2022零信任架构标准NISTSP800-207.docx

零信任架构标准NISTSP800-207摘要零信任（ZeroTrUSt,缩写ZT）是一组不断演进的网络安全范式，它将网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任架构（ZTA）使用零信任原则来规划企业基础设施和工作流。零信任取消了传统基于用户的物理或网络位置（即，相对公网的局域网）而授予用户帐户或者设备权限的隐式信任。认证和授权（用户和设备）是与企业资源建立会话之前执行的独立步骤。零信田耐了企业网络发展的趋势：位于园都J用户矛0三于云的资产，这些资产都不位于企业拥有的网络边界内。零信任的重心在于保护资源，而不是网段，因为网络位置不再被视为资源安全与否的主要依据。本文档包含零信任架构（ZTA）的抽象定义，并给出了零信任可以改进企业总体信息技术安全状况的通用部署模型和使用案例。关键词架构；网络空间安全；企业；网络安全；零信任目录中文翻译版说明2摘要6序言91介绍151.1与联邦木/1力勾有关的零信彳壬史161.2本文结构172零信任基本概念1921零信任原则2122零信任视角的网络243零信任体系架构的逻辑组件263.1 零信任架构的常见方案293.1.1 基于增强身份治理的ZTA303.1.2 基于微隔离的ZTA313.1.3 基于网络基础设施和软件定义边界SDP的ZTA3232抽象架构的常见部署方案32321基于设备代理/网关的部署333.1.4 基于飞地的部署343.1.5 基于资源门户的部署353.1.6 设备应用沙箱3733信任算法383.3.1信任算法的常见实现方法403.4网络/环境组件423.4.1支持ZTA的网络需求434部署场景/用例464.1 具有分支机构的企业4642多必云到云企业4743具有外包服务和/或访客的企业484.4 懿业协作504.5 具有面向公共或面向用户服务的企业515与零信任架构相关的威胁525.1 ZTA决策过程的破坏5252拒绝服务或网络中断5253凭证被盗/内部威胁535.4 网络可见性545.5 系统和网络信息的存储555.6 依赖专有数据格式或解决方案555.7 在ZTA管理中使用非人类实体（NPE）566零信任架构及与现有联邦政府引导的相互作用586.1 ZTA和NIST风险管理框架（RMF）586.2 ZT和NlST隐私框架586.3 ZTA和联邦身份、凭证和访问管理体系结构（FICAM）596.4 ZTA和可信Internet连接（TlC）3.0606.5 ZTA和ElNSTEIN（NCPS-国家网络安全保护系统）616.6 ZTA和DHS连续诊断和缓解（CDM）计划626.7 ZTA,智能云和联邦数据策略627迁移到零信任架构647.1 纯零信任雌6472零信任架构和基于边界的传统架构并存6573在基于传统架构的网络中引入零信任架构的步骤657.1.1 确定企业中的参与方677.1.2 识别企业自有资产677.1.3 确定关键流程并评估其运行风险687.1.4 如何选择零信任架构实施对象697.1.5 确定候选解决方案707.1.6 初期部署和监控717.1.7 扩大零信任架构的范围72参考资料73附录A缩略语79附录B识别ZTA当前技术水平的差距81B.1技术调查81B2阻碍立即转移至ZTA的鸿沟82B21）缺乏ZTA设计、规划和采购的通用术语827.1.8 ）关于ZTA与现有联邦网络安全政策冲突的认知83B3影响ZTA的系统性差距837.1.9 ）组件间接口的标准化837.1.10 ）解决过度依赖专有API的新兴标准84B4ZTA的认知差距与未来研究方向857.1.11 ）攻击者对ZTA的反击857.1.12 )ZTA环境中的用户体验867.1.13 )ZTA对企业和网络中断的适应能力875卜零信任架构实施89摘要911执行摘要931.l目的931.2范围9513假渤挑战961.4背景962场景982.1 场景一：员工访问企业资源982.2 场景二：员工访问互联网资源982.3 场景三：外包人员访问公司和互联网资源992.4 场景四：企业内部的服务器间通信992.5 场景五：跨企业合作1002.6 场景六：基于信任等级的企业资源访问1003顶层架构1013.1 组做表1013.2 所需要求1034相关标准和准则1055安全控制图1086附录A参考文献1131介绍企业的典型IT基础设S峻得越来越复杂。