万字长文｜基于DoDAF全面解读《（美）国防部（DOD）零信任参考架构》

本文 9957字   阅读约需28分钟

奇安信身份安全实验室基于美军队体系结构描述方法DoDAF，对美国防部零信任参考架构进行了解读，展示了架构的高层视角，能力视角和作战视角。

美国国防信息系统局（DISA）在2021年2月发布了《（美）国防部零信任参考结构》的1.0版，于2021年5月13日在线上公开全文。1.5版的预计发布时间在2022年。

该报告开篇即明确: 美国防部（DoD）下一代的网络安全架构将基于零信任原则，以数据为中心进行建设。其认为实施零信任是保护基础设施、网络和数据的一次巨大的安全范式转变。即：从信任的网络、设备、人员、进程的观念转变为基于多属性分析、多检查点判定的信任级别授权，具备在最少特权访问理念下身份验证和授权策略访问能力。

美国防部2022 年拟议预算显示，政府将大力推动零信任安全，资金将向更具防御性的网络安全措施倾斜，特别提到在实施零信任架构的新项目中拟投入6.15亿美元。

同样是在2021年5月，拜登政府发布加强国家网络安全的行政命令，明确指示联邦政府各机构实施零信任方法。在过去两年中，美国政府接连投入技术资源、人力、以及巨额资金，零信任在其网络安全战略中的地位，不言自明。

《（美）国防部零信任参考架构》共分五章以及附录。该参考架构首先介绍其目的、背景、方法等内容。其次，讨论零信任的核心概念及原则，并提供了零信任支柱的一些细节信息。参考架构所使用的标准由标准配置表（StdV-1）一一列出，标准预测表（StdV-2）描述标准的使用等级。紧接着，参考架构通过多级别DoDAF视角切入，介绍并讨论了美国防部网络环境下零信任架构的能力以及应用场景等。

值得注意的是，该参考体系架构采用了DoDAF（类似ToGAF）美军队体系结构描述方法。零信任的原则虽然看似简单，但实际实现和操作层面却很复杂繁琐，涉及了SDN、数据打标、行为分析、访问控制、策略编排、加密、自动化、ICAM等多个领域。为准确描述架构中这些巧妙集成的领域，该报告故而采用了与国防部信息企业架构(IEA)一致的架构描述方法，即DoDAF。

在此需要注明的是，该报告中有几张示意图出现了空白，文中涉及的一些视角和信息在图中并未显示完整，有可能是因为生成或上传PDF文件时出现了一点问题。当然也不排除是有意设置了一些信息屏蔽与脱敏，个中缘由我们暂时无法知晓了。但为保持与原稿一致，在本文中还是遵从原文件进行展示。

全文按照美军队体系结构描述方法的角度切入对零信任架构的理解，可以更好的理解零信任架构的预期目标、架构中各能力组成及关系，以及数据流转、应用场景的活动。

国防部体系结构框架 (DoDAF¹) 由美国防部开发，经历不断版本改进，现在DoDAF V2.0版应用比较广泛（2009年5月推出）。

DoDAF以“数据为中心”设计开发，主要目的是提供决策数据。强调组成产品的体系结构数据元素，而不只是体系结构产品。在这一点上与零信任架构的以数据为中心原则，也是符合的。

DoDAF提供的是一种体系架构描述方法，而不是体系架构设计方法。DoDAF确保架构描述可比较、评估，为复杂系统的理解、比较、集成和互操作提供共同的架构基础，它可用于涵盖美国防部 (DoD) 作战领域和业务领域所有项目的顶层设计，甚至可以用于创建跨越国界和组织的IT系统架构。

DoDAF中的体系架构框架主要分为视角（Viewpoints）及对应模型（Models）。视角（Viewpoints）描述了如何通过适当的架构或模板构造和使用该组内的视角，表达和分析的建模技术信息以及这些选择的依据；模型（Models）指用于收集数据的模板。

