NIST NCCoE发布《实现零信任架构》正式版

全文约2600字  3图表  阅读约8分钟

NIST(美国国家标准与技术研究院)与其下属单位NCCoE(国家网络安全卓越中心)一唱一和:NIST推零信任标准,NCCoE搞零信任实践。而他们背后的推动者,都是邦首席信息官(CIO)委员会

根据联邦首席信息官(CIO)委员会的要求,NIST于2020年8月已经发布了NIST SP 800-207《零信任架构》标准正式版。而NCCoE于2020年10月21日也发布了《实现零信任架构》项目说明书(正式版)

NCCoE《实现零信任架构》项目瞄准的是零信任架构的落地实践,希望实现安全性与用户体验的兼得NCCoE零信任项目旨在使用商用产品,建立一个与NIST《零信任架构》标准中的概念和原则相一致的零信任架构的实现示例。本项目的范围是在通用企业IT基础设施中实施零信任架构。

注意到,NCCoE曾于2020年3月发布过《实现零信任架构(草案)》。那么,这次发布的正式版与草案版有多大的区别呢?笔者经过大致对比,结论是:最大差异是零信任实践项目架构图,图中以4大功能组件(数据安全、端点安全、身份与访问管理(IAM)、安全分析)代替了原来的8大支撑性系统;但本质上没有显著差异

最值得期待的是,NCCoE零信任实践项目将产生一份可公开获取的NIST网络安全实践指南。该指南将介绍该实践项目的详细实施步骤

《实现零信任架构》项目说明书(正式版)下载地址:

https://csrc.nist.gov/publications/detail/white-paper/2020/10/21/implementing-a-zero-trust-architecture/final

01
项目说明书背景

关于NCCoE《实现零信任架构》项目说明书的背景,已在引言中简单说明。若需更多细节,请参考2020年3月NIST NCCoE发布《实现零信任架构(草案)》项目说明书(中文介绍)。

NCCoE(国家网络安全卓越中心)以实践项目著称,而且每一个实践项目会有一份项目说明书(在项目开始阶段)一份实践指南(在项目结束之后)。本次发布的是项目说明书

02
主要区别:项目架构图

笔者逐段落对比了两个版本的《实现零信任架构》项目说明书,发现最大的差别在于下面的项目架构图:

图1-NCCoE 草案版架构(2020年3月发布)

图2-NCCoE 正式版架构(2020年10月发布)

功能组件包括:
  • 数据安全组件:包括企业为保护其信息而开发的所有数据访问策略和规则,以及保护静态和传输中的数据的方法。

  • 端点安全组件:包括保护端点(例如服务器、台式机、移动电话、物联网设备)免受威胁和攻击的策略、技术和治理,以及保护企业免受来自托管和非托管设备的威胁的策略、技术和治理活动。

  • 身份和访问管理(IAM)组件:包括用于创建、存储、管理企业用户(即主体)帐户和身份记录及其对企业资源的访问的策略、技术和治理。

  • 安全分析组件:包含IT企业的所有威胁情报源流量/活动监控。它收集有关企业资产当前状态的安全性行为分析,并持续监控这些资产,以积极应对威胁或恶意活动。这些信息可以为策略引擎提供信息,以帮助做出动态访问决策。

03
差异分析

对于图1(草案版架构)的设计初衷,比较好理解。只要看看NIST标准中零信任架构图就明白了,如下图所示:

图3-NIST正式版零信任架构(2020年8月发布)

比较图1(草案版架构)和图3(NIST零信任架构)可知,两个架构模型几乎是完全一致的,架构图中两侧的8个支撑性组件(CDM系统、行业合规系统、……、SIEM系统)也是完全相同。
但是,图2(NCCoE 正式版架构)与图1(草案版架构)相比,则简化了不少:
  • 1)8个支撑性系统几乎都不见了,只留下4个功能组件:数据安全、端点安全、身份与访问管理(IAM)、安全分析
  • 2)控制平面数据平面也不再划分了。
笔者没有找到官方解释,只好自己揣测:
1)直觉告诉我们:原来的8个支撑性系统,看起来有点多。为完整性起见,放在NIST标准中倒是无所谓。但要在NCCoE的实践项目中实施,也许就太多了,会增加项目实施过程的复杂性,可能会影响到项目进展。
2)理性分析一下:通过图2中4大组件的功能描述,看看它们对图1中8大支撑性系统的覆盖率:
  • 数据安全组件:覆盖了图1中的数据安全策略

