美国国防信息系统局（DISA）最近发布了初始零信任参考架构，信息量非常大，具体结构可参看柯老师发文《DISA发布国防部零信任参考架构》。本文针对Department of Defense（DOD） Zero Trust Reference Architecture中的三幅图进行了汉化，以便读者清晰了解其中的成熟度模型、零信任支柱，高级别运行概念，认识零信任这一理念带来的安全观念转变，不足之处请多多指教。

　　成熟度模型

　　零信任（ZT）是一个术语，指的是一套不断发展的网络安全范式，它将防御从静态的网络-基于边界关注用户、资产和资源。零信任体系结构（ZTA）采用零信任原则规划工业和企业基础设施和工作流程。零信任假设没有完全基于资产或用户帐户的物理或网络位置（即局域网相对于或基于资产所有权（企业或个人拥有）。身份验证和授权是在建立到企业资源的会话之前执行的离散功能。

　　零信任是对企业网络趋势的一种响应，包括远程用户、自带设备（BYOD）和不位于企业拥有的网络边界内的基于云的资产。零信任关注保护资源（资产、服务、工作流、网络帐户等），而不是网段，因为网络位置不再被视为资源安全态势的主要组成部分。本文档包含了零信任体系结构（ZTA）的抽象定义，并给出了零信任可以改善企业整体信息技术安全态势的一般部署模型和用例。

　　全面实施零信任的方法从前期发现和评估任务开始。最初的发现过程将识别体系结构中有关访问和授权活动的数据。需要发现工作负载、网络、设备和用户之间的关系。

　　最终状态ZTA要求安全策略的实现与特定的授权属性和用户和实体的信任级别相关联。环境的先决条件评估将确定合规状态、特权帐户级别，并验证现有安全控制的实现。

　　在设计零信任体系结构之前，必须实现符合现有IT安全策略和标准的基线保护级别。零信任设计的成熟方面可能不会影响到所有的功能和控制，其成熟度模型见图1。

零信任支柱

　　零信任支柱有助于对可以在环境中执行零信任功能的功能和技术进行分类。DOD零信任架构的七个支柱，见图2：

　　用户

　　保护，限制和强制个人，非个人和联盟实体访问DAAS包括ICAM功能的使用，例如多因素身份验证（MFA）和连续多因素身份验证（CMFA）。组织需要具有连续验证，授权和监视活动模式的能力，以控制用户的访问和特权，同时保护和保护所有交互。RBAC和ABAC将适用于此支柱内的策略，以授权用户访问应用程序和数据。

　　注：DAAS在其文中的含义为数据（Data），应用程序（Applications），资产（Assets），服务（Services）设备

　　具有识别、认证、授权、库存、隔离、安全、补救和控制所有的能力设备在零信任方法中是必不可少的。企业设备的实时认证和打补丁至关重要的功能。一些解决方案，如移动设备管理器或遵守连接程序提供数据这对于设备置信度评估很有用。对每一个访问都应进行其他评估请求（例如：检查危急状态、异常检测、软件版本、保护状态、加密支持，等等）。

　　网络/环境

　　通过粒度访问和策略限制（逻辑上和物理上）进行分段，隔离和控制（内部和外部）网络/环境。随着外围通过宏分段变得越来越细，微分段为DAAS提供了更好的保护和控制。

　　a）控制特权访问，

　　b）管理内部和外部数据流，以及

　　c）防止横向移动

　　这一点至关重要。

　　应用程序和工作负载

　　应用程序和工作负载包括本地系统或服务上的任务，以及在云环境中运行的应用程序或服务。零信任工作负载涵盖了从应用程序层到管理程序的整个应用程序堆栈。保护和正确管理应用程序层以及计算容器和虚拟机是采用零信任的关键。诸如代理技术之类的应用程序交付方法使附加保护能够包括零信任决策和执行点。开发的源代码和通用库通过DevSecOps开发实践进行审查，以确保应用程序从一开始就受到保护。

　　数据

　　零信任可保护关键数据，资产，应用程序和服务。清楚了解组织的DAAS对于成功实施零信任架构至关重要。组织需要按照任务的关键程度对DAAS进行分类，并使用此信息来制定全面的数据管理策略，并将其作为总体“零信任”方法的一部分。这可以通过对数据进行分类，开发模式以及对静态和传输中的数据进行加密来实现。DRM，DLP，软件定义的存储和粒度数据标记之类的解决方案与保护关键数据有关。