DoDAF V2.0中包含了8类视角，分别是全景视角、能力视角、数据和信息视角、作战视角、项目视角、服务视角、标准视角与系统视角，其结构如下图所示。 

《（美）国防部零信任参考架构》中提及的有：全景视角(AV)，作战视角(OV)，能力视角(CV)，标准视角(StdV)。报告中明确了美国防部零信任参考架构由哪些视角组成，及这些视角功能和每个视角内或跨视角的关联性。

该报告未包含的视角有：

• 项目视角（PV）：如何有序组织相关联的采购项目等；

• 服务视角（SvcV）：为作战能力提供支撑的系统、服务策略；

• 数据和信息视角（DIV）：描述体系结构中与信息交换相关的内容，诸如属性、特征和相互关系等；

• 系统视角（SV）：支撑作战能力的系统、系统之间交互关系以及系统功能等。

  
  

3.1 全景视角All Viewpoint（AV） 

全景视角AV是与所有视角相关的体系结构描述的顶层概貌，提供有关体系结构描述的总体信息，比如，体系结构描述的范围和背景。

在《零信任参考架构》中，AV-1概述和摘要信息虽没有显性表述，但是1.1概述以及1.2目标章节归纳总结了DoD实施零信任体系架构的范围和背景。《零信任参考架构》的第5章则是AV-2综合词典。

3.1.1 概述和摘要信息AV-1

《（美）国防部零信任参考架构》严格遵循了零信任的“永不信任，始终验证”理念。

DoD实施零信任的意义，是为实现保护基础设施、网络以及数据的安全范式巨大转变：从传统边界防护的一次验证，转变为对每个用户、设备、应用程序和事务的持续验证。

零信任架构的背景延续了2018年网络战略（2018 DoD Cyber Strategy）以及2019年数字现代化战略（2019 DoD Digital Modernization Strategy）的相关内容。该体系架构由DoD零信任工程团队开发，通过应用“零信任”对国防部现有网络安全能力和资源进行整合，重新排列优先级，并保持可用性；最小化身份验证时间的延迟度，从而达成国防部首席信息官“更安全、协调、无缝、透明、高效信息的架构”的愿景。

该参考架构与国防部其他领域的参考体系架构在目的和定义上保持一致，即参考体系结构是关于特定主题领域的权威信息来源，该领域指导和约束多个体系结构和解决方案的实例化。通俗的理解：设计定义清楚，便于指导工程化落地实施。

为了指导落地且便于作为实施参考，该参考体系结构中所提及的术语和内容与国防部信息企业架构(IEA)一致。构建中所需要使用的单个产品的标准、功能都一一说明，这样可以保持跨服务、松散耦合，以最大限度地提高互操作性；同时，也能够更灵活地选择不同供应商的套件，不求最好、力求成功地推进信息网络的建设，最终达成零信任能力的集成。

3.1.2 综合词典AV-2

以表格的形式定义“参考架构”中的总体术语、CV-6中使用的活动、CV-7中使用的服务以及文档中使用的首字母缩写列表。零信任中常见的术语名称，如“属性”、“ABAC”、“微边界”、“微分段”等均有涉及。在架构的第5章，可作为查阅参考。

3.2 能力视角 Capability Viewpoint（CV）

能力视角CV是集中反映与整体构想相关的、在特定标准和条件下进行行动或达成期望效果的能力，为体系结构描述中阐述的能力提供了战略背景和相应的高层范围，方便决策者理解。

文中能力视角主要体现在:

• 1.4.1节CV-1 构想；

• 1.4.3节 CV-2能力分类；

• 4.1 能力依赖CV-4；

• 4.2节能力与作战活动的映射 CV-6；

• 4.3节能力与服务的映射CV-7；

该版本移除了CV-3能力时段，且不包含CV-5能力与组织部署的映射。

3.2.1 构想CV-1

CV-1是描述在一定时期内所具备零信任能力的战略构想。确定了零信任架构的关键目标和输出物。CV1与CV-2能力分类一起使用，为描述零信任未来愿景提供能力基础。最终实现的高层目标：

