2021年5月,拜登签署E.O. 14028“提高国家网络安全防御能力”,要求政府所有部门必须在60天内给出实现零信任架构的计划。为此,网络安全和基础设施安全局(CISA)在2021年9月发布了零信任成熟度模型(ZTMM)1.0预览草案;近期,CISA再次发布了新版ZTMM 2.0草案,尽管该ZTMM是根据行政命令EO 14028的要求专门为联邦机构量身定制的,但所有组织都应审查并考虑采用下文中概述的方法。
诞生背景
最近的网络事件凸显了联邦政府及大型企业在确保网络安全方面所面临的广泛挑战,并表明传统方法已不足以保护国家免受网络威胁。在领导国家努力理解、管理和降低网络风险的过程中,CISA必须迎接新的挑战,使用清晰、可操作、基于风险的方法来保护联邦行政部门。
在制定和修订本指南时,CISA参考了联邦政府发布的以下ZTA材料:
- 管理和预算办公室M-22-09——该备忘录提出了一个联邦政府零信任架构战略,要求各机构在2024财年(FY)结束之前达到特定的网络安全标准和目标,以强化政府在抵御日益复杂和持续的威胁活动方面的能力。该战略强调了企业身份验证和访问控制(包括MFA),要求在可行的情况下尽早加密所有网络流量,为建立自动化的安全访问规则基础提供支持,并将每个应用程序视为可从互联网访问。
- NIST SP 800-207——NIST SP(国家标准与技术研究院特别出版物) 800-207为企业安全架构师描述了零信任概念,以帮助理解民用非机密系统的零信任架构,并提供了在企业环境实施零信任迁移的路线图。SP 800-207是多个联邦机构之间合作的产物,并由联邦首席信息官委员会监督。
- 国防部零信任参考架构——国防部(DoD)的零信任参考架构描述了以数据为中心的企业标准和能力,可用于成功推进国防信息网络(DoDIN)向互操作的零信任最终状态的发展。
- NSA拥抱零信任安全模型——NSA(国家安全局)的“拥抱零信任安全模型”解释了零信任安全模型的优势和实施挑战,讨论了制定详细策略、投入必要资源、改进实现的成熟度以及全面致力于零信任模型以实现预期结果的重要性。该文件对考虑采用零信任模型的网络安全领导者、企业网络所有者和管理员将大有裨益。
零信任概念
NIST在SP 800-207中为零信任和ZTA提供了以下定义:
“零信任提供了一系列概念和思想,旨在最大限度地减少策略实施中的不确定性,以便在面对被视为受损的网络时,基于每个请求为信息系统和服务实施准确的、最低权限访问策略。ZTA是企业采用零信任理念制定的网络安全计划,包括组件关系、工作流规划和访问策略。因此,零信任企业作为ZTA计划的产物,包含网络基础架构(物理和虚拟)和运营策略两大部分。”
《SP 800-207》强调,零信任的目标是“防止对数据和服务的未授权访问,同时使访问控制的实施尽可能细粒度。”类似地,国家安全电信咨询委员会(NSTAC)将零信任描述为“一种网络安全策略,其前提是任何用户或资源都不能被隐性信任,而是假定妥协已经发生或即将发生,因此,不应该通过位于企业边界的单一验证机制授予用户访问敏感信息的权限。相反地,每个用户、设备、应用程序和会话都必须持续地进行验证。”
零信任代表了从“以位置为中心”的模型向“以身份、上下文和数据为中心”方法的转变,并随时间推移在用户、系统、应用程序、数据和资产之间进行细粒度的安全控制。因此,采用ZTA是一项至关重要的工作,这种转变为支持安全策略的开发、实现、执行和演进提供了必要的可见性。从根本上说,零信任可能需要组织在其网络安全理念和文化上做出变革。
需要明确的是,通往零信任的道路是一个逐步的过程,可能需要数年才能完成。最初,实施零信任所需的技术和服务可能会导致企业的成本增加,但从长远来看,零信任向最关键数据和服务进行的精准投资,将使安全投资更加明智,而非在整个企业范围内采用“一刀切”的安全投资。
零信任成熟度模型解读
