美国零信任成熟度模型（ZTMM）

2023年4月11日，美国国土安全部（DHS）网络安全和基础设施安全局（CISA）发布了更新的零信任成熟度模型（ZTMM）草案，该路线图供各机构在过渡到零信任架构（ZTA）时参考。

评论者要求扩展所有支柱和功能的内容和指导，以便为ZTA支持实施提供更精细的粒度。作为回应，CISA修订了模型每个功能的文本，扩展和增加了每个支柱的功能，并阐明了跨领域支柱的意图。特定阶段的显著变化包括：

• 身份：身份验证中提供了有关“防网络钓鱼MFA”的其他详细信息，包括通过FIDO2或PIV实施无密码MFA，通过强调自我管理和托管身份存储之间的集成的身份存储增加灵活性，以及添加用于定制访问的新访问管理功能。
• 设备：更新了策略执行和合规功能，以解决软件和配置管理问题;修订了自动化和编排与治理，包括取消配置、卸载设备以及未能满足态势要求的补救措施;并增加了设备威胁保护功能，以实现集中安全管理。
• 网络：修订了网络分段功能，以促进基于应用程序配置文件的微分段，并添加了网络流量管理功能和网络弹性功能。进一步修订了支柱，将原始威胁防护功能的元素融入到可见性和分析中，并扩展了流量加密功能。
• 应用程序和工作负载：更新了应用程序访问功能，以合并上下文信息、强制实施过期条件并遵守最低权限原则。修订了应用程序威胁防护和应用程序安全测试，将保护集成到应用程序工作流中，以便在整个软件开发生命周期中实现实时可见性和安全测试。整合了新的安全应用程序开发和部署工作流程功能，以正式化代码部署，限制对生产环境的访问，并促进向不可变工作负载的转变。重命名并修订了应用程序辅助功能，以专注于使应用程序可以通过公共网络提供给授权用户，以符合OMB的M-22-09。
• 数据：扩展了数据加密功能，以支持加密整个企业的数据，正式制定密钥管理策略，并纳入加密敏捷性;修订了数据清单管理并添加了数据分类功能，以解决对清单和理解数据类型的成熟度问题;并添加了数据可用性功能，以优化可用性并强调对历史数据的访问。

• 跨领域功能：可见性和分析、自动化和编排以及治理现在包括详细的范围界定描述、独立于支柱的成熟路径以及每个支柱的更新建议。

原文始发于微信公众号（河南等级保护测评）：美国零信任成熟度模型（ZTMM）