　　可见性和分析

　　重要的，上下文细节提供了对性能，行为和其他零信任支柱的活动基线。这种可见性改进了异常行为的检测，并提供了对安全策略和实时访问决策进行动态更改的能力。此外，其他监视诸如传感器数据和遥测技术等系统将被使用，这将有助于了解正在发生的事情与环境一起，将有助于触发警报，用于响应。零信任企业将会捕获并检查流量，超越网络遥测和进入数据包本身，以准确地发现流量网络和观察当前的威胁，并更智能地定向防御。

　　自动化和编排

　　自动化手动安全流程，以在整个企业范围内快速，大规模地采取基于策略的行动。SOAR提高了安全性并减少了响应时间。安全编排集成了安全信息和事件管理（SIEM）和其他自动化安全工具，并有助于管理不同的安全系统。自动化安全响应需要零信任企业中所有环境中定义的流程和一致的安全策略实施，才能提供主动的命令和控制。

　　零信任高级运行概念

　　零信任高级运行概念提供了有关如何在体系结构内实施安全措施的操作视图。见图3图片

　　独立跟踪非人实体（NPE）身份和用户身份，从而允许跨执行点验证可信度级别的单独路径。认证和授权活动将在整个企业中众多但集中的地方进行，包括客户端，代理，应用程序和数据。在每个执行点，将日志发送到SIEM，并执行分析以建立可信度。设备和用户的可信度是独立开发的，然后在适用于策略实施的情况下进行汇总。如果非人实体或用户的可信度得分高于测得的阈值，则将授权他们查看请求的数据。DLP在此过程中对数据进行保护，DLP还向SIEM提供数据，以确保数据得到正确使用。

　　图3中描述的决策点，组件下面标识的功能代表了最终状态的“零信任”实施。控制对资源的访问基于用户和设备的风险，零信任的基本要求是可能的，而无需实施所有已确定的功能就可以实现。具体内容如下：

　　No.1 企业身份、凭证和访问管理（ICAM）

　　包括身份提供者（IDP），自动帐户设置（AAP）和主用户记录（MUR），用于识别和管理角色，访问特权以及所处的环境用户被授予或拒绝特权。

　　1. 身份提供者（IDP）

　　一种执行直接认证的系统，可以选择代表一个或多个信息系统提供授权数据。该系统还提供对NPE的身份验证。

　　2. 自动帐户设置（AAP）

　　提供身份治理服务，如用户授权管理、业务角色审计和执行，以及基于在企业以人为中心的活动（如入职和离职、持续审查、人才管理和准备就绪培训）中产生的身份数据提供和取消账户。

　　3. 主用户记录（MUR）

　　使企业范围内的知识、审计和数据汇总报告谁有权访问什么系统或应用程序。MUR还将为识别内部和外部威胁提供支持。

　　No.2 客户和身份保证（Client and Identity Assurance）1. 身份验证决策点

　　在尝试访问应用程序和数据时，它会评估用户，NPE和/或设备的身份。还可以评估设备是否被管理。ICAM参考设计中提供了非用户NPE和用户辅助NPE的其他用例。

　　2. 授权决策点

　　为请求此类访问决策的实体作出授权决策的系统实体。它检查访问资源的请求，并将其与适用于所有访问该资源请求的策略进行比较，以确定是否应授予发出考虑中请求的请求者特定的访问权。客户机和设备授权是有条件访问资源、应用程序以及最终访问数据的第一阶段。