ZTMM代表了跨越5个不同支柱的逐步实现零信任优化的过程,包括身份(Identity)、设备(Devices)、网络(Networks)、应用程序和工作负载(Applications and Workloads),以及数据(Data)。每个支柱都包含了一些横跨所有支柱的通用功能:可见性与分析、自动化与编排,以及治理。
【图1:零信任成熟度模型的支柱与相关能力】
该模型反映了NIST SP 800-207中概述的7个零信任原则:
- 所有数据源和计算服务都被视为资源;
- 无论网络位置如何,所有通信都需要安全防护;
- 以会话(per-session)为单位,对企业资源访问进行授权;
- 按照动态策略确定资源访问权限;
- 企业监视和衡量所有自有和关联资产的完整性和安全姿态;
- 在允许访问之前,所有资源都必须经过动态、严格地认证和授权;
- 企业尽可能多地收集有关资产、网络基础设施和通信的状态信息,并利用这些信息来改善安全态势
随着各机构向最佳零信任实现过渡,相关解决方案越来越依赖于自动化流程和系统,这些流程和系统更全面地跨支柱集成,并更动态地执行策略决策。每个支柱可以独立演进发展,也可能比其他支柱发展地更快,直到需要进行跨支柱的协调。然而,这种协调需要相关支柱能够在整个企业范围和环境中相互兼容才能实现,这就要求能够定义一个分步实现的零信任演进路线,以分摊成本,而非一次性全部投入。
根据NIST提出的零信任实施步骤,各机构在投资零信任能力(包括本模型中概述的支柱和功能)之前,应评估其当前的企业系统、资源、基础设施、人员和流程,以帮助各机构识别现有能力,来支持进一步的零信任成熟度并确定优先级缺口。各机构还可以规划跨支柱协调能力的机会,以实现细粒度、最小特权访问控制并缓解额外风险。
从传统阶段(Traditional)到初始(Initial)、高级(Advanced)和最佳(Optimal)三个阶段的ZTM之旅,将促进联邦ZTA的实施。每个后续阶段对保护能力、实现细节和技术复杂性都提出了更高的要求。
【图2:零信任成熟度之旅】
- 传统阶段:手动配置生命周期(从建立到退役除)和属性分配(安全和日志记录);静态安全策略和解决方案,一次处理一个支柱与外部系统的离散依赖;只在配置时遵循最小特权原则;孤立的策略执行支柱;手动响应和缓解部署;以及依赖关系、日志和监测的有限关联。
- 初始阶段:启用自动化属性分配和生命周期管理、策略决策和执行,以及与外部系统集成的初始跨支柱解决方案;对配置后的最小特权的一些响应性调整;针对内部系统的聚合可见性。
- 高级阶段:在适用的情况下,对跨支柱的策略、配置的生命周期和分配进行自动控制;集中式的可见性和身份控制;跨支柱的策略执行集成;对预定义的缓解措施进行响应;基于风险和态势评估调整最小特权;构建企业范围的感知(包括外部托管资源)。
- 最佳阶段:完全自动化的即时生命周期及资产和资源的属性分配,基于自动/观察触发器的动态策略进行自我报告;在企业范围内对资产及其各自的依赖项实施动态的最小特权访问(刚好够用并在阈值内);具备持续监控的跨支柱互操作;具备全面态势感知的集中可见性。
图3提供了ZTMM的高级概述,包括每个支柱在不同成熟度阶段的关键能力,以及在不同成熟度阶段的跨支柱能力特性。
【图3:零信任成熟度模型概览】
这些成熟度阶段以及与每个支柱相关的详细信息,允许机构评估、规划和维护实施ZTA所需的投资。在规划ZTA的实施时,各机构应根据风险、任务和操作限制等因素做出决策。各机构在评估ZTA的影响因素时,仍需考虑与外部合作伙伴、利益相关者和服务提供商的互动和依赖关系。此外,该成熟度模型不应被视为一组严格的要求,而应被视为帮助机构成功实施ZTA,并对网络安全态势进行整体改进的通用指南。
身份
身份是指描述机构用户或实体(包括非人实体)的一个或一组属性。
