【"零信任是一种思维方式的转变,它不是解决所有问题,我们永远不会到达那里,大多数安全技术都与零信任相称或支持零信任。如果这为接近安全提供了北极星或一般思维方式,那就是它的价值所在。你永远不会到达完整的零信任终点线,或许只是一种信仰。”】
该指南介绍的概念为增强现有网络安全控制提供了指导,以通过数据流映射、宏观和微观分段以及软件定义网络来限制妥协的潜在影响。这些功能可实现主机隔离、网络分段、加密实施和企业可视性。随着组织内部网络控制的成熟,他们大大改善了深度防御态势,从而可以更好地遏制、检测和隔离网络入侵。该指南扩展了NSA之前发布的CSI:“拥抱零信任安全模型”、“在整个用户支柱中推进零信任成熟度”和“在整个设备支柱中推进零信任成熟度”。
网络和环境支柱是构成零信任框架的七个支柱之一,通过定义网络访问、控制网络和数据流、分段应用程序和工作负载以及使用端到端加密,将关键资源与未经授权的访问隔离开来。CSI概述了网络和环境支柱的关键功能,包括
(1)数据流映射
(2)宏观分段
(3)微观分段
(4)软件定义网络(SDN)
【PS:笔者始终认为微分段在全面零信任的设施中极其重要,而往往被人忽视,参看2020年文章,如下】
网络和环境支柱通过定义网络访问、控制网络和数据流、分段应用程序和工作负载以及 使用端到端加密,将关键资源与未经授权的访问隔离开来。这是通过在宏观和微观层面 上进行适当的网络分段,并结合软件定义网络 (SDN) 来实现的,以允许集中控制和自动 化。这一支柱取决于组织对其数据的认识和理解的深度—数据如何在独立网络内以及 在互连物理基础设施、云计算和分布式工作环境的网络之间流动。
四种能力成熟度翻译图,如下:
NSA网络安全总监罗布·乔伊斯 (Rob Joyce) 表示:“组织在运营时需要牢记威胁存在于其系统范围之内。”,“本指南旨在为网络所有者和运营商提供所需的流程,以警惕地抵制、检测和响应利用其企业架构中的弱点或差距的威胁。”
NSA正在协助美DOD试点零信任系统,并正在制定额外的零信任指南,以将零信任原则和设计纳入企业网络。
NSA近期1年发布的文献集,关注本公众号,回复 nz 获取
① 身份和访问管理:为管理员推荐的最佳实践ESF IDENTITY AND ACCESS MANAGEMENT RECOMMENDED BEST PRACTICES FOR ADMINISTRATORS PP-23-0248_508C
② 在整个用户支柱中推进零信任成熟度CSI_ZERO TRUST USER PILLAR
③ 身份和访问管理:开发人员和供应商挑战ESF CTR IAM MFA SSO CHALLENGES
④ 默认安全第二版Shifting-the-Balance-of-Cybersecurity-Risk-Principles-and-Approaches-for-Secure-by-Design-Software
⑤ CSI-DEVICE-PILLAR-ZERO-TRUST
⑥ CSI-ZERO-TRUST-NETWORK-ENVIRONMENT-PILLAR
原文始发于微信公众号(安全红蓝紫):NSA发布零信任网络和环境支柱的成熟度指南
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论