一家企业可能运营多个内部网络，拥有本地基础设施的分支机构，远程办公接入和/或移动办公的个人，以及云上的服务。这种复杂性已经超越了传统基于边界防御的网络安全策略，因为没有单一的、可以清Wi辨别的企业边界。此外,基于边界防御的网络安全控制已显示出明显的不足，一旦攻击者突破了边界,步告的横向攻击将不受阻碍。这种复杂性导致了新的网络安全理念及模型的出现，即零信任（z）。典型的零信任,主要关注于数据保护，但可以（且应该）被扩展到包括所有的企业资产（设备、基础设施组件、应用程序、卤以俗云组件）以及主体（最终用户、应用程序和其他请求资源信息的非人类实体）。在本文中将使用“主体"泛指请求资源信息的角色,除非有些段落中特指人类用户，则会以“用户"指代。零信任安全模型假设网络上已经存在攻击者，并且企业自有的网络基础设施（内网）与其他网络（比如公网）没有任何不同，不再默认内网是可信的。在这种新模式中，企业必须连续进行分析和评估其内部资产和业务功能可能面临的风险，然后采取措施减轻这些风险。在零信任状态下,这些保护通常涉及对资源（例如数据、计算资源和应用程序）的最小化授权访问，仅提共给那些被识为需要访问的用户和资产，并且对于每个访问请求持续进行身份和权限的验证。零信任架构（ZTA）基于零信任理念的企业网络安全战略，目的是防止数据泄露并限制内部横向移动攻击。本文讨论ZTA的逻辑组件、常见的部署方案以及面IiS的威胁。它还为希望将网络基础设施迁移至I摩信任设计的组织提供了总体路线图，并讨论可能对零信任战略造成影响的相关联邦政策。零信任不是单一网络体系结构，而是网络基础设施中的一知旨导原则以及系统设计和运营方法，可用于改善任何类型或敏感度等级的安全状况FIPS199。过渡到ZTA是一段过程，与T组织何评估其任务中的风险相关，无法简单地通过技术替代来完成。也就是说，许多组织已经在他们今天的企业基础设施中拥有部分零信任元素。组织应寻求逐步达成零信任的原则，完成流程更改和技术解决方案,以保护其数据资巧限Z用的业务功能。大多数企业的基础设施将以零信任/传统边界安全的混合运行的模式,同时持续进行IT现代化改造和业务流程改善。为了使零信任有效落地，组织股勾需要实施全面的信息安领口弹性的控制措施。在兼顾现有的网络安全策略和指南、访问管理、持续监控和一些最佳实践的同时，ZTA策略可以通过风险管控策略来防范常见威胁，并改善组织的安全状况。1.1 与联邦机构有关的零信任历史零信任的概念早在“零信任"T出现以前就一直存在于网络安全领域之中。国防信息系统局(DISA)和国防部(DoD)最早发布了他们的更安全的企业战略研究工作,称为"黑核"BCORE。黑核提倡从基于边界防御的安全模型转变为基于用户操作行为的安全模型。1994年的耶利哥论坛(JerichoForum)也提出了去边界化的网络安全概念,指出大型网络中单一静态防御的局限性以及应该去除基于网络位置的隐式信任JERICHO这种去边界化的思想后来演进成为约翰金德瓦格(JohnKindervag)在Forrester报告中提出的更大的零信任概念。零信任便成为一个专用词汇，用来描述从基于网翎立置的隐式信任安全模型转移到基于用户行为的持续信任评估安全模型。私营企业和高等学校教育也都拥抱了这一安全模型的演进,从基于边界的安全转换到了基于零信任理念的安全。自十多年前，美国联邦机构已经开始积极地迁移到基于零信任理念的网络安全。瞄晰松T磅设相关的能力不瞰策，从©笄三息安全管理法(FISMA)开始，然后是风险管理框架(RMF)x联邦身份、凭证和访问管理(FICAM)、可信互联网连接(TIC).持续i分解口缓解(CDM)计划。所有这些计划都旨在限制被授权方的对于数据和资源访问。这些计划最初启动时，因受限于信息系统的技术能力,安全策略大部分是静态的，只能在强制在企业t徽大的“瓶颈点上执行以获得最隹婢。但随着技术的频，对于每个访问请求进行持领、动态的、和螂度的分析和评估成为可能，这种按需授权的安全策略可以辱媛解由于被盗账号、嗦瘫i1.2 本文结构本文的结构如下： 第2节定义了零信任(ZT)和零信任架构(ZTA),并列出了为企业建立零信任架构的一些假设。