各机构应确保并强制用户和实体在正确的时间,为正确的目的访问正确的资源,而不授予过度的访问权限。各机构应尽可能在企业范围内集成身份、凭据和访问管理解决方案,以强制执行强身份验证、实施基于上下文的授权,并评估机构用户和实体的身份风险。在适当的情况下,各机构应整合其身份存储和管理系统,以增强对企业身份、职责和权限的认知。
下表列出了零信任架构中“身份”的相关功能,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
身份认证 | 在静态访问授权中,使用密码或多因素认证(MFA)对实体身份进行认证。 | 使用MFA对身份进行验证,将密码作为MFA中的一种认证方式,并要求验证多个实体属性(例如场所或活动)。 | 使用抗钓鱼攻击的MFA和属性对所有身份进行身份验证,包括通过FIDO2或PIV实现的无密码MFA的最初实现。 | 持续使用抗钓鱼攻击的MFA对身份进行验证,而不仅仅是在最初授权时进行认证。 |
身份存储库 | 只使用自主管理的本地身份存储库(计划、部署和维护均由自行承担)。 | 同时使用自主管理的和托管(例如,云或其他机构)的身份存储库,存储库之间实现了较少的集成(例如,单点登录)。 | 开始合并和整合一些自主管理的和托管的身份存储库。 | 根据需要在所有合作伙伴和环境中安全地整合身份存储库。 |
风险评估 | 对身份风险进行有限的判断(即身份被窃取的可能性)。 | 使用手动方法和静态规则来确定身份风险,以支持可见性。 | 使用一些自动化分析和动态规则来确定身份风险,以支持访问决策和响应活动。 | 基于持续分析和动态规则,实时地确定身份风险,以提供持续性保护。 |
访问管理(新增) | 永久性访问授权,并对特权和非特权账户进行周期性审核。 | 对访问(包括特权访问)进行授权,并通过自动审核使访问权限过期失效。 | 提供对基于需求和基于会话的访问(包括特权访问请求)授权,以适应不同操作和资源。 | 使用自动化来实现即时和适量的授权,以满足个人的操作和资源需求。 |
可见性和分析 | 收集用户和实体的活动日志(特别是特权凭据),并进行例行的手动分析。 | 收集用户和实体活动日志,进行例行的手动分析和部分自动分析,不同类型的日志仅实现了少量关联。 | 在某些类型的用户和实体活动日志上进行自动化分析,并增加收集范围以解决可见性缺口。 | 通过对用户活动日志(包括基于行为的分析)进行自动化分析,维护企业范围的全面可见性和态势感知。 |
自动化和编排 | 手动对自管理身份(用户和实体)进行编排(入职、离职),集成性较少,并定期进行审查。 | 手动对特权和外部身份进行编排,并自动编排非特权用户和自管理实体。 | 手动编排特权用户身份,并在所有环境中集成实现所有身份的自动编排。 | 基于行为、注册和部署需求,在所有环境中实现完全集成的所有身份自动编排。 |
治理 | 通过静态技术和人工审核实施身份策略(认证、凭证、访问、生命周期等)。 | 在企业范围内定义并实施具有少量自动化、并通过人工更新的身份策略。 | 在企业范围内实现自动化、并定期更新的身份策略。 | 在企业范围内,为所有用户和实体实现针对所有系统的自动化身份策略,能够实现持续的策略实施和动态更新。 |
设备
设备是指可以连接到网络的任何资产(包括其硬件、软件、固件等),包括服务器、台式机、笔记本电脑、打印机、手机、物联网设备、网络设备等。
设备可以是机构所有的资产,也可以是员工、合作伙伴或访客的自带设备(BYOD)资产。机构应确保所有自有设备的安全性,管理非机构控制的授权设备的风险,以阻止未授权设备访问资源。设备管理包括维护所有资产(包括其硬件、软件、固件等)的动态清单、配置信息及相关漏洞。
