流程以填補可見性中存在的短板。在所有應用程序上執行持續、動態的監控，以保持企業范圍內全面的可見性。自動化與編排 通過手動方式，在應用資源分配階段，設立靜態的應用托管位置和訪定期修改應用配置（包括位置和訪問權限），以滿足自動處理應用程序配置，以應對運營和環境變化。自動處理應用程序配置，以持續優化安全性和性能。翻譯：江蘇易安聯紅岸實驗室 2023.05 16 問權限，并進行有限維護和審查。相關的安全和性能目標。治理 主要依靠手動執行策略來實現對應用訪問、開發、部署、軟件資產管理、安全測試和評估（S

45、TE）的管理，包括技術插入、修補漏洞和跟蹤軟件依賴。根據任務需求（例如，軟件物料清單）來自動執行策略進行規范，通過自動化方式實現對應用程序開發、部署、軟件資產管理、STE，及技術插入、打補丁和跟蹤軟件依賴關系等方面的管理和監管。為應用實施分層、定制的企業范圍內的策略，覆蓋開發和部署生命周期的所有方面，并盡可能利用自動化的策略執行。完全自動化的應用開發和部署策略，包 括 通 過CI/CD 流程動態更新應用程序。5.5 數據數據 數據包括所有結構化和非結構化的文件和碎片，它們存在數據包括所有結構化和非結構化的文件和碎片，它們存在（或曾存在或曾存在）于于部署在本地部署在本地或虛擬環境或虛擬環境中中的

46、的系統、設備、網絡、應用程序、數據庫、基礎設施系統、設備、網絡、應用程序、數據庫、基礎設施和和備份備份中中，包括包括相關的相關的元數據。元數據。按照聯邦政府要求，各機構的數據應該在設備、應用程序和網絡上得到保護。各機構應該建立數據清單，對其進行分類和標記，在數據存儲和傳輸時為其提供保護，并部署能檢測和阻止數據外泄的相關機制。各機構應該仔細制定和審查數據治理策略，以確保在企業范圍內實施基于數據生命周期的安全管理。表 6 列出了零信任架構中“數據”的相關功能和能力，及其在可見性與分析、自動化與編排，以及治理方面的考慮。表 5“數據”支柱 功能 傳統階段 初始階段 高級階段 最佳階段 數據清單管理

47、人工識別部分數據（例如，關鍵業務數據），并為其建立清單。采用自動化的數據清單流程，覆蓋本地和云環境中的大部分數據，并引入防止數據丟失的保護措施。在企業范圍內自動建立數據清單和跟蹤，涵蓋所有適用的機構數據，并采用基于靜態屬性和/或標簽的數據防泄漏策略。持續維護所有適用數據的清單，并采用強大的數據防泄漏策略，動態阻止可疑的數據泄露。數據分類（新增）采用了有限的、非正式的數據分類。實現了數據分類策略，具備明確以一致、分級、有針對性的方式自動化了一些數據通過強大的技術和機制，在企業范圍內采用了細翻譯：江蘇易安聯紅岸實驗室 2023.05 17 的標簽定義和手動執行機制。分 類 和 標 記 過程，并使用

48、簡單、結構化的格式和定 期 審 查 來 管理。粒度、結構化格式自動對所有數據執行分類和標記。數據可用性（新增）主要由本地數據庫提供數據，同時提供了一些異地備份?？梢詮娜哂?、高可用的數據存儲庫（例如，云）中提供一些數據，并為本地數據維護了異地備份。主要從冗余、高可用的數據存儲庫中提供數據，并確?？梢栽L問歷史數據。使用動態方法根據用戶和實體的需求調整優化數據可用性，包括歷史數據。數據訪問 通過靜態訪問控制，管理用戶和實體的數據訪問（例如，讀取、寫入、復制、授權他人訪問等）權限。開始部署自動化的 數 據 訪 問 控制，在企業范圍內引入最小特權原則。在自動化數據訪問控制中，考慮采用各種屬性，如身份、設

49、備風險、應用程序、數據類別等，并在適當情況下進行時間限制。在企業范圍內自動執行即時（just-in-time）和恰到好處（just-enough）的數據訪問控制，并持續審查權限。數據加密 只對必要的數據進行最低限度的加密，包括數據存儲和傳輸過程中的加密，并依賴手動或臨時流程來管理和保護加密密鑰。對所有傳輸中的數據進行了加密，可行的話，還對數據存儲（例如，關鍵業務數據和存儲在外部環境中的數據）進行了加密，并開始規范密鑰管理策略和強化加密密鑰。盡最大可能對企業范圍內的所有存儲、傳輸數據進行加密，開始采用密碼敏捷性，并保護加密密鑰（即，不使用硬編碼密鑰，并定期輪換）。在必要時，對使用中的數據進行加密