  • 端点安全组件:大致覆盖图1中的CDM系统;

  • 身份与访问管理(IAM)组件覆盖了图1中的PKI身份管理

  • 安全分析组件:覆盖了图1中的威胁情报SIEM活动日志。

这么看来,图2中的4个组件已经覆盖了图1中的7个支撑性系统了。而唯一未能覆盖的行业合规系统,主要是指企业为满足监管制度而制定的所有政策规则。这需要结合具体行业情况而定,也确实没必要专门反映在项目实施图中。
换个角度想想:正式版的4大功能组件(数据安全、端点安全、身份与访问管理(IAM)、安全分析),是不是比草案版的8大支撑性系统(CDM、行业合规、威胁情报、活动日志、数据访问策略、PKI、身份管理、SIEM)要更加亲切、郎朗上口呢!
对于另一问题:为什么控制平面数据平面不再划分。笔者搜索了一下两个版本的说明书,发现除了这两张架构图外,两个版本的说明书中都只提到唯一一次平面”(plane)问题:即在安全问题方面需要关注“零信任控制平面的失陷”。所以,笔者推测:只是作者觉得没有必要在实践项目架构图中刻意表现平面分离的原则,而无需过多的解读。
最后,图2(正式版架构)比图1(草案版架构)多了一个有用的细节:图2中的功能组件的箭头直接指向策略引擎(PE)组件(非常精确),而图1中的支撑性系统的箭头则指向整个核心组件框(相当粗糙)。
04
最终结论

尽管正式版与草案版的项目架构图看似发生了很大变化,但本质上也没有多大区别。

05
我们的期待
我们还是更加期待,NCCoE零信任实践项目将产生的那份可公开获取的NIST网络安全实践指南。因为它将介绍该实践项目的详细实施步骤,会比目前这个项目说明书有更强的落地指导意义。
NCCoE以实践项目著称,而且每一个实践项目都计划产生一份可免费公开获取的NIST网络安全实践指南(NIST Cybersecurity Practice Guide),即SP 1800系列指南。这些实践指南正是笔者的关切所在。
NCCoE的实践项目包含两种类型:一是积木(Building Blocks);二是用例(Use Cases)。积木是技术领域,用例是行业领域。两者分别包含了十几个具体项目。对于这些已经完成或正在进行的NCCoE实践项目,可以参考《美国网络安全 | NIST网络安全实践指南系列》
06
美国官方权威参考资料
美国官方发布的权威零信任参考资料(均可链接至译文)

(本篇完)

(0)

相关推荐

  • 机器学习应用设计阶段的 10 个陷阱和 11 个最佳实践

    本文主要介绍了在机器学习项目的最初设计阶段中,你可能会遇到的陷阱,并详细阐述如何避免这些陷阱的最佳实践. 本文最初发表于 Towards Data Science 博客,经原作者 Bruce H. C ...

  • Cocos Creator 3.0预览版发布,多项重大更新来袭

    OSC开源社区 昨天 以下文章来源于FOSS Lab ,作者御坂弟弟 FOSS LabFree and Open Source Software,自由与开源软件 Cocos Creator 3.0 预 ...

  • 企业快速开放平台脚手架:SpringCloud+SpringBoot+Mybatis+Oauth2分布式微服务云企业架构源码-项目模块介绍

    Commonservice(通用服务) 通用服务:对spring Cloud组件的使用&封装,是一套完整的针对于分布式微服务云架构的解决方案.如:注册中心.配置中心.网关中心.监控中心.认证中 ...