许多设备存在特定的ZTA挑战,必须根据具体情况进行评估,作为基于风险的流程的一部分。例如,网络设备、打印机等设备可能只提供有限的身份验证、可见性和安全性选项。采取BYOD政策的机构可能会有更少的选项来保持这些设备的可见性和控制。随着技术环境的不断变化,机构也将继续采用更多的设备来管理这些不断演变的设备相关风险。在某些情况下,本指南可能无法适用于各机构的特定设备。各机构也将面临确保可信设备及其服务未达到使用寿命并仍在其生命周期支持范围内的挑战,因为遗留设备通常会存在更多未解决的漏洞、易受攻击的配置和未知的风险。
然而,尽管存在这些挑战,各机构仍然应该能够在实现ZTA方面取得重大进展。本地计算资产管理涉及记录和管理物理资产(设备)。随着各机构逐渐迁移至云,这为管理和跟踪机构的云和虚拟资产创造了新的机会。云资产包括计算资源(如虚拟机、服务器或容器)、存储资源(如块存储或文件存储)、平台资产(如数据库、Web服务器、消息总线/队列)和网络资源(如虚拟网络、VPN、网关、DNS服务等),以及其他与托管云服务相关的虚拟资源(如人工智能模型)。
下表列出了零信任架构中“设备”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
策略实施和合规监控(新增) | 在策略实施或管理软件、配置及漏洞方面,只有少量的方法,缺乏与设备合规相关的可见性。 | 能接收自报告的设备特征(例如,设备上的密钥、令牌、用户等),但其执行机制非常有限。机构已经初步建立了软件准入的基本流程,并能将更新和配置推送到设备上。 | 能够在初始使用设备时,对设备进行合规认证(即管理员可以检查和验证设备上的数据),并对大多数设备和虚拟资产实施合规策略。使用自动化方法来管理设备和虚拟资产、审批软件、识别漏洞和安装补丁。 | 在设备和虚拟资产的整个生命周期中,持续检查并执行合规策略。将设备、软件、配置和漏洞管理整合到所有机构环境中,包括虚拟资产。 |
资产和供应链风险管理(新增) | 未以全企业或跨供应商的方式,跟踪物理或虚拟资产,而是采用临时性的方式对设备和服务供应链进行管理,对企业风险的认识非常有限。 | 跟踪所有物理和部分虚拟资产,并按照联邦建议,使用风险框架(例如NIST SCRM)建立策略和控制基线,来管理供应链风险。 | 通过自动化流程来开发全面的企业物理、虚拟资产视图,可跨多个供应商验证资产获取、跟踪开发周期,并提供第三方评估。 | 拥有全面、实时或接近实时的、跨供应商和服务提供商的资产视图,在适当情况下,自动化其供应链风险管理,建立能容忍供应链故障的操作,并融入最佳实践。 |
资源访问(原数据访问) | 在访问资源时,未要求对设备或虚拟资产的可见性。 | 要求某些设备或虚拟资产报告其特征,然后利用这些信息授权资源访问。 | 在初始资源访问时考虑设备的验证情况或虚拟资产的可见性。 | 资源访问时考虑设备和虚拟资产内的实时风险分析。 |
设备威胁保护(新增) | 对部分设备手动部署了威胁保护功能。 | 具有一些自动化流程,用于将威胁保护能力部署和更新到设备和虚拟资产中,并集成了少量的策略执行和合规监控。 | 将威胁保护能力整合到面向设备和虚拟资产的集中式解决方案中,并将其中的大部分能力与策略执行和合规监控集成。 | 为所有设备和虚拟资产部署了具有先进功能的集中式威胁保护安全解决方案,并采用统一方法解决设备威胁保护、策略实施和合规监控。 |
可见性和分析 | 使用物理标签清单和有限的软件监控,定期手动查看和分析设备信息。 | 使用数字标识符(例如接口地址、数字化标记)、手动清单和终端监控(若可用)来监测设备。部分设备和虚拟资产能通过自动化分析(例如软件扫描器),执行基于风险的异常检测。 | 实现清单的自动化采集(包括所有标准用户设备上的终端监控,例如台式机、笔记本电脑、手机、平板电脑及其虚拟资产)和异常检测(检测未授权设备)。 | 自动化采集所有可接入网络的设备和虚拟资产的状态,并与身份关联、执行端点监控和异常检测,为资源访问授权提供信息。跟踪虚拟资产的供应和销毁模式以监测异常。 |