本节还包括了零信任设计原则的列表。 第3节描述ZTA的逻辑组件或构成模块。以不同的方式组合ZTA组件以获得不同的实现方式并提供相同的逻辑功能是有可能的。 第4节列出了ZTA一些可能的应用场景。这些ZTA应用场景让企业环境更安全，更难被入侵，包括远程员工、云服务和访客网络等。 第5节讨论ZTA环境下企业会面临的威胁。其中许多威胁是与传统的架构网络下的威胁相似，但可能需要不同的防御技术。 第6节讨论ZTA原则如何适用和/或补充联邦机构现有的合规要求。 第7节介绍企业机构（例如联邦政府）过渡到零信任架构的着手点。这里面包括部署以零信任理念为纲领的应用程序和企业基础设施所需的常见步骤。2零信任基本概念零信任是一种以资源保护为核心的网络安全范式，其前提是信任从来不应该被隐式授予，而是必须进行持续由古。零信任体系架构种针对企业资漏瞰据安全的端到端方案，其中包括身份（人和非人的实体）、凭证、访问管理、操作、终端、主机环埸口互联基础m初始的重点应该是将资源访问限制在有实际访问需求的主体并仅授予执行任所需的最/做限（如读取、修改、删除）。传统上，组织机构（和一般的企业网络）专注于边界防御，合法认证用户被授予广泛的资源访问权限。因此，网络内未绮§权的横向攻击一直是联邦政府面临的最却感之一。可信Internet连接（TIC）和边界防火墙提供了强大的互联网网关。这有助于阻止来自互联网的攻击者，但它们在检测和阻止来自网络内部的攻击方面用处不大，并且也无法保护边界外的用户（例如，远程工作者、基于云的服务）。关于的零信任（ZT）和零信任架构（ZTA）通俗的定义如下：一个企业决定采用零信任作为它的网络安全基准原则，就需时刻将零信任架构作为一个基本原则进行规划。然后以此计划部署一个零信任环境供企业使用。此定义聚焦的问题关键包括：消除对数据和服务的非授权访问，以及使访问控制的执行尽可能精细化。也就是说，授权过和经批准的主体（用户、应用、和设备的组合）可以访问数据，同附F除其他所有主体（例如，攻击者）。进/讲，可以用“资源"T司代替"数据"，从而变为ZT和ZTA对资源进行访问（例如打印机、计算资源、IoT执行器等），而不仅仅是数据访问。为了达到降彳氐不确定性的目的（因为它们不能完全消除）,重点是通过身份验证、合樵权秘宿4能含信任磁，同时最小化认证幡U中的时T睡迟来弟见访问规则被限制为最小权限，并尽可能细颗粒度。在图1的抽象模型中，当主体需要访问企业资源时，其需要通过策略决策点（PDP）和相应的策略执行点（PEP）授予访问权限。图1：零信任访问零信任访问系统必须确保用户可信且请求合法。PDP/PEP会做出合适的判断以允许主体访问资源。这意D椅零信任适用于两个基本领域：身份验0困JS权。对于某个单T三求,用户的身份的信任等级是什么级?考虑Sl对用户身份的信任等级,是否允许访问资源?用于请求的设备是否具有正确的安全状态?是否有其他因素需要考虑，这些因素可能改变信任题（如时间、主体位置、主体安全状态）？总体而言,企业需要为资源访问制定和名钳户基于风险的动态策略，并建立一个系统来确保这些策略得到正确和一致的执行。这意味着企业不应依赖于隐含的可信性。所谓隐含可信性是指：如果用户满足基本身份验证级别（如，登录到某个资产），则假定所有资源请求都同样合法。隐含信任区”表示一个区域，其中所有实体都至少被信任到最后一个PDP/PEP网关的级别。例如，可以参考机场的乘客安检模型。所有乘客通过机场安检点（PDP/PEP）进入登机口。乘客可以在候机区内闲逛，所有通过检查的乘客都被认为是可信的。在这个模型中，隐含信任区域是登机区。PDP/PEP采用一系列的控制策略，使得所有通过检查点之后的通信流量都具有一个共同信任级别。PDP/PEP不能对访问流量使用超出其位置的策略。为了使PDP/PEP尽可能明确，隐含信任区必须尽可能小。零信任架构提供了一套原则和概念,使得PDP/PEP更接近资源。其思想是显式地验证和授权企业的所有用户、设备、应用程序和工作流。2.1零信任原则关于零信任的许多定义和讨论都强调去除以广域边界防御（如企业防火墙等）为因素的概念。然而，大多数的概念仍然以耕方式定义自己与边界的关系（例如微隔离或微边界，请参阅章节3.1）,并把边界作为零信任架构的一部分。