1）实现现代化信息企业架构。解决在逻辑上、技术上、和组织结构上存在　的问题，实现并建立一个全面、动态和接近实时的通用操作视图；

2）简化安全架构。解决内部和横向威胁，提升响应速度和用户体验度；

3）生成内外网一致的访问策略。

4）优化数据管理。提升数据质量，特别是结构化数据和标签数据的管理。

5）提供动态认证和授权。增加动态、上下文感知、来自不同源的身份认证机制（包括人与非人）。

关于认证授权可以参阅国防部身份认证、访问管理（Defense Enterprise Identity, Credential, and Access Management，ICAM）的设计。

ICAM提及了以下几点：

1）基于风险的决策；

2）基于多属性的信任级别；

3）最小特权访问；

4）将持续的多因素认证、微分割、加密、端点安全、分析和鲁棒审计，融入到DAAS的７大零信任支柱中实现，以提供网络弹性；

5）提高终端用户在基础架构、应用和数据使用中的可见性、控制和风险分析能力。

3.2.2 能力分类CV-2

能力分类(CV-2)是一个功能层次结构，它指定在整个体系结构描述中引用的所有功能。为解决方案体系结构提供参考功能。CV-2的功能围绕着零信任7大支柱展开，即：用户、设备、网络/环境、应用程序/工作负载、数据、可见性与分析以及自动化与编排。在附录A给出了CV-2中各能力的定义，但是具体的功能详细描述信息在附录D中，但由于该文档并不包含附录D，故无法查阅详情。

  能力分类（CV-2)

其中，蓝色方框表示每个功能节点，包括功能名称和表示该功能在层次结构中的位置编号。Z1至Z7是根节点能力（即七大支柱）。CV-2还描述了零信任能力与国防部Information Enterprise Architecture，IEA能力（T1到T8，绿色的节点）之间的高层连接。

用户功能：含认证、授权、特权账号管理(PAM)；

设备功能：含设备认证、设备授权、合规性要求；

网络/环境功能：SDN，宏分段(Macro Segmentation网络分段)；

应用/工作负载功能：软件定义计算(SDC)，DevSecOps(DSO²)，软件供应链，应用交付，微分段(Micro Segmentation 应用分段)；

数据功能：软件定义存储(SDS)，数据打标，数据防泄漏(DLP)，数据版权管理（DRM）；

可视化与分析功能：发现与基线建立³，安全与信息事件管理(SEIM)，机器学习；

自动化和编排能力：API标准，风险响应，安全编排与自动化响应(SOAR)，人工智能。

参阅附录D查找数据打标，机器学习和人工智能等方面内容，对于理解美国防部的功能具有很高的参考价值。

3.2.3 能力依赖CV-4

CV-4描述了在体系架构中，所有应具备的计划能力之间的依赖关系，并且定义了功能的逻辑分组。即，能力是如何进行合乎逻辑的划分，且分析了功能间的依赖关系，指导能力管理。如下图所示：

图中每个蓝色方框框是CV-2中定义的能力，红色连线说明需求关系。如：“用户认证能力”是需要“身份基础服务能力”来提供支撑。绿色连线是说明支撑关系，如：“特权访问管理能力”支持“微分段能力”，“微分段能力”支持“数据防泄漏DLP能力”，紫色的连线是管理关系。如：“SOAR”是对整个左侧虚线框中的能力进行管理（以下发策略来实施管理）

3.2.4 能力与作战活动的映射CV-6

CV-6描述了所需功能和启用功能所需的作战活动两者之间的映射。即，如何使用在CV视角中定义的各种能力要素来执行作战视角OV中所描述的作战活动（应用场景）。活动映射的能力可以包含活动能完全满足所需能力的情况以及活动仅部分满足能力需求的情况。