自动化和编排 | 在企业范围内,手动完成设备供应、配置和注册。 | 使用工具和脚本来自动化处理流程,包括设备和虚拟资产的供应、配置、注册和销毁。 | 实施了监控和策略执行机制,能识别、手动断开或隔离不符合规定(易受攻击、未经验证的证书、未注册的MAC地址)的设备和虚拟资产。 | 拥有全自动的流程,用以实现设备及虚拟资产的供应、注册、监控、隔离、修复和销毁。 |
治理 | 制定了针对传统外设的生命周期策略,但依赖人工流程来维护(例如更新、打补丁、杀毒)这些设备。 | 制定并实施了设备采购、非传统计算设备和虚拟资产的生命周期策略,并定期对设备进行监测和扫描。 | 为设备和虚拟资产制定了企业级的生命周期策略,包括设备枚举和问责,并实现了一些自动实施机制。 | 对企业范围内、所有可连接网络的设备和虚拟资产实现了自动化的生命周期策略。 |
网络
网络是指一个开放的通信媒介,包括传统的通道(如机构内部网络、无线网络和互联网)以及其他通道(如用于传输信息的蜂窝和应用程序级通道等)。
ZTA实现了从传统的“以边界为中心”的安全方法的改变,允许机构管理内部和外部流量、隔离主机、强制加密、分段活动,并增强了企业网络的可见性。ZTA允许在更接近应用程序、数据和其他资源的位置实现安全控制,并增强传统的基于网络的保护措施,提高了深度防御能力。
下表列出了零信任架构中“网络”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
网络分段 | 使用大边界/宏分段来定义网络架构,网段内的连通性基本不受约束。也可能依赖多服务互连(例如,不同流量按批量使用VPN隧道)的方案。 | 在网络架构对关键工作负载进行隔离,按最低权限原则限制连通性,并向特定服务互连的网络架构过渡。 | 在入向/出向微边界和特定服务互连框架中,扩展终端和基于应用程序概要的隔离机制。 | 网络架构由完全分布式的入向/出向微边界和基于应用程序概要的微分段组成,动态实现即时和适度连通性,以实现特定服务的互连。 |
网络流量管理(新增) | 在服务提供过程中,人工实施静态网络规则和配置来管理流量,仅具有有限的监控能力(例如应用程序性能监控或异常检测),对关键业务应用的配置变更通过人工进行审计和审核。 | 建立具有不同流量管理特征的应用程序概述,并将所有应用程序映射到这些概述。将静态规则扩展应用程序到所有应用程序,并对应用程序概要进行定期手动审计。 | 实施动态网络规则和配置,以进行资源优化,这些规则和配置根据自动风险感知和具备风险响应的应用程序概述评估和监控,定期进行调整。 | 实施不断演变的动态网络规则和配置,以满足应用程序概述的需求,根据关键任务、风险等因素重新确定应用程序优先级。 |
流量加密(原加密) | 对少量流量实施加密,并依靠手动或临时流程来管理和保护加密密钥。 | 对所有流向内部应用程序的流量进行加密,对外部应用的流量进行尽可能的加密,规范化密钥管理策略,并保护服务器/服务的加密密钥。 | 所有应用程序的内部和外部流量均使用协议加密,对密钥和证书的签发和更换实施管理,并引入密码敏捷实践。 | 持续根据需求加密流量,在企业范围执行最低权限原则,以保证密钥的安全管理,并尽可能广泛地采用密码敏捷实践。 |
网络弹性(新增) | 根据单个应用程序的可用性需求,按个案配置网络能力,只能提供适用于非关键任务负载的有限弹性。 | 通过配置网络能力,管理其他应用程序的可用性要求,并扩展非关键任务负载的弹性机制。 | 网络功能的配置能动态管理大部分应用程序的可用性需求和弹性机制。 | 能感知所有工作负载的可用性需求变化,并集成全面的交付,提供相应的弹性机制。 |
可见性和分析 | 通过以网络边界为中心的有限监控和分析,开始开发集中式的态势感知。 | 采用基于已知入侵指标(包括网络枚举)的网络监控,在每个网络环境中开发态势感知,并将各种环境中的不同流量关联起来,进行分析和威胁检测。 | 通过基于异常的网络检测能力,在所有环境中开发态势感知,并将多来源的监测信息进行关联以进行分析,并采用自动化流程进行强大的威胁猎杀。 | 在启用企业范围态势感知和监控能力的同时,维持对所有网络和环境中的通信可见性,并自动对所有检测源的监测信息进行关联。 |