50、，在企業范圍內執行最小權限原則以進行安全密鑰管理，并盡可能使用最新的 NIST標準和密碼敏捷性來應用加密技術?？梢娦耘c分析 對數據位置、訪問和使用的可見性非常有限，主要依賴手動流程進行分析。通過數據清單管理、分類、加密和訪問嘗試來獲得可見性，還結合了一些自動化分析 和 相 關 性 分析。采用自動化分析和相關性分析，在企業范圍內維護更全面的數據可見性，并開始采用預測分析。能夠全面跟蹤數據生命周期，具備強大的分析能力，包括預測分析，支持全面的數據視圖和持續的 安 全 狀 況 評估。自動化與編排 通過手動和非正式的流程實施數據的生命周期管理和安全策略（例如，訪問、使用、存儲、加密、配置、使用了一些自

51、動流程來實施數據的生命周期管理和安全策略。在企業范圍內，以一致、分級、有針對性的自動化方式對大部分數據實施數據的生命周期管理和安全策略。在企業范圍內，盡可能自動化地實施所有數據的生命周期管理和安全策略。翻譯：江蘇易安聯紅岸實驗室 2023.05 18 保護、備份、分類、清洗）。治理 手動實施非正式的數據治理策略(例如，保護、分類、訪問、清單化、存儲、恢復、清除等）。定義了高級的數據治理策略，主要依賴手動、分段實施。開始在整個企業范圍內集成數據生命周期的策略執行機制，實現數據治理策略的統一定義。數據的生命周期策略盡可能統一一致，并在整個企業范圍內動態執行。5.6 橫跨能力橫跨能力 可見性與分析、

52、自動化與編排、治理這 3 種橫跨能力為推進 5 個能力支柱的集成提供了機會。各機構在發展某一支柱的成熟度時，可以獨立地提高它的每個功能和能力?？梢娦耘c分析支持全面的可見性，為策略決策提供信息，并有利于相關響應活動的開展。自動化與編排利用這些可見性，通過強大而簡單的操作，處理各種安全事件并及時響應。治理使各機構能夠管理和監測其監管、法律、環境、聯邦和運營需求，以支持基于風險的決策生成，還可以確保通過采用正確的人員、流程和技術，實現任務、風險和合規目標的達成。表 6 提供了每種橫跨能力的高級成熟度演進情況。表 6 橫跨能力 功能 傳統階段 初始階段 高級階段 最佳階段 可見性與分析 在企業范圍內，

53、手動收集了有限的日志，日志質量較差，且僅進行了最基本的分析。開始自動收集和分析關鍵業務的日志和事件，并定期評估可見性方面的短板。擴大了自動化日志和事件的收集范圍內（包括虛擬環境），以進行跨多個來源的集中式關聯分析分析。通過對日志和事件的集中、動態監控和高級分析，全面實現企業范圍內的可見性。自動化與編排 依靠靜態和手動流程，來編排操作和響應活動，自動化程度有限。開始自動化編排和響應活動，以支持關鍵任務功能。在企業范圍內，實現自動化編排和響應活動，并利用多源上下文信息來指導策略決策。編排和響應活動能動態響應整個企業范圍內的需求變化和環境變化。治理 在整個企業中以非正式方式實施策略，主要通過手動流程

54、或靜態技術執行策略。定義并開始實施適用于整個企業范圍的策略，但是缺乏自動化，需要手動更新。實施分層和定制的企業級策略，并盡可能利用自動化技術來支持策略執行。訪問控制策略的決策利用實施完全自動化的企業級策略，能通過持續的策略執行和動態更新，實現定制化的本地控制。翻譯：江蘇易安聯紅岸實驗室 2023.05 19 了來自多個來源的上下文信息。6.參考參考 在制定和修訂本指南時，CISA 參考了聯邦政府發布的以下 ZTA 材料。（1）M-22-09（管理和預算辦公室）該備忘錄提出了一個聯邦政府的零信任架構戰略，要求各機構在 2024 財年結束之前滿足特定的網絡安全標準和目標，以增強政府在抵御日益復雜和

