NSA发布零信任网络和环境支柱的成熟度指南

【"零信任是一种思维方式的转变，它不是解决所有问题，我们永远不会到达那里，大多数安全技术都与零信任相称或支持零信任。如果这为接近安全提供了北极星或一般思维方式，那就是它的价值所在。你永远不会到达完整的零信任终点线，或许只是一种信仰。”】

NSA于2023年3月推出在零信任中完善身份、凭证和访问管理的建议.以减轻某些网络威胁技术。该倡议进一步讨论了如何将这些功能集成到全面的零信任框架中，同时为系统所有者和运营商提供识别、抵抗和响应各种网络入侵技术的能力。

NSA于2024年3月5日发布了一份网络安全信息表 (CSI)，其中详细介绍了如何限制组织网络内的对抗性横向移动以访问敏感数据和关键系统。CSI题为“在整个网络和环境支柱中推进零信任成熟度”，提供了有关如何使用零信任原则加强内部网络控制和遏制对网络分段部分的网络入侵的指导。

该指南介绍的概念为增强现有网络安全控制提供了指导，以通过数据流映射、宏观和微观分段以及软件定义网络来限制妥协的潜在影响。这些功能可实现主机隔离、网络分段、加密实施和企业可视性。随着组织内部网络控制的成熟，他们大大改善了深度防御态势，从而可以更好地遏制、检测和隔离网络入侵。该指南扩展了NSA之前发布的CSI：“拥抱零信任安全模型”、“在整个用户支柱中推进零信任成熟度”和“在整个设备支柱中推进零信任成熟度”。

网络和环境支柱是构成零信任框架的七个支柱之一，通过定义网络访问、控制网络和数据流、分段应用程序和工作负载以及使用端到端加密，将关键资源与未经授权的访问隔离开来。CSI概述了网络和环境支柱的关键功能，包括

(1)数据流映射

(2)宏观分段

(3)微观分段

(4)软件定义网络(SDN）

【PS:笔者始终认为微分段在全面零信任的设施中极其重要，而往往被人忽视，参看2020年文章，如下】

到零信任发源地去寻找“边界”

给零信任换种说法，可以吗？

网络和环境支柱通过定义网络访问、控制网络和数据流、分段应用程序和工作负载以及 使用端到端加密，将关键资源与未经授权的访问隔离开来。这是通过在宏观和微观层面 上进行适当的网络分段，并结合软件定义网络 (SDN) 来实现的，以允许集中控制和自动 化。这一支柱取决于组织对其数据的认识和理解的深度—数据如何在独立网络内以及 在互连物理基础设施、云计算和分布式工作环境的网络之间流动。

四种能力成熟度翻译图，如下：

NSA网络安全总监罗布·乔伊斯 (Rob Joyce) 表示：“组织在运营时需要牢记威胁存在于其系统范围之内。”,“本指南旨在为网络所有者和运营商提供所需的流程，以警惕地抵制、检测和响应利用其企业架构中的弱点或差距的威胁。”
NSA正在协助美DOD试点零信任系统，并正在制定额外的零信任指南，以将零信任原则和设计纳入企业网络。

DOD负责网络安全的副首席信息官兼高级信息安全官David McKeown表示，"我们希望到2027年实现零信任目标。我们是一家规模非常大的组织，拥有许多网络，虽然2027年可能看起来不是那么激进，但对我们来说，试图在该日期之前实现这一目标是非常激进的”。

副首席信息官表示，利用云服务、采用专门构建的本地平台以及了解当前环境是DOD为实现零信任而采取的三个步骤。

David McKeown还提到计划开发一个综合的主时间表和培训模块，以对整个部门的人员进行零信任教育。他将于6月6日在波托马克军官俱乐部2024年网络峰会上发表演讲。

NSA近期1年发布的文献集，关注本公众号，回复 nz 获取

①　身份和访问管理：为管理员推荐的最佳实践ESF IDENTITY AND ACCESS MANAGEMENT RECOMMENDED BEST PRACTICES FOR ADMINISTRATORS PP-23-0248_508C

②　在整个用户支柱中推进零信任成熟度CSI_ZERO TRUST USER PILLAR

③　身份和访问管理：开发人员和供应商挑战ESF CTR IAM MFA SSO CHALLENGES

④　默认安全第二版Shifting-the-Balance-of-Cybersecurity-Risk-Principles-and-Approaches-for-Secure-by-Design-Software

⑤　CSI-DEVICE-PILLAR-ZERO-TRUST

⑥　CSI-ZERO-TRUST-NETWORK-ENVIRONMENT-PILLAR

原文始发于微信公众号（安全红蓝紫）：NSA发布零信任网络和环境支柱的成熟度指南