参考架构文档是通过表格的方式来显示零信任支柱中的能力（第1列“功能”），功能定义（第2列“定义”）以及主要功能相关的活动，三者间的关系。如下图所示：

  作战活动的能力模型示例

软件供应链能力，是能够验证用于构建应用程序的二进制代码、库或源代码的安全性的能力。涉及到A2.8，A2.8.1,A2.8.2等内容，可以在AV-2词典（第5章）查找对应的CV-6活动名词解释。如下图：

 活动定义示例

3.2.5能力与服务的映射CV-7

CV-7描述了所需功能与启用功能所需服务之间的映射，确保服务与所需的功能相匹配是很重要的。CV-7确定了如何使用CV-2中定义的各种功能来执行服务。服务映射的能力可以包括服务完全满足所需能力的情况和服务仅部分满足能力需求的情况。该映射关系与上述CV-6与CV-2的映射方式类似。如下图所示：

参考架构文档同样通过表格的方式来显示零信任支柱中的能力（第1列“功能”），功能定义（第2列“定义”）以及主要功能相关的服务这三者间的关系。

 服务的能力映射示例

软件供应链能力，是能够验证用于构建应用程序的二进制代码、库或源代码的安全性的能力。涉及S2.1.1，S2.1.2,S2.1.3等内容，可以在文档中AV-2词典（第5章）查找对应的SV服务名词解释。如下图：

 服务定义示例

3.3 作战视角 Operational Viewpoint（OV）

作战视角OV集中反映了执行作战所需的任务、活动、作战要素和资源流交换等。分别体现在第1.5节 顶层作战概念OV-1，第4.4节作战资源流描述OV-2，第4.5节作战活动描述OV-5b。

3.3.1 顶层作战概念OV-1

OV-1提供了关于如何在体系结构中实施安全措施的作战概念，向高层决策者传达核心操作和功能概念。即：描述零信任体系架构要做什么以及如何去做，提供了所有关键零信任架构元素简明扼要的描述。如下图所示。对OV-1图，我们采用从上到下，从左到右，沿逻辑方向箭头的顺序进行分析。文中所涉及的功能组件，是可选的，并不要求完全具备。

 DoD零信任顶层作战概念

• 非人实体（NPE）与人员实体（PE），被区分看待，且具有各自独立的信任等级。

• 身份验证和授权决策(Client and Identity Assurance)：类似访问代理中的身份验证与授权策略执行点。

• 数据中心(Data-Centric Enterprise)：类似决策评估点（PDP）的集合体。有资源授权决策点，具备宏分段、应用程序交付代理，为应用程序访问加速；应用授权决策点，具备微分段，DevSecOps Application Development；数据授权决策点，具备DLP，DRM能力。还有数据打标。

• 动态访问控制平面与决策引擎(Dynamic Access Control Plane)。有集合策略部署，终端探测与响应EDR，用户活动监测（UAM）功能的SOAR；接收来自SIEM的属性数据的信任，进行实体行为分析的评估引擎Analysis & Confidence Scoring；安全信息和事件管理的SIEM，多个策略执行点上的日志数据会被输入到SIEM，进行分析和信任评估。为访问决策提供实体行为分析的上下文。

• 美国防部的身份基础设施(Enterprise Identity Service)，Defense Enterprise Identity, Credential, and Access Management，ICAM组件。包括：身份提供程序(IDP)、自动帐户设置(AAP ，身份治理服务)和主用户记录(MUR，审计和汇总报告)。

参考架构划分了低、中、高三个实施阶段。在设计零信任体系结构之前，必须实现符合现有IT安全策略和标准的基线保护级别。能力成熟度模型如下图所示：

  零信任成熟度模型

实施零信任首先应发现和评估任务。发现任务时，将识别有关体系结构中的访问和授权活动的数据。必须能够确定工作负载、网络、设备和用户之间的关系。可以理解是对现状中硬件、软件、网络、数据等资源摸底，对整体安全状况的评估。

低级阶段：访问资源(Data, Applications, Assets, Services，DAAS)需要由网络安全策略决定；通过IT安全策略来管理设备；MFA多因子认证；核心关键数据分类和打标；满足加密需要；

