2021年2月25日，美国国家安全局（NSA）发布关于零信任安全模型的指南《拥抱零信任安全模型》（Embracing a Zero Trust Security Model）。这份指南篇幅不长总共7页，它的发布更多地是向外界明确传达出NSA对零信任的一种立场和态度：拥护零信任。

　　一 背　景

　　零信任早已在美国国防部受到关注，但零信任方法的实施，直到2019年7月才成为一个具体目标被纳入《国防部数字现代化战略》。在美国国家标准技术研究所（NIST）于2019-2020年连续发布多版《零信任架构》标准草案并且形成最终版本的同时，美国防部创新委员会（DIB）在2019年7月9日通过了《通往零信任安全之路》白皮书，敦促美军方尽快实施零信任架构（ZTA）。白皮书描述了零信任安全架构所涉及的内容，对传统边界安全架构与零信任安全架构进行对比，探讨国防部如何实施该技术，并提出一系列问题以了解技术实施是否有效；紧接着，2019年10月24日，DIB又发布《零信任架构建议》报告，其中第一条建议就是：国防部应将零信任实施列为最高优先事项。DIB称，国防部安全架构的现状是不可持续的，国防部应将实施零信任列为最高优先事项，同时明确分配实施和管理责任，在整个国防部内迅速采取行动。可见，国防创新委员会认为：零信任架构是美国国防部网络安全架构的必然演进方向。

　　2020年，美国国防部进行了几个零信任网络试点项目，并计划从这些项目以及远程工作相关数据中吸取经验教训，以确定零信任网络的前进道路。其中，NSA、美国防信息系统局（DISA）和网络司令部联合启动了一项针对“零信任”技术的试点项目，并总结试点项目已取得的成果，探讨如何将“零信任”技术融入到美国防部体系中。在刚刚过去的几个月中，DISA一直在与NSA、美军网络司令部以及网络私营部门之间合作，共同开发美国防部的零信任参考体系架构。

　　NSA是美国情报界的中流砥柱，是美国国家安全系统的技术权威，是美国网络司令部的摇篮。由于NSA的工作侧重于涉密侧和进攻侧，敏感程度较高，所以不像DISA那么开放。这份零信任安全模型指南则是少见的NSA对于零信任的明确表态，它与DISA年内将要发布的国防部初始零信任参考体系架构在某种程度具有一脉相连的关系。对于其与DISA和美军网络司令部共同开发的零信任框架，NSA明确表示，希望利用这套新的网络安全体系预防、检测、响应并恢复针对关键系统的网络攻击活动。

　　二 指南主要内容

　　1.概述实施零信任的好处

　　该指南指出，基于当前的威胁环境，传统的基于边界的网络防御安全技术已证明无法满足网络安全需求。而采用零信任这种现代网络安全战略，可以从多个有利位置来整合可见性，做出具有风险意识的访问决策，并自动执行检测和响应操作，网络防御者将能够更好地保护敏感数据、系统、应用程序和服务。NSA强烈建议国家安全系统（NSS）内的所有关键网络、国防部（DoD）的关键网络、国防工业基础（DIB）关键网络和系统考虑零信任安全模型。

　　2.定义零信任的概念与内涵

　　该指南将零信任定义为一种安全模型、一套系统设计原则以及基于承认传统网络边界内外都存在威胁的协调网络安全和系统的管理策略。指南进一步解释指出，零信任安全模型消除了对任何一个元素、节点或服务的隐式信任，它是通过从多个来源反馈的实时信息来连续验证操作情况，以确定访问和其他系统响应。零信任嵌入了全面的安全监控，是基于风险的细粒度访问控制和系统安全自动化，可以在动态威胁环境中实时保护关键资产（数据）。这种以数据为中心的安全模型允许对每个访问决策应用最低特权访问的概念，允许或拒绝基于几个上下文因素的组合来访问资源。

　　3.示例零信任的应用场景

　　该指南着笔最多的一个部分就是对几种使用中的零信任场景进行示例，这几种零信任应用分别是：泄露的用户凭据、远程利用或内部威胁、供应链受损。指南通过示例表明，一个成熟的零信任实现可以比传统架构更好地检测恶意活动。比如，在泄露的用户凭据示例场景中，指南建议在零信任环境中使用强多因素用户身份验证，从而使窃取用户的凭据变得更加困难；在远程利用或内部威胁示例场景中，指南指出成熟的零信任环境可以限制对已被泄露的用户凭证和设备进行枚举和横向移动的机会，且数据加密和数字权限管理可以通过限制哪些数据可以访问以及即使允许访问也可以对敏感数据采取的操作来提供额外的保护；在供应链受损场景中，零信任架构的成熟实现可以让设备或应用程序本身获得真正的防御网络安全优势，其特权和对数据的访问将被严格控制、最小化和监控，分割（宏观和微观）将通过政策来实施，等等。