自动化和编排 | 使用手动流程来管理网络、环境的配置和资源生命周期,定期整合策略要求和态势感知。 | 使用自动化方法来管理某些网络、环境的配置和资源生命周期,并确保所有资源都基于策略和监测数据定义了生命周期。 | 使用自动化的变更管理方法(如CI/CD)来管理所有网络、环境的配置和资源生命周期,能够对感知到的风险进行响应、执行策略和保护。 | 网络和环境由基础设施即代码(IoC)来定义,并实现自动化的变更管理方法,包括自动的初始化和过期失效,以应对不断变化的需求。 |
治理 | 通过以边界保护为中心的方法,实施静态的网络策略(访问、协议、分段、警告和修复)。 | 针对每个网络分段和资源制定并实施相应的策略,并适当沿用企业级策略规则。 | 在实施个性化策略时引入了自动化,促进从聚焦边界的保护向未来过渡。 | 实施企业范围的网络策略,使基于应用和用户工作流的策略定制、局部控制、动态更新和安全外连成为可能。 |
应用程序和工作负载
应用程序和工作负载包括在本地环境、移动设备和云环境中运行的系统、计算机程序和服务。
各机构应管理和保护其部署的应用程序,并确保安全的应用程序交付。细粒度访问控制和集成的威胁防护可以提供增强的态势感知,并减轻特定于应用程序的威胁。各机构还应探索一些新的选择,将运营重点从认证边界和更新ATO(Authorization to Operate),逐渐转向对应用程序自身的支持,使其无论是从内部访问,还是从外部访问都具有相同的安全性。
下表列出了零信任架构中“应用程序和工作负载”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
应用访问(原访问授权) | 主要基于静态属性对应用访问实施本地授权。 | 采用上下文信息(如身份、设备合规性和/或其他属性)实施对应用的每个访问请求进行授权,并设置授权的过期时间。 | 使用扩展的上下文信息自动化应用程序的访问决策,并依据最小特权原则设置相应的过期条件。 | 对应用程序实施持续的访问授权,并引入实时的风险分析和因素,如行为/使用模式等。 |
应用威胁保护(原威胁保护) | 仅实现了威胁保护与应用工作流的少量集成,能针对已知威胁提供一般性防护。 | 将威胁保护集成到关键业务应用的工作流中,能针对已知威胁和一些特定应用的威胁提供保护。 | 将威胁保护集成到所有应用的工作流中,保护某些特定于应用程序和有针对性的威胁。 | 将高级威胁保护集成到所有应用工作流中,提供实时可见性和内容感知保护,以应对特定于应用程序的复杂攻击。 |
可访问应用(原可访问性) | 关键应用仅在私有网络和带监控的安全公共网络连接(例如VPN)上可用。 | 根据需求,通过代理连接的方式,将部分适用的关键任务应用提供给授权用户在开放的公共网络中使用。 | 根据需要,把大部分适用的关键任务应用通过开放的公共网络连接提供给授权用户使用。 | 根据需要,把所有适用的应用通过开放的公共网络提供给授权用户和设备使用。 |
开发和部署工作流(新增) | 使用非正式的开发、测试和生产环境,缺乏完善的代码部署机制。 | 采用具备规范的代码部署机制的基础架构来支持开发、测试和生产环境(包括自动化),通过CI/CD流水线和必要的访问控制来,来支持最小特权原则。 | 由不同团队完成开发、安全和运营,并取消开发人员在代码部署时对生产环境的访问权限。 | 在可行的情况下充分利用非可变工作负载,更改只能通过重新部署生效,并取消管理员对部署环境的访问权限,以支持自动化的代码部署流程。 |