  • 后量子时代进行中,1000亿美元法案即将颠覆美国国家科学基金会

    美国国会正在考虑新的立法,可能会改变美国国家科学基金会 (NSF) 的结构.鉴于NSF负责资助美国的大部分研究,所以新的立法可能会导致NSF分配其研究资金的方式发生重大转变,而这种转变可能会对美国科研 ...

  • 云原生初学者入门必读

    近年来腾讯.阿里巴巴.华为.网易.百度等大厂,中国信通院.各大技术大会和社区都在推广的云原生究竟如何入门?本文是入门向,适合所有想要入门云原生的新人阅读.另外,云原生社区还发布过一篇投资人视角下的云原 ...

  • 代码之旅:基础规范

    在设计架构的时候,要考虑由下而上的模式,底层的实践最终会影响整个系统的架构.再好的架构,如果没有辅以有效的工程实践,那么最终我们得到的只是一只空有其表的架构方案.能自下而上影响软件架构的,就只有代码了 ...

  • 云深互联陈本峰谈零信任架构的3大核心技术

    "零信任"自从2010年被Forrester分析师约翰·金德维格正式提出到现在已有十年的历史,在这十年中"零信任"一直都是安全圈内众人不断争议和讨论的对象,有人 ...

  • DISA发布国防部零信任参考架构

    全文约1800字  5图表  阅读约5分钟 美国国防信息系统局(DISA)于5月13日在其官网宣布公开发布初始国防部(DoD)零信任参考架构,旨在为国防部增强网络安全并在数字战场上保持信息优势.而就在 ...

  • 英国国家网络安全中心:零信任架构设计原则(一)

    0.零信任简介 零信任架构是一种系统设计方法,其中消除了对网络的固有信任. 相反,假设网络是敌对的,并且每个访问请求都根据访问策略进行验证. 对请求可信度的置信度是通过构建上下文来实现的,而上下文又依 ...

  • 英国国家网络安全中心:零信任架构设计原则(二)

    4.零信任架构设计原则:使用策略来授权请求 每个对数据或服务的请求都应根据策略进行授权. 介绍 零信任架构的强大之处在于您定义的访问策略.政策还有助于促进与来宾用户或合作伙伴组织的数据或服务的风险管理 ...

  • 苹果发布iOS 14.4.1正式版,官方建议都升级!

    明美无限 果粉关注不迷路! 文|明美无限 今天凌晨苹果推送了 iOS 14.4.1 正式版更新,距离上次正式版更新已有一个多月之隔,新系统版本号为 18D61. 此次同 iOS 14.4.1(18D6 ...

  • 苹果发布iOS 13.6.1正式版,你更新了吗?

    明美无限 果粉关注不迷路! 文|明美无限 相信有一直关注明美无限至今的果粉们应该都清楚,之前iOS 14测试版因为API接口问题导致大量游戏闪退,一度被推上热搜,虽然会在下个版本修复,但测试版不够稳定 ...

  • 苹果突然发布iOS 12.3.1正式版,这次为何没有测试版?

    明美无限 果粉关注不迷路! 文|明美无限 进入到2019年的五月份下旬,除了天气越来越热以外,我们广大的果粉们最为期待的苹果公司全球开发者大会也即将要如火如荼的举行. 说起这次的苹果全球开发者大会,相 ...

  • iOS 13.1 更新发布,这才是正式版

    果粉俱乐部 让科技更好的服务生活 点击上方「蓝字」加入我们 在 iOS 13 系统推送一周之后,苹果在今天凌晨又发布了 iOS 13.1 的正式版更新. iOS 13.1 正式版的版本号为 17A84 ...

  • 苹果发布 iOS 11.2.2 正式版更新,修复 Spectre 芯片漏洞

    果粉俱乐部 让科技更好的服务生活 点击上方「蓝字」加入我们 苹果在本周二(1月9号)的例行系统更新日发布了 iOS 11.2.2 正式版更新,本来按照正常节奏,苹果应该发布 iOS 11.2.5 Be ...