NIST NCCoE发布《实现零信任架构》正式版
全文约2600字 3图表 阅读约8分钟
NIST(美国国家标准与技术研究院)与其下属单位NCCoE(国家网络安全卓越中心)一唱一和:NIST推零信任标准,NCCoE搞零信任实践。而他们背后的推动者,都是联邦首席信息官(CIO)委员会。
根据联邦首席信息官(CIO)委员会的要求,NIST于2020年8月已经发布了NIST SP 800-207《零信任架构》标准正式版。而NCCoE于2020年10月21日也发布了《实现零信任架构》项目说明书(正式版)。
NCCoE《实现零信任架构》项目瞄准的是零信任架构的落地实践,希望实现安全性与用户体验的兼得。NCCoE零信任项目旨在使用商用产品,建立一个与NIST《零信任架构》标准中的概念和原则相一致的零信任架构的实现示例。本项目的范围是在通用企业IT基础设施中实施零信任架构。
注意到,NCCoE曾于2020年3月发布过《实现零信任架构(草案)》。那么,这次发布的正式版与草案版有多大的区别呢?笔者经过大致对比,结论是:最大差异是零信任实践项目架构图,图中以4大功能组件(数据安全、端点安全、身份与访问管理(IAM)、安全分析)代替了原来的8大支撑性系统;但本质上没有显著差异。
最值得期待的是,NCCoE零信任实践项目将产生一份可公开获取的NIST网络安全实践指南。该指南将介绍该实践项目的详细实施步骤。
《实现零信任架构》项目说明书(正式版)下载地址:
https://csrc.nist.gov/publications/detail/white-paper/2020/10/21/implementing-a-zero-trust-architecture/final
关于NCCoE《实现零信任架构》项目说明书的背景,已在引言中简单说明。若需更多细节,请参考2020年3月NIST NCCoE发布《实现零信任架构(草案)》项目说明书(中文介绍)。
NCCoE(国家网络安全卓越中心)以实践项目著称,而且每一个实践项目会有一份项目说明书(在项目开始阶段)和一份实践指南(在项目结束之后)。本次发布的是项目说明书。
笔者逐段落对比了两个版本的《实现零信任架构》项目说明书,发现最大的差别在于下面的项目架构图:
图1-NCCoE 草案版架构(2020年3月发布)
图2-NCCoE 正式版架构(2020年10月发布)
数据安全组件:包括企业为保护其信息而开发的所有数据访问策略和规则,以及保护静态和传输中的数据的方法。
端点安全组件:包括保护端点(例如服务器、台式机、移动电话、物联网设备)免受威胁和攻击的策略、技术和治理,以及保护企业免受来自托管和非托管设备的威胁的策略、技术和治理活动。
身份和访问管理(IAM)组件:包括用于创建、存储、管理企业用户(即主体)帐户和身份记录及其对企业资源的访问的策略、技术和治理。
安全分析组件:包含IT企业的所有威胁情报源和流量/活动监控。它收集有关企业资产当前状态的安全性和行为分析,并持续监控这些资产,以积极应对威胁或恶意活动。这些信息可以为策略引擎提供信息,以帮助做出动态访问决策。
对于图1(草案版架构)的设计初衷,比较好理解。只要看看NIST标准中零信任架构图就明白了,如下图所示:
图3-NIST正式版零信任架构(2020年8月发布)
1)8个支撑性系统几乎都不见了,只留下4个功能组件:数据安全、端点安全、身份与访问管理(IAM)、安全分析。 2)控制平面和数据平面也不再划分了。
数据安全组件:覆盖了图1中的数据安全策略;
端点安全组件:大致覆盖图1中的CDM系统;
身份与访问管理(IAM)组件:覆盖了图1中的PKI和身份管理;
安全分析组件:覆盖了图1中的威胁情报、SIEM、活动日志。
尽管正式版与草案版的项目架构图看似发生了很大变化,但本质上也没有多大区别。
2019年4月:ACT-IAC(美国技术委员会-行业咨询委员会)发布《零信任网络安全当前趋势》;
2019年7月:DIB(国防创新委员会)发布《零信任之路》;
2019年9月:NIST(美国国家标准与技术研究院)发布《零信任架构标准(草案)》;
2019年10月:DIB(国防创新委员会)发布《零信任架构(ZTA)建议》;
2020年2月:NIST发布《零信任架构标准(第2版草案)》;
2020年3月:NIST NCCoE发布《实现零信任架构(草案)》项目说明书;
2020年8月:NIST发布《零信任架构》正式版;
2020年10月:NIST NCCoE发布《实现零信任架构》(正式版)项目说明书,即本篇。
(本篇完)