以下是根据应引入而非排除的方式来定义ZT和ZTA的基本原则。这些原则尊患的目标,同时必须承认并非所有的原则都可以在合定的战略中以其最纯的形式充分实施。零信任架构的设计和部署遵循以下基本原则：1所有数据源和计算服务均被视为资源。网络可以由几种不同类别的设备组成。网络可能还拥有小微型设备，这些设备将数据发送到聚合器/存储、软件即服务（SaaS）,还有将指令发送到执行器的系统等。此外，如果允许个人自带的设备访问企业拥有的资源，则企业也可以决定将其归类为资源。2无论网络位置如何，所有通信都必须是安全的。网络位置并不意味着隐式信任。来自位于企业自有网络基础设施上的系统的访问请求（例如，在传统概念中内网）必须与来自任何其他非企业自有网络的访问请求和通信采用相同的安全要求。换言之，不应对位于企业自有网络基础设施上的设备自动授予任何的信任。所有通信应以最安全的方式进行，保证脸街口爆性,并提（为原身份i证。3对企业资源的访问授权是基于每个连接的。在授予访问权限之前，需要对请求者的信任进行评估。这意味着此特定事务只能在以前某个时间发生，并且在启动会话或使用资源执行事务之前不应该直接发生。但是，对某一个资源访问的身份认证和授权不会自动授予到其他不同的资源访问。4对资源的访问权限由动态策略（包括客户身份、应用和请求费产的可观测状态）决定，也可能包括其他行为属性。一个组织通过定义其所拥有的资源、其成员是谁（或对来自联盟的用户进行身份认证的能力）、这些成员需要哪些资源访问权等方式来保护资源。对于零信任模型，用户身份包括使用的用户账户和由企业分配给该帐户或组件以认证自动化任韧趣的你可相关属性。请求发送者的资产状态包括设备特征，例如：已蟠的软件版本、网络位置、请求时'斫口日期、以前观测到的行为、已安装的凭证等。行为属性包括自动化的用户分析、设备分析、度量到的与已嬲倒的使用模式的偏差。策略是一系列基于组织树盼配给用户、数据资产或应用的属性的访问规则集。这些属性基于业务流程的需要和可接受的风险水平。资源访问和操作权限策略可以根据资源/数据的敏感性而变化。最小特权原则应该被应用于限制可视性和可访问性。S企业应该监控并且测量其所有自有或关联的姿产的完整性和安全态势。没有设备是天生可信的。当企业评估一个资源请求时,也应该同时评估资产的安全态势。实施ZTA战略的企业应建立一个CDM或类似的系统来监控设备和应用的状态,并根据需要应用补丁/修复程序。那些被攻陷、具有已知漏洞和/或不受企业管理的设备（包括拒绝与企业资源的所有连接设备），与那些企业所拥有的或与企业关联的被认为处于最安全状态的设备相比，应该被区别对待。这种要求也应该适用于允许访问某些资源但不允许访问其他资源的关联设备（例如，个人自带的设备）。因此，需要一个强大的监控和报告系统来提供关于企业资源当前状态的可操作数据。6所有资源的身份认证和授权是动态的，并且在资源访问被允许之前严格强制实施。这是一个不断的访问请求、扫描和评估威胁、自适应、在通信中进行持续信任评估的循环过程。实施ZTA策略的企业具有身份、凭证和访问管理系统（ICAM）以及资产管理系统。这其中包括使用多因子身份验证（MFA）访问某些（或所有）企业资源。整个用户交互过程应该持续地监视，根据策略（如基于时间的、新的资源请求、检测到异常用户活动）的定义和执行，可能进行重新的身份认证和重新授权，以努力实现安全性、高可用性、易用性和成本效率之间的平衡。7.企业应该尽可能收集关于资产、网络基础设施和通信的当前状态信息，并将其应用于改善网络安全态势。一个企业需要收集关于网络流量和访问请求的数据,并将这缪据用于提高安全策略的创谶口改进。这缕媚还可以作为某个主体的访问请求的上下文信息（请参阅第3.3.1节）。上述原则试图尽可能的无技术倾向性（technology-agnostic）o例如，"用户身份ID"可以包括多种方式：例如用户名/口令、证书、一次性密码等等。这些原则适用于在一个组织机构内或与一个或多个合作伙伴组织，但不适用于面向公众或消费者的业务流程。因为组织不能将内部政策强加给夕陪P参与者（例如，客户或普通互联网用户），但可以对与组织有特殊关系的非企业用户（如注册客户、员工家属等）实施一些基于ZT的策略。