行业动态 | 网络安全架构《零信任架构》NIST标准正式版发布

  • A+
所属分类:云安全

行业动态 | 网络安全架构《零信任架构》NIST标准正式版发布

全文约3500字  阅读约10分钟


等了好久!
《零信任架构》NIST标准正式版美国时间8月11日发布
笔者针对《零信任架构》的正式版和第2版草案这两版本,进行了两个方面的对比:一是仔细对比目录;二是粗略对比内容。
经过对比得到的结论是:《零信任架构》正式版的内容与第2版草案的变化不大
下载说明:需要《零信任架构》(英文版)的读者,请关注“网络安全观”公众号,并在公众号后台输入文字“ZTA标准”。



一、目录对比


话不多说,直接将正式版与第2版草案的目录进行对比:

第2版草案

正式版

摘要


1 简介

1.1 与联邦机构有关的零信任工作的历史

1.2 本文档的结构

1 简介

1.1 与联邦机构有关的零信任工作的历史

1.2 本文档的结构

2 零信任基础

2.1 零信任原则

2.2 网络的零信任视图

2.2.1 针对企业自有网络基础设施的假设

2.2.2 针对非企业自有网络基础设施的假设

2 零信任基础

2.1 零信任原则

2.2 网络的零信任视图

 

3 零信任架构的逻辑组件

3.1 零信任架构方法的变体

3.1.1 使用增强身份治理的ZTA

3.1.2 使用微分段的ZTA

3.1.3 使用网络基础设施和软件定义边界的ZTA

3.2 抽象架构的部署变体

3.2.1 基于设备代理/网关的部署

3.2.2 基于飞地的部署

3.2.3 基于资源门户的部署

3.2.4 设备应用程序沙箱

3.3 信任算法

3.3.1 信任算法的变体

3.4 网络/环境组件

3.4.1 支持ZTA的网络需求

3 零信任架构的逻辑组件

3.1 零信任架构方法的变体

3.1.1 使用增强身份治理的ZTA

3.1.2 使用微分段的ZTA

3.1.3 使用网络基础设施和软件定义边界的ZTA

3.2 抽象架构的部署变体

3.2.1 基于设备代理/网关的部署

3.2.2 基于飞地的部署

3.2.3 基于资源门户的部署

3.2.4 设备应用程序沙箱

3.3 信任算法

3.3.1 信任算法的变体

3.4 网络/环境组件

3.4.1 支持ZTA的网络需求

4 部署场景/用例

4.1 拥有分支设施的企业

4.2 多云企业

4.3 提供外包服务和/或非员工访问的企业

4.4 跨企业边界的协作

4.5 提供面向公众或客户服务的企业

4 部署场景/用例

4.1 拥有分支设施的企业

4.2 多云/云到云的企业

4.3 提供外包服务和/或非员工访问的企业

4.4 跨企业边界的协作

4.5 提供面向公众或客户服务的企业

5 与零信任架构相关的威胁

5.1 ZTA决策过程的受损

5.2 拒绝服务或网络中断

5.3 被盗凭证/内部威胁

5.4 网络可见性

5.5 网络信息的存储

5.6 对专有数据格式的依赖

5.7 在ZTA管理中非个人实体(NPE)的使用

5 与零信任架构相关的威胁

5.1 ZTA决策过程的受损

5.2 拒绝服务或网络中断

5.3 被盗凭证/内部威胁

5.4 网络可见性

5.5 系统和网络信息的存储

5.6 对专有数据格式或解决方案的依赖

5.7 在ZTA管理中非个人实体(NPE)的使用

6 零信任架构与现有联邦指南的可能交互

6.1 ZTA和NIST风险管理框架

6.2 ZT和NIST隐私框架

6.3 ZTA和联邦身份、凭证和访问管理(FICAM)架构

6.4 ZTA和可信Internet连接(TIC)3.0

6.5 ZTA和爱因斯坦(NCPS-国家网络安全保护系统)

6.6 ZTA和DHS持续诊断和缓解(CDM)计划

6.7 ZTA、云智能和联邦数据战略

6 零信任架构与现有联邦指南的可能交互

6.1 ZTA和NIST风险管理框架

6.2 零信任和NIST隐私框架

6.3 ZTA和联邦身份、凭证和访问管理(FICAM)架构

6.4 ZTA和可信互联网连接(TIC)3.0

6.5 ZTA和爱因斯坦(NCPS-国家网络安全保护系统)

6.6 ZTA和DHS持续诊断和缓解(CDM)计划

6.7 ZTA、云智能和联邦数据战略

7 迁移到零信任架构

7.1 纯零信任架构

7.2 混合ZTA和基于边界架构

7.3 将ZTA引入基于边界架构网络的步骤

7.3.1 识别企业中的参与者

7.3.2 识别企业拥有的资产

7.3.3 识别关键流程并评估与执行流程相关的风险

7.3.4 为ZTA候选制定策略

7.3.5 识别候选解决方案

7.3.6 初始部署和监控

7.3.7 扩展ZTA

7迁移到零信任架构

7.1 纯零信任架构

7.2 混合ZTA和基于边界架构

7.3 将ZTA引入基于边界架构网络的步骤

7.3.1 识别企业中的参与者