　　3. 能力

　　a） Comply-to-Connect （C2C）： 在设备能够连接到内部网络并不断更新其状态之前，强制补丁和加固配置被应用到设备上。

　　b） Privileged Access Management（PAM）：

　　指帮助保护、控制、管理和监视对关键资产的特权访问的一类解决方案。这包括对系统、应用程序和服务的管理访问。

　　No.3 以数据为中心的企业（Data-Centric Enterprise）1. 资源授权决策点（RADP）

　　这是一个中间决策点，它将评估合并后的NPE和用户，以授权访问请求。与前面的决策点一样，这将利用信任度和已定义的策略来确定是否允许访问。能力如下：

　　宏观分段

　　将网络划分为具有不同属性的更小的受控段的概念可以通过应用额外的硬件或vlan来实现。

　　应用程序交付控制（代理）

　　应用程序交付控制器是一种设备通常位于防火墙和一个或多个应用服务器之间的数据中心（一个被称为DMZ的区域）。应用程序交付控制器主要执行应用程序加速和处理服务器之间的企业级负载平衡。前几代应用程序交付控制器可以处理各种任务，包括但不限于内容缓存、SSL卸载和加速服务、数据压缩以及一些入侵防御服务。

　　2. 应用程序授权决策点（AADP）

　　这是一个中间决策点，它将评估组合的NPE和用户以授权访问请求。像以前的决策点一样，这将利用信任度和定义的策略来确定是否需要访问。能入如下：

　　微分段

　　这是创建逻辑网络区域以隔离段的实践。通过启用细粒度访问控制，用户、应用程序、工作负载和设备根据逻辑属性进行分段，可以保护这些分段。这也提供了与传统的外围安全相比的优势，因为较小的段呈现出较少的攻击面（对于恶意的角色）。在零信任架构中，安全设置可以应用于不同类型的流量，创建将工作负载之间的网络和应用程序流限制为显式允许的流的策略。分段网关和API访问决策点可以将每个身份的访问限制为显式允许的API调用，允许粒度细化到“动词”级别。

　　DevSecOps应用程序开发

　　DevSecOps是一套软件开发实践，结合了软件开发（Dev），安全性（Sec）和信息技术操作（Ops）来确保结果的安全性并缩短开发生命周期。软件功能，修补程序和修补程序的出现频率更高且自动化程度更高。

　　3. 数据授权决策点（DADP）

　　数据所有者使用数据参考体系结构通过编排器或DLP/DRP服务器对数据应用标签。能力如下：

　　Data Rights Management

　　（数据权限管理）

　　一组访问控制技术，防止未经授权的访问，修改和重新分配数据。强制由加密数据组成，其密钥与数据所有者定义的策略绑定。加密密钥将绑定到数据的安全策略，以执行最低权限授权。

　　DLP

　　4. 数据

　　该流程的最后一步是访问数据和应用程序。数据标记将用于确保所有数据的适当分类级别，以帮助防止泄漏。

　　数据标记

　　数据标记对于政策制定至关重要，因为这些属性将被对齐以确定有条件的访问。随着企业数据的规模和广度，自动化以及机器学习和人工智能将需要作为辅助标记过程的相关能力逐步引入。

　　No.4 动态访问控制平面（Dynamic Access Control Plane）1. SOAR

　　这些术语用于定义处理威胁管理、事件响应、策略实施和安全策略自动化的技术。零信任架构将需要动态的策略实施和自动化。SOAR将与分析和政策引擎协同工作，以开发信任水平，并自动将政策交付到实施点。能力如下：

　　自动化策略部署

　　策略将由 Engine/

　　Orchestrator基于分析自动部署，并在实施点实现。

　　EDR

　　这是一个分析工具，提供对端点上恶意事件的实时监视和检测。EDR允许您在详细的时间线中可视化威胁，而即时警报使您知道如果攻击发生。

　　用户活动监视（UAM）

　　UAM可以监视所有类型的用户活动，包括所有系统、数据、应用程序和用户所采取的网络行为，例如他们的网页浏览活动，无论用户是访问未经授权的或敏感的文件。

　　2. 分析和信任度评分

　　这些技术对实体、属性和配置进行持续评估，以适应部署的安全策略并对其进行风险优化。在授权活动中利用信任分数。

　　实体行为分析

　　分析来自SIEM的数据以确定访问级别。

　　数据丢失防护

　　检测潜在的数据泄露/数据过滤传输并通过监控防止它们。

　　3. 利用安全信息和事件管理进行日志记录

　　活动数据被汇总并存储在SIEM中，SIEM同时提供了安全信息管理（SIM）和安全事件管理（SEM）功能。能力如下：

　　实体活动审核

　　零信任体系结构将要求记录所有活动，以确保进行适当的分析和信任度评分。每个执行点以及用户和实体的行为分析将为制定访问决策提供操作环境。