中级阶段：通过细粒度的身份属性来增强网络安全访问策略；微分段已经广泛在网络中使用；只有人实体身份服务基础设施。通过流量分析来为数据打标和分类；使用UEBA来开发基线策略；

高级阶段：通过近实时分析来完成资源的动态访问；完全的微分段；持续的自适应认证和授权；有人和非人实体的身份基础设施；及时、恰到好处（JEA和JIT）完全实现；通过机器学习完成对大部分数据打标和分类；基于数据标签的DLP和DRM的完全实现；基于高级分析自动化编排和威胁检测。

DoD零信任架构7大支柱的划分是CV-2能力分类的另一种解读，与Forrester零信任扩展（ZTX）生态的7大支柱划分情况一致。

这7大支柱中定义的能力和子能力反映了适用于零信任的当前技术以及未来零信任参考体系结构迭代的变化，这种分层方法有助于实现零信任组件的灵活性。如下图所示。

“用户”支柱下的能力：人员实体的ICAM的身份基础设施，多因子认证（MFA），持续多因子认证（CMFA)⁴ RBAC和ABAC同时应用。

“设备”支柱下的能力：具备对设备识别、身份验证、授权、库管、隔离、安全加固以及控制的能力。其中，实时认证和修复加固是关键能力。

“网络/环境”支柱下的能力：宏分段和微隔离。

“应用和工作负载”支柱下的能力：应用程序，计算容器和虚拟机的保护和管理。以及带源码审查，公共组件库的管理。

“数据”支柱下的能力：简而言之就是数据的分级分类，及策略管理。

“可见化与分析”支柱下的能力：基于上下文的行为，活动分析，增强异常行为可见化，提供动态安全策略和实施访问决策的动态变化能力。而网络流量的分析也将深入到数据包级别，观察与发现威胁。

“自动化和编排”支柱下的能力：整个企业中采取快速和规模化，基于策略的行动。利用SOAR减少响应时间。通过集成了SIEM的安全编排，来管理各独立的安全系统。

3.3.2 作战资源流描述OV-2

定义零信任架构下作战上下文的能力。分为策略流，如下图所示：

  作战资源流描述——策略

认证流程，如下图所示：

 作战资源流程描述——认证

认证的执行流程，大致分析如下：

1.    策略授权部署向各类资源实体下发认证策略；

2.    通过最底层的身份基础服务完成认证；

3.    身份基础服务返回认证确认。

3.3.3 作战活动描述OV-5b

作战活动图是对完成使命或任务所需的作战活动以及作战活动之间关系的描述。在4.5章，OV-5b包含全面的日志记录、分析以及策略自动化部分。通过安全数据的收集，将完成实体活动分析，包括与基线的对比，形成资源访问策略，再将策略分发给策略执行点。以此来发现和确定异常行为者，并聚焦策略变化。换句话说，我们可以将它理解为应用场景分析，包含场景有简单认证请求场景、设备合规性场景、用户分析场景、数据版权管理场景（DRM）、宏分段场景、微分段场景、特权访问场景以及应用交付场景。这些场景并未涵盖零信任活动的所有场景，且每个场景中的功能也只使用了零信任架构所涉及功能的子集。

该模型还可以使用泳道图的方式来描述。建立活动及活动间的输入输出关系，通过泳道划分组织和角色（即架构中的功能组件/服务/模块等），这样与OV-4（在架构中未提及）中的组织、角色就建立了关联。同时，泳道内部的作战活动即分配给了对应组织或角色。

但该模型下几乎所有的场景描述图，都存在关键信息屏蔽，对场景的理解有很大的影响。

• 简单认证请求场景

该场景是对CAC（身份管理卡）的认证场景描述。插卡后，识别身份并验证是否通过，然后决定放行或拒绝。所有操作日志都将汇聚到分析引擎进行分析，并生成访问策略。若在最初身份识别时发现为非法用户（身份源来确定），那么访问就高度受限，甚至将该用户引导至蜜罐。具体的场景流程描述，如下图所示。