2.2零信任视角的网络对于在网络规划和部署中使用ZTA的任何组织,都有一些关于网络连接性的基本假设。其中一些假设适用于企业自有的网络基5出设施,另一些适用于非企业拥有的网络基础设施上（例如，公共WiFi或公共云提供商）。这些假设被用来指导ZTA的形成。陵施ZTA的企业中,网络开发应该遵循上述的ZTA原则和以下的假设。1.整个企业专网不被视为隐式信任区。资产应该始终假设企业网络上存在攻击者，通信应该来以最安全的方式进行（见上文的原则2）。这需要对所有连接进行身份验证，对所有通信流量进行加密操作。2网络上的设备可能不归企业所有或不可配置。访客和/或外包服务可能需要用非企业自有的设备进行网络访问才能履行其职责。此外，员工自带设备（BYOD）策略，允许企业用户使用非企业自有的设备访问企业资源。3 .没有资源是天生可信的。在连接到企业拥有的资源之前，每个资产都必须通过PEP评估其安全态势（与针对资产和主体的上述原则6类似）。该评估应该持续进行直到会话结束。与来自非企业自有设备的相同请求相比，企业自有设备可能具有启用身份验证的构件并提供高于同一三求的信任等级。仅使用用户凭证并不足以对企业资源进行设备认证。4 .并非所有的企业滨源都在企业拥有的基础设施上。资源包括远程用户和云服务。企业拥有或管理的资产可能需要利用本地（即非企业）网络进行基本的连接和网络服务（如DNS解析）。5 .远程企业主体不能信任本地网络连接。远程主体应该假设本地（即非企业所有）网络是恶意的。资产应该假设所有的流量都被监控中并可能被修改。所有连接请求都应经过身份认证和授权，所有通信都应尽可能以最安全的方式完成（即提供机密性、完整性保护和源身份认证）。（参见上面的ZTA原则）。6在企业和非企业基础设施之间移动的资产和工作流应具有一致的安全策略和态势。在移入或移出企业拥有的基础设施时，资产和工作负载应保持其安全态势。这包括从企业网络移动到非企业网络的设备（即远程用户）。这也包括从企业内音激据中心迁移到非企业云实例的工作负载3零信任体系架构的逻辑组件在企业中，构成ZTA部署的逻辑组件很多。这些组件可以作为本地服务或通过基于云的月器来运行。图2中的概念框架模型显示了组件及其相互作用的基本关系。注意，这是显示逻辑组件及其相互作用的理想模型。从图1中，策略判定点（PDP）被分解为两个逻辑组件：策略引擎（PE）和策略管理器（PA）（定义如下）。ZTA逻辑组件使用单独的控制平面进行通信，而应用数据则在数据平面上进行通信（见3.4节）。持续诊断和埃 解（CDM）系统行业合规系统威胁情报源行为日志图2:核心零信任逻辑组件以上组件的具体描述：策略引擎（PolicyEngine,PE）:该组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部信息源（例如IP黑名单、威胁情报0员务）的输入作为“信任算法”（TA）的输入，以决定授予或拒绝对该资源的访问（请参阅章节3.3了解详情）。第咯引擎（PE）与策略管理器（PA）组件配对使用。策略引擎做出并记录决策，策略管理器执行决策（批准或拒绝）。策略管理器（PolicyAdministrator,PA）:该组件负责建立和（或）切断主体与资源之间的通信路径（通过给PEP的命令）。它将生成客户端用于访问企业资源的任何身份验证令牌或凭证。它与策略引擎PE紧密相关，并依赖于其决定最终允许或拒绝会话。如果会话被授权且请求已被认证，则PA配置PEP以允许会话启动。如果会话被拒绝（或之前的批准被拒绝），PA向PEP发出信号以切断连接。一些实现可能会将PE和PA视为单独的服务；这里，它们被划分为两个逻辑组件。PA在创建连接时与策略执行点（PEP）通信。这种通信是通过控制平面完成的。策略执行点（PolicyEnforcementPoint,PEP）:此系统负责启用、监视并最终终止访问主体和企业资源之间的连接。PEP与PA通信，以转发请求和/或从PA接收策略更新。这是ZTA中的单个逻辑组件，但也可能分为两个不同的组件：客户端（例如，用户笔记本电脑上的Agent代理程序）和资源端（例如，在资源之前部署的访问控制网关）或充当通信路径防护的单个门户组件。在PEP组件的后面就是放置企业资源的隐含信任区域（请参阅第2节）。