应用安全测试(原应用安全) | 在部署之前进行应用安全测试,主要通过手动测试方法。 | 在应用部署前的安全测试中,使用静态和动态(即应用程序正在执行)测试方法,包括手动的专家分析。 | 将应用安全测试整合到应用程序开发和部署流程中,包括使用周期性的动态测试方法。 | 在企业软件开发生命周期中全面整合应用程序安全测试,在已部署应用程序中进行例行自动化测试。 |
可见性和分析 | 对关键业务应用进行了一些性能和安全监控,但聚合和分析能力有限。 | 自动采集应用信息(例如状态、健康度和性能)和安全监控,以改进日志收集、集成和分析。 | 通过启发式技术,自动化地对大部分应用程序进行信息采集和安全监控,以识别应用程序特有的和企业整体的趋势,并逐步完善流程以填补可见性中存在的缺口。 | 在所有应用程序上执行持续、动态的监控,以保持企业范围内全面的可见性。 |
自动化和编排 | 通过手动方式,在应用资源分配阶段,设立静态的应用托管位置和访问权限,并进行有限维护和审查。 | 定期修改应用配置(包括位置和访问权限),以满足相关的安全和性能目标。 | 自动处理应用程序配置,以应对运营和环境变化。 | 自动处理应用程序配置,以持续优化安全性和性能。 |
治理 | 主要依靠手动执行策略来实现对应用访问、开发、部署、软件资产管理、安全测试和评估(ST&E)的管理,包括技术插入、修补漏洞和跟踪软件依赖。 | 根据任务需求(例如,软件物料清单)来自动执行策略进行规范,通过自动化方式实现对应用程序开发、部署、软件资产管理、ST&E,及技术插入、打补丁和跟踪软件依赖关系等方面的管理和监管。 | 为应用实施分层、定制的企业范围内的策略,覆盖开发和部署生命周期的所有方面,并尽可能利用自动化的策略执行。 | 完全自动化的应用开发和部署策略,包括通过CI/CD流程动态更新应用程序。 |
数据
数据包括驻留或曾经驻留在系统、设备、网络、应用程序、数据库、基础设施和备份(包括本地和虚拟环境)以及相关元数据中的所有结构化和非结构化的文件和片段。
按照联邦政府要求,各机构的数据应该在设备、应用程序和网络上得到保护。各机构应清点、分类和标记数据;保护静止和传输中的数据;并部署检测和阻止数据外泄的相关机制。各机构应仔细制定和审查数据治理策略,以确保在整个企业中适当地执行基于数据生命周期的安全管理。
下表列出了零信任架构中“数据”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
数据清单管理 | 人工识别部分数据(例如,关键业务数据),并为其建立清单。 | 采用自动化的数据清单流程,覆盖本地和云环境中的大部分数据,并引入防数据丢失的保护措施。 | 在企业范围内自动建立数据清单和跟踪,覆盖所有适用的机构数据,并采用基于静态属性和/或标签的数据防泄漏策略。 | 持续维护所有适用数据的清单,并采用强大的数据防泄漏策略,动态阻止可疑的数据泄露。 |
数据分类(新增) | 采用了有限的、非正式的数据分类。 | 实现数据分类策略,具备明确的标签定义和手动执行机制。 | 以一致、分级、有针对性的方式自动化了一些数据分类和标记过程,并使用简单、结构化的格式和定期审查来管理。 | 通过强大的技术和机制,在企业范围内采用细粒度、结构化格式自动对所有数据执行分类和标记。 |
数据可用性(新增) | 主要由本地数据库提供数据,同时提供了一些异地备份。 | 可以从冗余、高可用的数据存储库(例如,云)中提供一些数据,并为本地数据维护了异地备份。 | 主要从冗余、高可用的数据存储库中提供数据,并确保可以访问历史数据。 | 使用动态方法根据用户和实体的需求调整优化数据可用性,包括历史数据。 |
数据访问 | 通过静态访问控制,管理用户和实体的数据访问(例如,读取、写入、复制、授权他人访问等)权限。 | 开始部署自动化的数据访问控制,在企业范围内引入最低特权原则。 | 在自动化数据访问控制中,考虑采用各种属性,如身份、设备风险、应用程序、数据类别等,并在适当情况下进行时间限制。 | 在企业范围内自动执行即时(JIT)和恰到好处的数据访问控制,并持续审查权限。 |