作战活动模型——认证请求

• 设备合规性场景

检查并设置设备合规性满足要求的场景。

第1步，本地安全代理收集设备当前配置，然后来启动设备合规性检查。

第2步，合规代理将设备的当前配置发送到补丁程序环境，根据当前可接受的基线配置进行检查。检查是否合规，若不满足就打补丁加固，再检查。

第3步，如果无法通过打补丁加固，则由策略执行点根据策略决定是否允许其继续在线或强制下线。在满足所有检查要求且基线配置也在可接受状态时，才能基于策略允许其访问。

同样，所有操作日志都将汇聚到分析引擎进行分析，并生成访问策略。如下图所示：

作战活动模型——设备合规

• 用户分析场景

描述用户行为数据分析并实施分析结果的场景。

首先，用户历史行为和当前用户活动数据都将发送给分析引擎进行分析。

然后，将用户的历史和当前行为数据与全局基线或异常活动指标进行比较，作出用户行为的信任度评分。

再次，整个信任度评分会一直附着在用户上，且访问的权限依赖于信任度评分，贯穿其网络访问的全过程，同时还在在后台持续的对其访问行为进行监测，分析。一旦出现降低用户信任度评分的访问行为，且低于阈值，则可以拒绝用户访问资源。与此同时，需甄别是否为恶意行为，若为非恶意行为，则提醒用户行为和信任度评分达不到阈值；若被判为恶意行为，则根据访问的操作、行为和访问资源，实施不同的处理程序。

同样所有操作日志都将汇聚到分析引擎进行分析，并生成访问策略。如下图所示：

  作战活动模型——用户分析

• 数据版权管理场景（DRM）

描述用户访问加密（受限）文件的场景。

第1步，位于终端的DRM系统检查缓存中是否存在密钥，检查密钥是否有效。若有效，则使用应用的权限和功能打开加密文件；若无效或缓存密钥不存在则向密钥存储系统发起新请求。

第2步，访问请求将被发送给DRM管理器以进行访问评估。如果DRM管理器确定用户不满足访问文件的要求，则拒绝用户访问并告知。如果确定用户信誉良好，则请求发送到密钥存储。

第3步，密钥存储系统会根据用户的策略生成一个新的临时密钥，然后分发带有使用用户的可访问权限和功能的密钥。用户基于提供的访问权限和功能的限制下，打开文件。

同样所有的行为都会被记录并发送给SIEM，且通过SOAR提供实时策略访问决策。如下图所示：

作战活动模型——数据版权管理

• 宏分段场景

实体请求访问网络资源的场景。

代理/策略执行点会检查设备的属性、行为和其他数据，以确保正确的策略执行。如果代理/策略执行点发现该设备符合要求或接受访问行为，则允许访问，否则拒绝。

 作战活动模型——宏分段

• 微分段场景

从下图中可以看出，微分段会首先从应用程序服务器侧的数据库查询访问，发起资源请求访问，在策略执行点进行流程通信检查是否可接受，依次进行原始进程的所有者的身份验证检查，使用正确的协议检查，使用位置检查。任一元素策略检查无效，则拒绝访问并日志记录。但图中一些关键信息被屏蔽，无法进一步理解。

• 特权访问场景

用户使用自身的凭证申请提权访问场景；

策略执行点验证用户的凭据、权限和行为是否符合要求，不符合就拒绝访问；如果符合，那么代理会创建一个提权访问的会话，凭据存储库标识会话所需的正确访问级别。用户会从代理上获取会话访问的权限，用户会话的全过程都会被实时监控和日志记录。一旦用户退出会话，代理将结束会话并通知凭据存储库，凭据存储库收回销毁提权凭据。整个过程的所有操作日志都将汇聚到分析引擎进行分析，并生成访问策略。