　　4.规划零信任架构成熟的路线图

　　NSA指南强调，零信任的实施需要时间和精力，没有必要一次性过渡到成熟的零信任架构。指南建议将零信任架构规划成从初始准备阶段到基本、中级、高级阶段这样一个逐步成熟的过程，逐渐增强其可见性和自动化响应，将使防御者能够跟上威胁的步伐，同时将零信任功能作为战略计划的一部分逐步整合，可以降低每一步的风险。

　　三 几点启示

　　1.美军方已对零信任架构的推行达成全面共识

　　NSA、DISA、美国网络司令部（USCYBERCOM）、联合部队总部国防部信息网络部（JFHQ-DODIN）是美国军方在网络空间作战领域的四只主要力量，而这四个机构之间又具有双帽关系。所以，NSA和DISA的态度可以视为代表美军方的态度。如果说美军之前对采用零信任架构还持某种谨慎或者怀疑态度的话，那么，从这份关于零信任安全模型的指南中所传达出来的NSA的态度，再结合近期DISA领导层在多个重要场合下的表态，可以看出美军在全军范围内推行零信任架构这一点上已达成多方共识，2021年全面推行零信任架构已成为美国防部的重要计划目标。

　　2.美军将探索涉密网和非密网统一的零信任架构

　　NSA在指南中强烈建议国家安全系统（NSS）内的所有关键网络、国防部（DoD）的关键网络、国防工业基础（DIB）关键网络和系统考虑零信任安全模型。NSA负责保护国家安全系统（NSS），即敏感程度较高的网络和系统，如涉密信息系统。所以，这条建议对于高敏感网络在应用零信任理念方面，具有很强的权威性。再结合之前国防创新委员会的建议，可以预测，未来美军非密网（NIPRNet）和机密网（SIPRNet）都要向零信任安全架构迈进。简单的说，就是全网统一零信任架构，无论涉密网还是非密网。国防部将探索将NIPRNet和SIPRNet融合到同一网络上的可能性，依靠零信任原则来保护访问，并将用户许可级别作为访问的核心属性。NIPRNet和SIPRNet均采用SIPRNet的边界安全措施，以保持更高的边界安全水平，作为进入的初始屏障。美军认为，零信任架构可以融合这两张不同密级的网络，化繁为简。当前暂不论两网融合的可行性，这种观点至少充分反映出美军对零信任架构安全性和先进性的极其认可。

　　3.美军零信任架构的实施仍面临众多挑战

　　NSA指南同时指出，美军实施零信任解决方案还存在众多潜在挑战。这些挑战来自于管理和技术二个层面。管理层面的挑战，比如有，缺乏来自从领导层、管理员或用户层面的整个企业的全面支持，以及存在阻碍零信任策略采用的专业知识的缺乏，为了使系统正常运行或确保外围安全，需要正确的策略以及思维方式的转变，才能从基于隐性信任模式过渡到显性验证模式，即不信任任何人，等等。技术层面的挑战，比如，在新的零信任环境下，如何重新搭建一个高性能可横向扩展的权限引擎，处理更复杂更细粒度的访问策略，包括国防部统一的身份管理目录、密钥管理系统（KMS）（或公钥基础设施PKI）、风险评估、SIEM与日志审计等都必须利用更成熟的技术、更先进的科技、更安全的算法，突破旧的安全瓶颈，才能将国防部网络的安全水平提升到全新的级别。为了应对实施零信任解决方案的潜在挑战，NSA正在制定并将在未来几个月发布额外的指南。

　　四 结　语

　　零信任架构将于2021年落地美国国防部，这个架构指南将为国防机构和IT部门提供了一个蓝图，使网络过渡到这样一个模型，使每个用户都具有相同的高安全级别。从本质上讲，网络对用户的信任为零。这个架构指南以及NSA下一步将发布的实施指南，都代表着国防部网络架构的全面转变。值得注意的是，此次在美全军范围内推行的零信任架构将与其他以往需要大规模推广的计划有所不同，零信任将不是孤立的计划，而是国防部网络架构的一次大规模转型，架构指南将为国防部提供一种正确使用现有工具的全新思路，将会结合美军网络的现实情况在零信任的实施层面，提出更加具体的建设思路、落地指导、应用示例，值得密切关注。