除了企业中实现ZTA策略的核心组件之外，还有几个数据源提供输入和策略规则，以解略引里做访问;嵯时使用。这里据源包括本地的的脚（即非企业控制或创建的），其中包括：持续诊断和缓解（CDM）系统（Continuousdiagnosticsandmitigationsystem）:该系统收集关于企业资产当前状态的信息，并更新配置和软件组件。企业CDM系统向策略引擎提供关于发出访问请求的系统的信息，例如它是否正在运行适当的打过补丁的操作系统和应用程序、企业批准的软件组件的完整性或是否存在未经批准的组件、以及该资产是否存在任何已知的漏洞。CDM系统还负责对活跃在企业基础设施上的非企业设备进行识别并可能执行子集策略。 行业合规系统(IndUStrycompliancesystem):该系统确保企业遵守其可能隶属的任何监管制度(如FISMA.医疗或金融行业信息安全要求HIPAAsPCI-DSS等)。这包括企业为确保合规性而制定的所有策略规贝山 威胁情报源(Threatintelligencefeeds):该系统提供外部来源的信息，帮助策略引擎做出访问决策。这些可以是从多个外部源获取数据并提供关于新发现的攻击或漏洞的信息的多个服务。这还包括新发现的软件缺陷、新识别的恶意软件以及报告的对其他资产的攻击(策略引擎PE将会拒绝来自该企业设备的访问)。 网络与系统行为日志(Networkandsystemactivitylogs):该企业系统聚合资产日志、网络流量、资源授权行为和其他事件，这些事件提供对企业信息系统安全态势实时(或者非实时)的反馈。 数据访问策略(Dataaccesspolicies):这是一组由企业围绕着企业资源而创建的关于数据访问的属性、规则和策略。这组策略规则可以编码(通过管理界面)，也可以由策略引擎PE动态生成。这些策略是授予对资源的访问权限的起点，因为它们为企业中的参与者和应用程用!供了基本的访问特权。这些角色和访问规则应基于用户角色和组织的任务需求。 企业公钥基础设施（PKI）:该系统负责生砌口记录企业向资源、主体、服务和应用程序签发的证书。这还包括全球CA生态系统和联邦PKI1它们可能与企业PKl集成，也可能糕成此条挺可以居厚于X.509数字证书构建的PKI体系。 身份管理系统（IDmanagementsystem）:该系统负责创建、存储和管理企业用户账户和身份记录（例如：轻量级目录访问协议LDAP服务器）。该系统包含必要的用户信息（如姓名、电子邮件地址、证书等）和其他企业特征，如角色、访问属性或分配的系统。该系统通常利用其他系统（如上面的PKI）来处理与用户账户相关联的工件。该系统可能是更大的联合社区的一部分，可能包括非企业员工或链接到非企业资产的协作。 安全信息和事件管理（SIEM）系统：该系统收集以安全为核心、可用于后续分析的信息。这些数据可被用于优化策略并预警可能对企业系统进行的主动攻击。3.1 零信任架构的常见方案企业可以通过多种方式为工作流引入零信任架构ZTA。这些7擦因使用的组件和组织策略规则的主要来源而有所差异。每种方案都实现了零信任的所有原则（请参阅第2.1节），但可以使用一个或两个（或一个组件）作为策略的主要驱动元素。f完整的ZT解决方案将包括所有三种方案的要素。这些方案包括增强的身份治理、逻辑微隔离、和基于网络的隔离。不同的场景使用不同的方案。为企业开发零信任架构ZTA的组织可能会发现，其所选择的用例和已有策略会导向某一种方案。这并不是意味着其他方案不起作用，而是意味着其他方案可能更难实施，可能需要更多针对企业当前开展的业务流程的基础改变。3.1.1 基于增强身份治理的ZTA基于增强身份治理的ZTA使用参与者身份作为策略创建的关键组件。如果不是请求访问企业资源的主体，则无需创建访问策略。对于这种方案，企业资源访问策略基于身份和分配的属性。资源访问的主要诉求是基于给定主体身份的访问授权。其他因素，如使用的设备、资产状橱咻境因素，可以改变其最终信任评分计算（和最终访问授权），或者以某种方式调整结果（例如，基于网络位置仅授予对给定数据源的部分访问权限）。保护资源的PEP组件必须有能力可以把请求转发到策略引擎服务，在访问授权之前进行主体身份认证和请求核准。