55、持久的威脅行動方面的能力。該戰略包含了以下部分，強調了企業身份驗證和訪問控制（包括 MFA），要求在可行的情況下盡早加密所有網絡流量，為建立自動化的安全訪問規則基礎提供支持，并將每個應用程序視為可從互聯網訪問。（2）SP 800-207（國家標準與技術研究院特別出版物）NIST SP 800-207 為企業安全架構師描述了零信任概念，以幫助理解用于民用非機密系統的零信任架構，并提供了在企業環境實施零信任遷移的路線圖。SP 800-207 是多個聯邦機構之間合作的成果，并由聯邦首席信息官委員會監督。NIST 正在開發并發布其他的 ZTA 實施指南。（3）零信任參考架構（國防部）國防部（DoD）的

56、零信任參考架構描述了數據為中心的企業標準和能力，可用于成功推進國防信息網絡（DoDIN）向互操作的零信任終狀態的發展。（4）擁抱零信任安全模型（國家安全局）NSA 在擁抱零信任安全模型中，解釋了零信任安全模型的好處和實施挑戰，討論了建立詳細策略、投入必要資源、成熟實施、全面承諾零信任模型以達到預期效果的重要性。該文件的建議將幫助考慮采用這種現代網絡安全模型的網絡安全領導者、企業網絡所有者和管理員。NSA 的擁抱零信任安全模型解釋了零信任安全模型的優勢和實施挑戰，強調了制定詳細策略、投入必要資源、改進實現的成熟度以及全面投入零信任模型對實現預期結果的重要性。該文檔對考慮采用零信任模型的網絡安全領

57、導者、企業網絡所有者和管理員將非常有幫助。翻譯：江蘇易安聯紅岸實驗室 2023.05 20 7.CISA 資源資源 CISA 計劃在零信任的各個支柱領域提供網絡安全支持和指導，包括將這些支柱集成到ZTA 中。以下文件是各機構遷移到零信任所需的有用資源。隨著機構開發 ZTA，CISA 將繼續審查和完善這些資源。（1）持續診斷和緩解 CDM 指南可在 CDM 官網（https:/www.cisa.gov/cdm）上找到。（2）高價值資產 HVA 指南可在 CISA 官網（https:/www.cisa.gov/hva-pmo）上找到。High Value Asset Control Overlay

58、,Version 2.0,January 2021 High Value Asset Control Overlay FAQ,Version 1.0,January 2018 Securing High Value Assets,July 2018 CISA Insights:Securing High Value Assets,September 2019 Binding Operational Directive 18-02Securing High Value Assets,May 2018（3）國家網絡安全保護系統（National Cybersecurity Protection S

59、ystem）NCPS 指南可以在 NCPS 官網（https:/www.cisa.gov/publication/national-cybersecurity-protection-system-documents）上找到。National Cybersecurity Protection System(NCPS)Cloud Interface Reference Architecture Volume 1:General Guidance,Version 1.4,May 2021 National Cybersecurity Protection System(NCPS)Cloud Inte

60、rface Reference Architecture Volume 2:Reporting Pattern Catalog DRAFT,Version 1.1,May 2021（4）網絡安全共享服務提供（原質量服務管理辦公室）Quality Services Management Office Fact Sheet Centralized Mission Support Capabilities for the Federal Government(M-19-16),April 2019（5）可信互聯連接 TIC 指南可以在 TIC 官方庫（https:/www.cisa.gov/publ

61、ication/tic-30-core-guidance-documents）中找到。翻譯：江蘇易安聯紅岸實驗室 2023.05 21 Trusted Internet Connections 3.0 Program Guidebook,Version 1.1,July 2021 Trusted Internet Connections 3.0 Reference Architecture,Version 1.1,July 2021 Trusted Internet Connections 3.0 Security Capabilities Catalog,Version 2.0,Octobe

62、r 2021 Trusted Internet Connections 3.0 Traditional TIC Use Case,Version 1.0,April 2021 Trusted Internet Connections 3.0 Branch Office Use Case,Version 1.0,April 2021 Trusted Internet Connections 3.0 Remote User Use Case,Version 1.0,October 2021 Trusted Internet Connections 3.0 Cloud Use Case,DRAFT,

63、June 2022（6）其他資源 Cloud Security Technical Reference Architecture Applying Zero Trust Principles to Enterprise Mobility Secure Cloud Business Applications(SCuBA)Technical Reference Architecture(TRA)(Draft)Extensible Visibility Reference Framework(eVRF)Guidebook(Draft)Multifactor Authentication Applying Zero Trust Principles to Enterprise Mobility Cyber Resilience Review Assessments govCAR Factsheet Cybersummit 2021 Session Day 2:Zero Trust