 作战活动模型——特权访问

• 应用访问场景

用户请求访问Web应用程序的场景。

首先，检查设备和用户身份，然后记录访问日志；后台根据接受的日志，进行一日志分析，生成策略及策略分发和执行策略。设置了策略部署后，将会执行分割策略、用户策略执行、最后执行UEBA策略。符合要求则允许访问，否则拒绝访问。

  作战活动模型——应用程序交付

3.4 标准视角Standard Viewpoint（StdV）

用来管理系统各组成部分或要素的编排、交互和相互依赖的规则的最小集，目的是确保系统能满足特定的作战能力。分别体现在第3.1节标准概要StdV-1，第3.2节标准预测StdV-2。可以理解为描述开发和落地时应遵循什么标准，思路清晰不宜跑偏。

3.4.1标准概要StdV-1

StdV-1将技术标准（TECH）、相关法律法规及政策（LRP）以及战术、技巧和程序（TTP）以表格形式列出，详细说明了适用于每个零信任支柱中能力元素的标准。表格中绝大部分属于技术标准。比如下图中LDAP的描述：

  标准的描述示例

“5”是表格中项的序号，“IETF RFC 4511”是标准标识符，“Lightweight Directory Access Protocol(LDAP). June 2006”，是标准名称;  文字说明部分是标准摘要；最后一列是标准类型，即技术标准。

3.4.2 标准预测StdV-2

StdV-2详细说明了映射到零信任支柱内每个功能的技术相关标准、作战（应用场景）标准、或业务标准（约定）的状态，s即表格中的最后一列。StdV-2更具象性，针对某个支柱的某个能力映射，告知应参考的标准。

新兴执行标准（Emerging）：可在实践中采用，但不得用于代替强制执行标准。新兴执行标准预计将在3年内提升到强制状态。在表格中很少，大部分都是强制执行标准。

强制执行标准（Mandated）：即在标准选择时必须考虑。该标准是管理、开发和融合新或升级国防部系统的强制执行标准。

如下图，第一列是“用户”支柱，映射到该支柱下的认证、授权能力，标准标识是SAML 2.0 OASIS，其名称是Assertions and Protocols for the OASIS Security Assertion Markup Language(SAML)，状态为Mandated强制执行。

激活状态（Activate）：或称之为信息指南，所提供的文件是进一步阐明标准和确定相关政策和程序的方法。文档类型包括与IT相关的最佳实践、信息标准、手册、策略、程序和手册。政策并不强制要求引用或使用这些文件。

如下图，第一列是“设备”支柱，映射到该支柱下的合规性能力，标准标识是NIST SP 800-160 Volume，其名称是Developing Cyber Resilient Systems: A System Security Engineering Approach，状态为Activate。

本文基于美军队体系结构描述方法DoDAF对零信任参考架构进行了解读，对架构的高层视角，能力视角，作战视角有了初步的认识和理解。

该报告为国防部大规模采用零信任设定了战略目的、原则、相关标准等方面，旨在增强美国国防部的网络安全并保持美国军方在数字化背景下的信息优势。

该零信任参考架构报告长达170页，其对零信任的战略传播视角、以及对于网络安全产业发展的指导意义十分巨大。

但在企业机构自身零信任实际落地过程中，可能很难遵照该报告进行一步步迁移，我们自己在做实践的时候，仍需因地制宜，而不能生硬照搬。

附注：

1. 美国国防部体系架构框架 (DoDAF) 解读  https://www.secrss.com/articles/18604

2. 美国防部使用的一套通过在软件开发生命周期的每个阶段以及技术堆栈的每个层中插入安全实践和控件的软件自动化工具、服务和标准。实现应用程序在开发、部署和操作上的安全性、灵活性和可互操作性。可参见《国防部企业DevSecOps战略指南》https://www.secrss.com/articles/31588

3. 与IT物理基础设施环境，如机房管理相关

4. 持续多因子认证（CMFA）：通过设备上的感知组件或其他感知组件持续监控用户生物行为模式如（击键行为、鼠标滑动模、步态等），挖掘行为模式检测异常，是一种利用大数据行为分析的隐式认证技术。