基于增强身份治理的企业ZTA方案通常使用开放网络模型，或允许夕卜部访问者访问的企业网络,或允许网络上的常胆E企业设备（如下面第4.3节中的用例）。网络访问初始噬予在具有访问权限的资产上，仅限于具有适当访问权限的身份。授予基本的网络连接有Ffc点，因为恶意行为者仍然可以尝试网络侦查和/或利用网络对内部或第三方发起拒绝服务攻击。企业仍然需要在这种行为影响工作流程之前对其进行监控和响应。身份驱动的方法与资源门户网站模型（见3.2.3节）配合得很好，因为设备身份和状态为访问决策提供了辅助支持数据。其他模型也可以使用，具体取决于现有的策略。身份驱动的方法对于使用基于云的应用/服务的企业也很有效，因为这些应用/服务可能不允许使用企业所有或运营的ZT安全组件（如许多SaaS产品）。企业可以使用请求者的身份在这些平台上建立和执行策略。3.1.2 基于微隔离的ZTA企业可以将单个或一组资源放在由网关安全组件保护的私有网段上来实施ZTAo在这种方案中，企业将智能交换机（或路由器）、下一代防火墙（NGFWS）等基础设施设备或特殊用途的网关设备作为保护每个资源（或一小组相关资源）的PEP0或者（或额外），企业可以选择使用软件代理（见第3.2.1节）或端点资产上的防火墙来实现基于主机的微隔离，这些网关设备动态授权访问来自客户端资产的各个请求。根据触的不同，网关可以是唯一的PERPolicyEnforcementPoint）组件，也可以是由网关和客户端代理组成的多部分PEP的一部分。（请参阅第3.2.1节）由于保护设备充当PEP,而该设备的管理充当PE/PA组件，因此该方法适用于各种用例和部署模型。此方法要求身份管理程序（IGP）完全发挥作用，但依赖网关组件充当PEP,从而保护资源免受未经授权的访问和/或发现。该方案关键必要的一环是对PEP组件进行管理，并应能够根据需要做出反应和重新配置,以应对威胁或工作流的变化。可以通过使用一般的网关设备甚至无状态防火墙来实现微隔离企业的某些功能是可行的，但是管理成本和快速适应变化的难度使这成为非常糟糕的选择。3.1.3 基于网络基础设施和软件定义边界SDP的ZTA最后一种方案是使用网络基础设施来实现ZTA0零信任的实现可以通过使用顶层网络来实现（即第7层，但也可以将其部署在更低的ISO网络协议栈）。这种方案有时称为软件定义边界（SDP）方法，并且经常包含SDNSDNBOOK和基于意图的联网（IBN）IBNVN的概念。在这种方案中，PA充当网络控制器，根据PE做出的决定来建立和重新配置网络。客户端继续请求通过PEP（由PA组件管理）进行访问。当在应用网络层（即第7层）实施该方案时，最常见的部署模型是代理/网关（见3.2.1节）。在此实现中，代理和资源网关（充当单个PEP,由PA配置）建立用于客户端和资源之间通信的安全通道。这种模型可能还有其他的变体，也适用于云虚拟网络、非IP网络等。3.2 抽象架构的常见部署方案以上所有组件都是逻辑组件。他们未必都是单一系统。单个系统可以履行多个逻辑组件的职责，同样，辑组件可以由多个硬件或软件元素组成以执行其任务。例如，企业管理的PKI可能由负责发行的设备证书的T组件，与另T用于向最终用户颁发证书的组件共同构成，但两者都使用由同一个企业根证书颁发机构颁发的中间证书。在目前市面上一些的零信任产品中，PE和PA组件合并在同一个服务中。以下各节会描述架构的各个所需组件的不同部署方式。根据企业网络的设置方式不同，多种ZTA部署模型可能会适用于一个企业中的不同业务流程。3.2.1 基于设备代理/网关的部署在此部署模型中，PEP分为两个组件，一个驻留在资源上，另一个直接位于资源前面。例如，每个企业分配的资产上都有个已安装的设备Agent代理程序用于创建和管理连接，并且每个资源都有一个组件（即网关）放置在最前面，以便资源仅与网关通信,该组件本质上充当资源的代理。代理是一个软件组件,它将部分（或全部）流量引导到相应的PEP,以便对请求进行评估。网关负责连接到策略管理器（PA）,并对由PA配置所允许的通信放行（请参见图3）。举T典型场景为例，用户希望通过企业分配的笔记本电脑连接Sf持定例资原（例如，资源应用程序/数据库该访问请求由本地代理Agem接收，然后将请求发送给策略管理器（PA）。第8S管理器（PA）Slm略弓I擎（PE）可以是企业本地部署产品或云托管服务。策略管理器PA将请求转发到策略引擎PE进行评估。如果请求被授权，则PA配置设备代理与相关设备之间的通信通道通过控制平面的资源网关。这可能包括网际协议（IP）策略管理器PA将请求转发到策略引擎PE进行评估。如果请求被授权，则策略管理员PA通过控制平面在配置设备上Agent代理程序与对应的资源网关GateWay之间配置妾通道。这可能包括IP地址，端口信息，会话密钥或类似的安全元件。然后，设备代理程序和网关连接，加密的应用程序数据流开始工作。当工作流完成或由于安全事件（例如，会话超时、无法重新认证）而由策略管理器PA触发时,设备代理与资源网关之间的连接将终止。止侨莫型最适合于在中拥有强大的设备管理程序的企业。或者是分散的资源都可以与网关通信。对于大量利用云服务的企业来说，这是云安全联盟（CSA）软件定义边界（SDP）CSA-SDP的客户端-服务器实现。这个模型也适用于不想制定严格BYOD政策的企业。所有对于资源的访问只能通过设备代理Agent,这个Agent可以安装在企业的设备资产上。3.2.2 基于飞地的部署此部署模型是上述设备代理/网关模型的变体。在这个模型中，网关组件可能不驻留在资产上或在某个资源的前面，而是驻留在资源飞地（例如，本地数据中心）的边界上（如图4所示）。通常，这些资源仅用于实现单个业务功能，或者它们可能无法与网关直接通讯（例如，一些陈旧黝居库系统可能没有API接口可以与网关通信API）。这个部署该模型也可以应用于基于云上湖员务的业务流程（例如，用户通知、数据库查询、工资支出）。在这个模型中，整个私有云位于网关后面。图4:飞地网关模型该模型可以和设备代理/网关模型进行混合部署。在这个模型中，企业设备资产上安装一个代理程序Agent,用于连接飞地的网关，但是创建这些连接的过程和上面提到的设备代理/网关模型的使用的过程是一样的。该模型可以应用于企业比较陈旧的应用程序或者在无法独立部署网关的本地数据中心。企业需要一上统趺的设备和配置管理系统来安甥13配置所有终端上的代理程序(Agent)。这个模型的缺点是网关只能保护一组资源而并非每个独立的资源，这将导致访问主体可能会看到一些他们不该看到的资源。3.2.3 基于资源门户的部署在此部署模型中，PEP是充当用户请求网关的唯一组件。网关门户既可以用于单个资源，也可以用于实现单个业务功能的一组资源所处的飞地。例如，通过网关门户连接到运行老旧应用程序的私有云或数据中心(如图5所示)。图5:资源门户模型该模型相对于其他模型的主要优势是，无需在所有客户端设备上安装软件组件。这种模型对于BYOD政策和跨组织协作而言非常灵活。企业管理员无需确保每个设备在使用前都安装有适当的设备Agent代理程序。但是，来自访问请求的设备的信息也会非常有限。此模型只能在资产和设备它们连接到PEP门户时进行一次性的扫描和分析，但无法持续地进行恶意软件和正确配置的监控。此模型的主要区别在于，无需本地母三程J序处理请求，因此企业可能无法对于对资产有完整可见性或任意控制权,因为只能当他们连接到门户时才能看到/扫描。企业可能可以采用浏览器隔离的方式来缓解这个问题。在这些会话之间，资产可能是企业看不见的。该模型还允许攻击者发现并尝试访问门户或尝试对门户进行拒绝服务（DoS）攻击。门户系统应配置完善,可提供抵御DoS攻击或网络中断的可用性。3.2.4 设备应用沙箱代理/网关部署模型的另一个变体是将应用程序或进程在资产设备上的隔离区运行。这些隔离专区可以是虚拟机，容器或其他实现方式，但目标是相同的：保护在设备上运行的应用程序，或者来自可能受到威胁的主机的应用程序实例，或者其他应用程序。-策略执行点策略执行点国沙箱图沙箱操作系统系统图6:应用程序沙箱在图6中，用户在设备上的沙中运行已批准和审查过的应用程序。该应用程序可以与PEP通信以请求访问资源，但PEP将拒绝来自该设备资产上的其他应用程序。这个模型中，PEP可以是企业本地服务或云服务。此模型的主要优点是，单个的应用程序和该设备上的其他应用程序隔离。即使无法扫描设备资产上的漏洞，这些独立运行在沙盒的程序也能免受主机上潜在的恶意软件蜂。但这种模型有一,就是企业必须为所有设备资产维护这些沙盒中应用程序，但又可能无法看到这些资产。企业还需要确保每个沙盒应