NIST发布零信任架构草案

零信任（Zero Trust）是一组不断发展的网络安全术语，它将网络防御的边界缩小到单个或更小的资源组。零信任架构（Zero Trust Architecture，ZTA）战略是指并不根据物理或网络位置对系统授予完全可信的权限。对数据资源的访问权限只有当资源需要的时候才授予，在连接建立之前会进行认证。零信任架构是对企业级网络发展趋势的回应，企业级网络开始包含远程用户和位于企业网络边界的基于云的资产。零信任架构关注于保护资源、而非网络分段，因为网络位置不再被视为资源安全态势的主要组成部分。

零信任架构的定义为：

零信任架构提供了旨在消除在信息系统和服务中实施准确访问决策时的不确定性的一系列概念、思想和组件关系（体系结构）。

为了减少不确定性，零信任在网络认证机制中减少时间延迟的同时更加关注认证、授权、以及可信域。访问规则被限制为最小权限。

在下图中，用户或机器需要访问企业资源。访问时通过PDP（Policy Decision Point）和对应的PEP（Policy Enforcement Point）来授予权限的。

零信任架构的基本原则

零信任架构的设计和部署遵循以下基本原则：

1、所有的数据源和计算服务都被认为是资源。

2、所有的通信都是安全的，而且安全与网络位置无关。

3、对单个企业资源的访问的授权是对每次连接的授权。

4、对资源的访问是通过策略决定的，包括用户身份的状态和要求的系统，可能还包括其他行为属性。

5、企业要确保所有所属的和相关的系统都在尽可能最安全的状态，并对系统进行监控来确保系统仍然在最安全的状态。

6、用户认证是动态的，并且在允许访问前严格执行。

零信任架构逻辑组成

在组织和企业中，构成零信任架构部署的逻辑组件通常有很多，《草案》中描述了一种典型的方案逻辑及核心产品组件：

NIST零信任架构典型逻辑图

策略引擎（Policy Engine, PE）。组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源（例如IP黑名单，威胁情报服务）的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问，策略引擎的核心作用是信任评估。

策略管理器（Policy Administrator, PA）。组件负责建立客户端与资源之间的连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎紧密相关，并依赖于其决定最终允许或拒绝连接，策略管理器的核心作用是策略判定点，是零信任动态权限的判定组件。

策略执行点（Policy Enforcement Point, PEP）。这实际上是一个组件系统，负责开始，持续监控、并最终结束访问主体与访问客体之间的连接。策略执行点实际可分为两个不同的组件：客户端组件（如用户笔记本电脑上的agent）与资源端组件（如资源前控制访问的网关），策略执行点确保业务的安全访问。 

除了以上核心组件外，还有进行访问决策时为策略引擎提供输入和策略规则的许多数据源。包括本地数据源和外部数据源，具体包括：

· 持续诊断和缓解计划（continuous diagnostics and mitigation，CDM）系统。该系统收集关于企业系统当前状态的信息，并将更新应用到配置和软件组件中。企业CDM系统还提供给策略引擎关于系统访问请求的信息。

· 行业合规系统（Industry Compliance System）。该系统确保企业与当前政府管理的一致性。包括企业开发的所有策略规则来确保合规。

· 威胁情报流。该系统提供帮助策略引擎进行访问决策的信息。

· 数据访问策略。数据访问策略是企业为企业资源创建的关于数据访问的属性、规则和策略的集合。策略规则集可以编码在策略引擎中或有PE动态生成。

· 企业公钥基础设施（PKI）。该系统负责生成和记录企业对资源、应用等发布的证书。既包括全局CA生态系统和联邦PKI。

· ID管理系统。系统负责创建、保存和管理企业用户帐户和身份记录。系统中既含有必要的用户信息，也含有其他企业特征，比如角色、访问属性、或分配的系统。

· 安全应急和事件管理系统（SIEM）。集合了系统日志、网络流量、资源权利和其他信息的企业系统为企业信息系统体佛那个安全态势的反馈。

零信任架构的部署形式

基于设备代理/网关的部署

在基于设备代理/网关的部署模型中，PEP被分为2个组件，位于资源上或在资源之前直接作为组件。比如，每隔企业发布的系统都安装了设备代理，每个资源都有一个前置的组件只网关直接通信，作为资源的逆向代理。网关份额则连接到策略管理员，并允许策略管理员批准的连接。

基于微边界的部署

基于微边界的部署模型是基于设备代理/网关的部署模型的变种。该模型中，无关组件可能位于系统中，也可能位于单个资源之前。一般来说，这些资源是作为单个业务功能，并不直接与网关来通信。该模型中，企业私有云位于网关之后。

基于资源门户的部署

在基于资源门户的部署模型中，PEP作为一个单独的组件作为用户请求的网关。网关门户可以作为单个资源也可以作为单个业务功能集合的微边界。

系统应用沙箱

系统应用沙箱部署模型也是基于代理/网关部署模型的变种，沙箱模型使可信应用在系统中隔离运行。这些隔离的部分可以是虚拟机、也可以是容器和其他实现方式，但目标是一样的：保护系统中运行的主机和应用不受其他应用的影响。