7.3.2 识别企业拥有的资产

7.3.3 识别关键流程并评估与执行流程相关的风险

7.3.4 为ZTA候选制定策略

7.3.5 识别候选解决方案

7.3.6 初始部署和监控

7.3.7 扩大ZTA

参考文献

附录A-缩略语

附录B-已识别的ZTA当前技术水平的差距

B.1 技术调查

B.2 阻碍立即转移至ZTA的差距

B.2.1 缺乏ZTA设计、规划和采购的通用术语

B.2.2 以为ZTA与现有联邦网络安全政策相冲突

B.3 影响ZTA的系统性差距

B.3.3 组件间接口的标准化

B.3.4 解决过度依赖专有API的新兴标准

B.4 ZTA的知识差距和未来研究领域

B.4.5 攻击者对ZTA的回应

B.4.6 ZTA环境中的用户体验

B.4.7 ZTA应对企业和网络中断的弹性

B.5 ZTA测试环境

B.6 参考

参考文献

附录A-缩略语

附录B-已识别的ZTA当前技术水平的差距

B.1 技术调查

B.2 阻碍立即转移到ZTA的差距

B.2.1 缺乏ZTA设计、规划和采购的通用术语

B.2.2 以为ZTA与现有联邦网络安全政策相冲突

B.3 影响ZTA的系统性差距

B.3.3 部件间接口的标准化

B.3.4 解决过度依赖专利API的新兴标准

B.4 ZTA的知识差距和未来研究领域

B.4.5 攻击者对ZTA的回应

B.4.6 ZTA环境中的用户体验

B.4.7 ZTA对企业和网络中断的弹性

B.5参考

图片列表

图1:零信任访问

图2:核心零信任逻辑组件

图3:设备代理/网关模型

图4:飞地网关模型

图5:资源门户模型

图6:应用程序沙箱

图7:信任算法输入

图8:拥有远程员工的企业

图9:多云用例

图10:非员工访问的企业

图11:跨企业协作

图12:ZTA部署周期

图片列表

图1:零信任访问

图2:核心零信任逻辑组件

图3:设备代理/网关模型

图4:飞地网关模型

图5:资源门户模型

图6:应用程序沙箱

图7:信任算法输入

图8:拥有远程员工的企业

图9:多云用例

图10:非员工访问的企业

图11:跨企业协作

图12:ZTA部署周期

表格列表

表B-1:确定的部署差距汇总

表格列表

表B-1:确定的部署差距汇总

表-正式版与第2版草案的目录对比

其中,红色字体标注了目录的所有不同之处。

目录对比结果显示:目录差异很小目录的主要变化在于

  1. 删除了2.2.1(针对企业自有网络基础设施的假设)和2.2.2(针对非企业自有网络基础设施的假设)。但实际上,对比两个版本的具体内容之后可以发现,只是删除了这两个子标题的名称,而这两个子标题的内容都保留了下来,整合到了一起。简而言之,只是结构调整,内容没有本质变化。

  2. 删除了B.5(ZTA测试环境):其实在第2版草案中,这一节就一句话:“TBD-描述NCCoE 测试实验室和要执行的测试。” 删除这一小节,几乎没有什么影响。而且,笔者在之前的《美国网络安全 | NIST网络安全实践指南系列》中,专门对NCCoE这个机构及其网络安全实践指南系列做了介绍。大家自认也就不会陌生了。

  3. 另有几个小节的名称发生了变化:主要是在标题名称中增加了几个词语,并未大幅改动该小节的主要内容。




二、内容对比


仅仅对比内容,可能说服力还不够。
笔者又快速翻译了英文全文(全文约4万字),然后针对《零信任架构》的正式版和第2版草案这两个中文版,进行了全文粗略对比。
对比的结果是:正文内容的段落排版几乎一致,所有段落内容的大体意思也是一致的。
所以,结论是:《零信任架构》正式版的内容与第2版草案的变化不大。


三、相关参考


由于正式版与第2版草案的内容变化不大,所以笔者就不打算全文翻译了。
这里提供之前版本NIST草案的翻译供参考(以下均可单击链接至译文
当然,笔者还是希望,后面会有正式版的全文翻译发布。

美国官方发布的权威零信任参考资料还有(以下均可单击链接至译文




四、后记


《零信任架构》NIST标准正式版于美国时间8月11日发布。由于时差原因,国内应该要在8月12日才能看到。
笔者看到这则消息的时候,正好是8月12日的下班路上。笔者回到家后,迫不及待地做了两件事:
  • 一是仔细对比目录

  • 二是粗略对比内容

相比于正式版的全文翻译,笔者更加急于让业界知道正式版发布的这个消息。这就是笔者花了一晚上时间,在第二天早上发布这篇文章的原因。
该标准第1版草案发布于2019年9月,第2版草案发布于2020年2月。之后,笔者就盼星星、盼月亮地等待正式版的发布:
今天,终于等到你

(本篇完)


行业动态 | 网络安全架构《零信任架构》NIST标准正式版发布

行业动态 | 网络安全架构《零信任架构》NIST标准正式版发布

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: