全文约3500字 阅读约10分钟
|
第2版草案 |
正式版 |
|
摘要 |
|
|
1 简介 1.1 与联邦机构有关的零信任工作的历史 1.2 本文档的结构 |
1 简介 1.1 与联邦机构有关的零信任工作的历史 1.2 本文档的结构 |
|
2 零信任基础 2.1 零信任原则 2.2 网络的零信任视图 2.2.1 针对企业自有网络基础设施的假设 2.2.2 针对非企业自有网络基础设施的假设 |
2 零信任基础 2.1 零信任原则 2.2 网络的零信任视图
|
|
3 零信任架构的逻辑组件 3.1 零信任架构方法的变体 3.1.1 使用增强身份治理的ZTA 3.1.2 使用微分段的ZTA 3.1.3 使用网络基础设施和软件定义边界的ZTA 3.2 抽象架构的部署变体 3.2.1 基于设备代理/网关的部署 3.2.2 基于飞地的部署 3.2.3 基于资源门户的部署 3.2.4 设备应用程序沙箱 3.3 信任算法 3.3.1 信任算法的变体 3.4 网络/环境组件 3.4.1 支持ZTA的网络需求 |
3 零信任架构的逻辑组件 3.1 零信任架构方法的变体 3.1.1 使用增强身份治理的ZTA 3.1.2 使用微分段的ZTA 3.1.3 使用网络基础设施和软件定义边界的ZTA 3.2 抽象架构的部署变体 3.2.1 基于设备代理/网关的部署 3.2.2 基于飞地的部署 3.2.3 基于资源门户的部署 3.2.4 设备应用程序沙箱 3.3 信任算法 3.3.1 信任算法的变体 3.4 网络/环境组件 3.4.1 支持ZTA的网络需求 |
|
4 部署场景/用例 4.1 拥有分支设施的企业 4.2 多云企业 4.3 提供外包服务和/或非员工访问的企业 4.4 跨企业边界的协作 4.5 提供面向公众或客户服务的企业 |
4 部署场景/用例 4.1 拥有分支设施的企业 4.2 多云/云到云的企业 4.3 提供外包服务和/或非员工访问的企业 4.4 跨企业边界的协作 4.5 提供面向公众或客户服务的企业 |
|
5 与零信任架构相关的威胁 5.1 ZTA决策过程的受损 5.2 拒绝服务或网络中断 5.3 被盗凭证/内部威胁 5.4 网络可见性 5.5 网络信息的存储 5.6 对专有数据格式的依赖 5.7 在ZTA管理中非个人实体(NPE)的使用 |
5 与零信任架构相关的威胁 5.1 ZTA决策过程的受损 5.2 拒绝服务或网络中断 5.3 被盗凭证/内部威胁 5.4 网络可见性 5.5 系统和网络信息的存储 5.6 对专有数据格式或解决方案的依赖 5.7 在ZTA管理中非个人实体(NPE)的使用 |
|
6 零信任架构与现有联邦指南的可能交互 6.1 ZTA和NIST风险管理框架 6.2 ZT和NIST隐私框架 6.3 ZTA和联邦身份、凭证和访问管理(FICAM)架构 6.4 ZTA和可信Internet连接(TIC)3.0 6.5 ZTA和爱因斯坦(NCPS-国家网络安全保护系统) 6.6 ZTA和DHS持续诊断和缓解(CDM)计划 6.7 ZTA、云智能和联邦数据战略 |
6 零信任架构与现有联邦指南的可能交互 6.1 ZTA和NIST风险管理框架 6.2 零信任和NIST隐私框架 6.3 ZTA和联邦身份、凭证和访问管理(FICAM)架构 6.4 ZTA和可信互联网连接(TIC)3.0 6.5 ZTA和爱因斯坦(NCPS-国家网络安全保护系统) 6.6 ZTA和DHS持续诊断和缓解(CDM)计划 6.7 ZTA、云智能和联邦数据战略 |
|
7 迁移到零信任架构 7.1 纯零信任架构 7.2 混合ZTA和基于边界架构 7.3 将ZTA引入基于边界架构网络的步骤 7.3.1 识别企业中的参与者 7.3.2 识别企业拥有的资产 7.3.3 识别关键流程并评估与执行流程相关的风险 7.3.4 为ZTA候选制定策略 7.3.5 识别候选解决方案 7.3.6 初始部署和监控 7.3.7 扩展ZTA |
7迁移到零信任架构 7.1 纯零信任架构 7.2 混合ZTA和基于边界架构 7.3 将ZTA引入基于边界架构网络的步骤 7.3.1 识别企业中的参与者 7.3.2 识别企业拥有的资产 7.3.3 识别关键流程并评估与执行流程相关的风险 7.3.4 为ZTA候选制定策略 7.3.5 识别候选解决方案 7.3.6 初始部署和监控 7.3.7 扩大ZTA |
|
参考文献 附录A-缩略语 附录B-已识别的ZTA当前技术水平的差距 B.1 技术调查 B.2 阻碍立即转移至ZTA的差距 B.2.1 缺乏ZTA设计、规划和采购的通用术语 B.2.2 以为ZTA与现有联邦网络安全政策相冲突 B.3 影响ZTA的系统性差距 B.3.3 组件间接口的标准化 B.3.4 解决过度依赖专有API的新兴标准 B.4 ZTA的知识差距和未来研究领域 B.4.5 攻击者对ZTA的回应 B.4.6 ZTA环境中的用户体验 B.4.7 ZTA应对企业和网络中断的弹性 B.5 ZTA测试环境 B.6 参考 |
参考文献 附录A-缩略语 附录B-已识别的ZTA当前技术水平的差距 B.1 技术调查 B.2 阻碍立即转移到ZTA的差距 B.2.1 缺乏ZTA设计、规划和采购的通用术语 B.2.2 以为ZTA与现有联邦网络安全政策相冲突 B.3 影响ZTA的系统性差距 B.3.3 部件间接口的标准化 B.3.4 解决过度依赖专利API的新兴标准 B.4 ZTA的知识差距和未来研究领域 B.4.5 攻击者对ZTA的回应 B.4.6 ZTA环境中的用户体验 B.4.7 ZTA对企业和网络中断的弹性 B.5参考 |
|
图片列表 图1:零信任访问 图2:核心零信任逻辑组件 图3:设备代理/网关模型 图4:飞地网关模型 图5:资源门户模型 图6:应用程序沙箱 图7:信任算法输入 图8:拥有远程员工的企业 图9:多云用例 图10:非员工访问的企业 图11:跨企业协作 图12:ZTA部署周期 |
图片列表 图1:零信任访问 图2:核心零信任逻辑组件 图3:设备代理/网关模型 图4:飞地网关模型 图5:资源门户模型 图6:应用程序沙箱 图7:信任算法输入 图8:拥有远程员工的企业 图9:多云用例 图10:非员工访问的企业 图11:跨企业协作 图12:ZTA部署周期 |
|
表格列表 表B-1:确定的部署差距汇总 |
表格列表 表B-1:确定的部署差距汇总 |
其中,红色字体标注了目录的所有不同之处。
目录对比结果显示:目录差异很小。目录的主要变化在于:
-
删除了2.2.1(针对企业自有网络基础设施的假设)和2.2.2(针对非企业自有网络基础设施的假设)。但实际上,对比两个版本的具体内容之后可以发现,只是删除了这两个子标题的名称,而这两个子标题的内容都保留了下来,整合到了一起。简而言之,只是结构调整,内容没有本质变化。
-
删除了B.5(ZTA测试环境):其实在第2版草案中,这一节就一句话:“TBD-描述NCCoE 测试实验室和要执行的测试。” 删除这一小节,几乎没有什么影响。而且,笔者在之前的《美国网络安全 | NIST网络安全实践指南系列》中,专门对NCCoE这个机构及其网络安全实践指南系列做了介绍。大家自认也就不会陌生了。
-
另有几个小节的名称发生了变化:主要是在标题名称中增加了几个词语,并未大幅改动该小节的主要内容。
美国官方发布的权威零信任参考资料还有(以下均可单击链接至译文):
-
2019年4月:ACT-IAC(美国技术委员会-行业咨询委员会)发布《零信任网络安全当前趋势》;
-
2019年7月:DIB(国防创新委员会)发布《零信任之路》;
-
2019年10月:DIB(国防创新委员会)发布《零信任架构(ZTA)建议》;
-
2020年3月:NIST NCCoE发布《实现零信任架构(草案)》项目说明书。
-
一是仔细对比目录;
-
二是粗略对比内容。
(本篇完)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论