数据加密 | 只对必要的数据进行最低限度的加密,包括数据存储和传输过程中的加密,并依赖手动或临时流程来管理和保护加密密钥。 | 对所有传输中的数据进行了加密,可行的话,还对数据存储(例如,关键业务数据和存储在外部环境中的数据)进行了加密,并开始规范密钥管理策略和强化加密密钥。 | 尽最大可能对企业范围内的所有存储、传输数据进行加密,开始采用密码敏捷性,并保护加密密钥(即,不使用硬编码密钥,并定期轮换)。 | 在必要时,对使用中的数据进行加密,在企业范围内执行最小权限原则以进行安全密钥管理,并尽可能使用最新的NIST标准和密码敏捷性来应用加密技术。 |
可见性和分析 | 对数据位置、访问和使用的可见性非常有限,主要依赖手动流程进行分析。 | 通过数据清单管理、分类、加密和访问尝试来获得可见性,还结合了一些自动化分析和相关性分析。 | 采用自动化分析和相关性分析,在企业范围内维护更全面的数据可见性,并开始采用预测分析。 | 能够全面跟踪数据生命周期,具备强大的分析能力,包括预测分析,支持全面的数据视图和持续的安全状况评估。 |
自动化和编排 | 通过手动和非正式的流程实施数据的生命周期管理和安全策略(例如,访问、使用、存储、加密、配置、保护、备份、分类、清洗)。 | 使用了一些自动流程来实施数据的生命周期管理和安全策略。 | 在企业范围内,以一致、分级、有针对性的自动化方式对大部分数据实施数据生命周期管理和安全策略。 | 在企业范围内,尽可能自动化地实施所有数据的生命周期管理和安全策略。 |
治理 | 手动实施非正式的数据治理策略(例如,保护、分类、访问、清单化、存储、恢复、清除等)。 | 定义高级的数据治理策略,主要依赖手动、分段实施。 | 在整个企业范围内集成数据生命周期的策略执行机制,实现数据治理策略的统一定义。 | 数据的生命周期策略尽可能统一一致,并在整个企业范围内动态执行。 |
跨支柱能力
可见性和分析、自动化和编排、治理的跨支柱能力,为推进跨五大支柱的集成提供了机会。可见性和分析支持全面的可见性,为策略决策提供信息并促进响应活动;自动化和编排利用这些见解来支持强大的简化操作,以处理安全事件并在事件出现时对其进行响应;治理使各机构能够管理和监测其监管、法律、环境、联邦和运营需求,以支持基于风险的决策制定,还可以确保通过采用正确的人员、流程和技术,实现任务、风险和合规目标。
下表提供了每种跨支柱能力的成熟度演进情况:
功能 | 传统阶段 | 初始阶段 | 高级阶段 | 最佳阶段 |
可见性和分析 | 在企业范围内,手动收集有限的日志,日志质量较差,且仅进行了最基本的分析。 | 自动收集和分析关键业务的日志和事件,并定期评估可见性方面的缺口。 | 扩大了自动化日志和事件的收集范围(包括虚拟环境),以进行跨多个来源的集中式关联分析。 | 通过对日志和事件的集中、动态监控和高级分析,实现企业范围内的全面可见性。 |
自动化和编排 | 依靠静态和手动流程,来编排操作和响应活动,自动化程度有限。 | 自动化编排和响应活动,以支持关键任务功能。 | 在企业范围内,实现自动化编排和响应活动,并利用多源上下文信息来指导策略决策。 | 编排和响应活动能动态响应整个企业范围内的需求和环境变化。 |
治理 | 在整个企业中以非正式方式实施策略,主要通过手动流程或静态技术执行策略。 | 定义并实施适用于整个企业范围的策略,但缺乏自动化,需要手动更新。 | 实施分层和定制的企业级策略,并尽可能利用自动化技术来支持策略执行。访问控制策略的决策利用了多源上下文信息。 | 实施完全自动化的企业级策略,能通过持续的策略执行和动态更新,实现定制化的本地控制。 |
原文链接:https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf
