云联盟 零信任实战框架 学习记录

序言

摘要

零信任背景

为什么选择零信任/h3>

信息安全的零信任模型于 2003 年在Jericho项目上提出，当时人们已经认识到传统边界 络面临的安全挑战，随后在 2009 年（ 2014 年公开可用）的谷歌BeyondCorp项目中实施了零信任模型，然后由Forrester Research在 2010 年予以定义。零信任模型“消除了可信 络的概念”并教导“在零信任(ZT)中，因为所有 络流量都是不可信的，所以安全专业人员必须验证和保护所有资源、限制并严格执行访问控制、检查和记录所有 络流量。”2019 年，NIST撰写了零信任架构特别出版物 (SP 800 – 207 ) ，该文章将零信任理念融入零信任架构（ZTA）的抽象定义，并提出了ZTA开发和实施的指导原则。
行业的变化推动了ZT零信任安全的新格局，包括急速上涨的安全成本、以及5 G 、云计算、物联 (IoT) 和面向微服务的架构的广泛使用。这些因素重新定义了所有权边界和应用模式，导致了固定物理边界或软件定义的 络边界的消失。

评估当前的零信任成熟度

组织机构必须了解其零信任架构的当前成熟度水平，调研整个组织机构范围，进行彻底和有效的分析。该分析应涉及到目前与零信任所有模块相关的人员、流程和技术。虽然CISA联邦零信任战略^5 文件主要服务于联邦机构，但也可作为一个指南文件帮助理解对成功实施零信任架构至关重要的流程和技术。美国国家标准与技术研究院（NIST）和行业领导者^6 （如ACT-IAC^7 和Forrester^8 ）正在定义概念模型和框架并不断改进；然而，应当指出，目前这些框架还没有结合在一起。CISA发布了零信任成熟度模型ZT CMM^9 ，由以下模块组成：身份、设备、 络、应用程序工作负载和数据。这五大模块共同组成了一个整体方案，指导了一个组织机构如何将资源用于开发零信任架构。
零信任架构成熟度模型ZTA-CMM提供了每个模块成熟度级别的洞察（如图 2所示）。深入了解每个领域有助于组织机构负责人了解环境中采用零信任架构方面的独特优势和差距。目前，组织机构并没有赋予一个普适的零信任成熟度模型执行零信任架构评估，这是行业指南中的一个空白，因此整个行业需要增强关于零信任成熟度ZTA-CMM的排名和评级合作。在此过渡期，个别组织可能会先执行初步评估，这些初步评估的结果将成为该组织的基线评估。

制定零信任路线图

随着组织机构对其零信任架构成熟度级别的当前状态有更多的了解，可以确定其所在级别并将新的解决方案纳入其架构，缩小差距并提高成熟度。例如，DHSCISA ZT CMM（DHS CISA）使用三个级别：传统、高级和最优
为了达到理想的零信任架构成熟度，组织需要评估自己当前的成熟度，并根据评估结果确认要优先建设的领域、需要的资源以及在一段时间内达到目标所需的预算。
相较于在安全和IT现代化建设处于起步阶段的组织，ZTA成熟度在已经实现了较好零信任的环境下更具相关性。为了满足ZTA路线图的要求，负责人需要更好地理解不断发展的前沿技术，这些技术为达到目标成熟度提供了先进的方式。首先，完成对组织零信任成熟度五大模块能力的评估。对于每个模块可以制定几个问题，以便负责人全面评估每个重点领域的成熟度水平。这些问题按照难度和范围递增，从而使零信任在该模块中更为成熟。完成调查问卷后，组织机构可以利用量化结果作为组织当前零信任架构ZTA成熟度的评估基线。组织架构的的当前成熟度水平和组织预期的成熟度水平目标可以按照量化规则图展现，量化规则图类似CMMC^10 建议的蜘蛛图表示方法 。
这种方法产生了一个零信任ZT的投资优先级路线图，如图 5 所示。投资优先级路线图应结合应用行业最佳实践和框架，如NIST特别出版物(SP) 800 系列,CSA云控制矩阵(Cloud Controls Matrix ,CCM), 或政府安全技术实施指南(Government Security Technical Implementation Guides, STIG)。这些最佳实践和框架适用于每个模块，有助于指导组织机构了解其当前状态中缺乏的详细流程和技术需求，以便在一到三年内达到预期的成熟度水平。这种方法只是一个示例，每个组织机构都可以根据自身情况量身定做。未来的工作组和组织可能会制定一套标准的规范性问题和图形描述采用ZTA零信任架构的整体能力成熟度水平。

采用零信任的考量因素

除了考量零信任成熟评估和路线图因素外，技术、组织文化、策略和监管要求这四个因素是建设零信任架构（ZTA）的重要考量因素。这些内外部因素影响一个组织机构在当前复杂和混合的环境中理解、设计及实施零信任架构的能力，帮助负责人确定哪些变量是当前零信任架构成熟度水平的关键障碍或加速因素，哪些变量最有助于推进其零信任架构之旅。
采用零信任架构的关键步骤之一是形成人员、流程技术、关键资产及安全控制措施清单。这是成功采用该架构的关键。NIST建议从单个流程入手不断推进架构部署。
组织机构应以 “速赢”为目标，并理解采用零信任架构是一项长期的、战略级的举措。因此，零信任需要管理层的支持，并在三到五年内持续考虑所有相关因素。能力成熟度模型可以引导组织机构了解现有及传统的能力，同时提出适当的问题并寻求答案。例如，问题可以包含：
1 .组织使用的传统技术是什么br> 2 .它们使用什么类型的数据和服务br> 3 .具体实施了哪些云服务br> 4 .是否已经实施了云访问安全代理的解决方案br> 5 .如何管理身份以及实施了哪些工具br> 6 .组织机构处于云应用的哪个阶段br> 然而，问题应当结合组织机构的特定业务和使命量身定制。每个问题应当解决与技术状态、组织文化、运营策略、运营所处的监管环境及组织所面临的云安全架构相关的组织业务愿景。对联邦机构而言，这部分内容在CISA的云安全技术参考架构中有详细说明 。

零信任技术

对技术的考虑至关重要。传统技术解决方案以向边界添加层为核心，但这种基于边界的方法无法遏制对IT系统种类和数量都在不断攀升的攻击。应用程序交付的计算单元已从集中式的大型服务器过渡到众多虚拟化服务器和服务，再到分布在不同云资源中的高度细粒度的容器。功能的原子化给零信任的应用带来了可移植性的挑战；然而，随着数字转型计划驱动云采用率的不断提高，零信任代表了预防和抵御 络攻击的下一代趋势和先进 络空间方案。组织机构在关键能力方面的技能水平，如身份和凭证访问管理（ICAM）、软件定义 络（SDN）、微分段环境、身份感知代理（IAP）以及持续监控系统的能力，将推动向零信任架构的演进。了解组织架构中的技术环境以及市场生态系统中的可用选项将有助于选择适合其环境的正确解决方案。

组织文化

组织文化是所有利益相关方考虑的另一个重要因素。事实证明，COVID- 19疫情是推动组织机构启用“居家办公模式”和安全团队向零信任战略迈进的一个催化剂。要采用零信任，组织机构必须愿意通过企业重构实现改变，并培养“永不信任”的思维。与传统环境相比，拥抱了可扩展云和混合模式的主动式组织更具优势，能够更轻松地采用“零信任思维”。了解组织文化和变革管理能力至关重要。

策略

除了文化，组织机构更新其策略的能力也至关重要。现代IT组织是一个复杂的私有部署和云托管架构交错的混合体，使组织机构的 络安全控制策略面临巨大挑战。策略变更的影响将渗透到组织的所有基础架构、应用程序和数据。对于每个组织机构来说，识别和制定基于零信任的新安全策略的能力将是一个重要因素，也是每个组织独有的。鉴于零信任架构的成熟度水平，组织可能面临识别、创建和规范这些策略的挑战。

监管环境

采用零信任的最后一个关键影响因素源于监管环境。美国政府有两个推动 络安全合规的主要框架：风险管理框架（RMF）^12 和 络安全框架（CSF），都由NIST管理。这两个框架为安全评估、实施、授权和监控提供指导。 2013 年 2 月 12日发布的《改善关键基础设施 络安全的总统第 13636 行政令》 建立了一个减少 络安全对关键基础设施风险的基于现有标准、指南和实践的框架。
本指南是对 2014 年《 络安全增强法案》 的加强。尽管这些合规框架灵活，但并未专门或更好地促进零信任架构的实施。2021 年 5 月 12 日颁布的第 14028 行政令（“改善国家 络安全”）要求组织机构应负责管理 络安全风险，并呼吁行政部门支持关键基础设施所有者和运营者及其供应链改善 络安全水平。这些努力值得肯定，并为更多策略创造了动力。比如国防部参照零信任架构理念搭建的零信任架构体系，需要引入零信任成熟度评估(ZTA-CMM)和带有时间表计划的零信任路线图，以实现安全层面的实质性提升。这些监管举措有助于激发必要的变革，以挫败新的 络攻击，增强 络弹性。新法规的出台，将鼓励行业服务提供商和相关利益方（如软硬件供应商、系统集成商、服务提供商、信息技术组织及更多将创新引入解决方案的机构）的参与。

零信任解决方案的全景图

软件定义边界

举一个显而易见的例子，软件定义边界（SDP）和零信任原则同时演变，对安全行业全景图中蕴含的挑战、实现和变化作出可同样的响应。此外，鉴于SDP组件解决了零信任原则中的许多问题，因此这两个概念是完美融合的。如今，SDP已被业界视为实现零信任原则的软件定义架构的一个明确部分，NIST零信任架构白皮书将SDP作为零信任架构具体落地实现的方法之一。
Gartner Research将SDP描述为一种提供“对企业应用程序安全访问”的技术，强调设备认证和用户授权是一种“固有功能”，以及“建立多个加密隧道到不同目的地的能力”^18 。SDP仅在通过请求系统和应用程序基础设施之间的实时加密连接进行设备认证和身份验证后，才提供对应用程序基础设施的访问。 2019年，Gartner继续通过其零信任 络访问（ZTNA）模型支持SDP，^19 该模型围绕一个应用程序或一组应用程序创建基于身份和上下文的逻辑访问边界。这种情况下，应用程序隐藏起来无法发现，并且通过受信任的代理限制对一组命名实体的访问。这会将应用程序资产从公共可见性中移除并减少攻击面。
云安全联盟 (CSA) 在其 2020 年 告《软件定义边界》 (SDP) 和《零信任》 中也支持这一演变，将 SDP 视为“ 络层零信任”。

络分段

服务 格

零信任框架的另一项重要技术考量是基于容器实现的服务 格——一种实现配置和管理集中化的架构技术。在现代云计算环境中，容器已经成为首选的应用架构。因为现有的容器已经能以很高的效率部署，所以很有可能在IT架构中大量增加端点数量。如果不使用服务 格技术，将很难实现在跨容器环境广泛部署安全策略的目标。
现在大多数新的容器环境都由Kubernetes，RedHat OpenShift，DockerSwarm，Nomad以及AWS的云容器服务等容器平台提供 。容器平台通常不支持容器内通信安全，而服务 格已经发展为支持容器环境下安全地管理、部署和实时业务流的一种解决方案。边车容器（Sidecar Container）或边车进程（SidecarProcess）是实现服务 格的主要方法。边车容器或进程常部署为策略执行点(PEP)，为基于容器的工作负载提供前端安全性保证。Kubernetes集群中的策略执行点应具有高性能和安全代理的特点，用以承担策略执行和安全保护（如web应用防火墙）工作。集中化的配置管理服务可以作为 络安全规则的策略决策点（PDP），通常与访问控制和事件监测模块关联。这种Kubernetes内部架构应该与控制界面和企业的ICAM服务良好地集成，同时支持传统与新兴的认证标准。将零信任扩展到容器化的微服务端点的一个创新实践是实现一个ISTIO之类的服务 格。ISTIO是一种开源的服务 格搭建方案，提供一种为已部署的服务快捷建立服务 格的方法，对基于Kubernetes的容器化应用产品是透明的 。正如[美国国防部](http://github5.com/searchd=%E7%BE%8E%E5%9B%BD%E5%9B%BD%E9%98%B2%E9%83%A8)一 平台（DepartmentofDefensePlatformOne）所证实的那样，它非常适合支持今天的DevSecOps环节 。ISTIO解决方案可以为容器环境提供与NIST零信任架构SP 800 – 207 标准草案一致的零信任架构解决方案。

边缘计算

基于Kubernetes的新式应用程序架构日渐普及的同时，企业持续将IT基础设施分散部署到多个云服务提供商，对多个部署位置的零信任架构ZTA进行管理的需求将会涌现（如在本地、多云、甚至在最接近用户的 络边缘）。“边缘”(Edge)计算是另一个不断发展的考虑要点，在未来几年，它对于机器人、自动驾驶汽车、增强现实（AR）等互联行业将变得越来越至关重要。由高度分布式应用程序组成的世界将需要现代堆栈中的所有组件。然而，对用户来说，安全且透明的边缘计算将引入加强安全性的需求，例如在分布式应用程序及其应用程序源（云端或本地）的“ 格（Mesh）”上建立零信任架构ZTA的能力。这种分布式应用程序的概念可能认为是“边缘 2. 0 ”(Edge 2. 0 )^26 ，考虑到对处理本地遥测和/或双向数据交换请求的传统云基础设施的扩展日趋复杂，它将需要更成熟的ZTA设计。

策略即代码

身份感知代理

策略即代码的一个例子是身份感知代理（IAP）。身份和上下文感知是零信任架构ZTA中访问控制的基石；身份、上下文和访问意图结合，也是IAP的基础。IAP要求使用可信的身份根认证用户及其设备，以及用户可以授权访问的内容，这就是身份感知访问。IAP使用代理层提供经认证和授权的对特定资源的安全访问，因此，IAP允许企业使用零信任改造传统 络，在应用程序之前放置一个智能代理执行企业安全策略。
IAP关注于应用层的身份和访问，依赖于访问控制，而不是防火墙规则。配置的策略反映了用户和访问意图，而不是端口和IP地址。此外，IAP基于最小特权访问原则建立了一个中央授权层，并基于每个单独的请求执行访问控制，为零信任提供了实践治理模型。使用IAP，任何访问请求都可被终止、检查或重新检查、修改和授权。

零信任对行业的影响

将从技术、文化、策略和监管举措等关键性影响方面简要分析解决方案格局的相关影响。尽管这些影响并非详尽无遗，但可以帮助行业利益相关者识别突出的挑战和机遇，需要在每个行业协作领域被持续关注。

技术

鉴于不断涌现的丰富多样的技术解决方案和功能，选择一个强大健壮的零信任架构ZTA是复杂、丰富并且可憧憬的。随着IT组织将这些演进的解决方案融合为其零信任架构ZTA的一部分，安全格局将从根本上反映出一种不同的、改进的 络安全方法，因此有可能弯曲成本曲线。这意味着，我们现在有一种潜在的方法，通过更全面的、持续的验证大幅度提高攻击者的成本，从而降低防御者成本。实施零信任架构ZTA 有初始成本，但随着时间的推移，其他技术考虑到其重复性，必要性将降低，甚至完全消除。随着零信任ZT标准的成熟，任何有关经济或商业影响的讨论都需要由行业成员辩论。如此复杂的环境还需要政府就NIST风险管理框架 (RMF) 如何帮助开发和实施提供持续的ZTA指导，如NIST出版的《零信任架构规划：管理员入门指南》 中所示，仍然需要其他行业指南帮助IT和安全专家了解如何评估、评估和统一现有的各种各样的零信任方法。
例如，对于SDP和SDN，为每个组织环境制定对应的SDP正确因素的挑战仍然很突出。例如，SDP的执行边界是在数据、应用程序、平台还是主机级别现实中可能会选择混合的解决方案。这种差距将需要更多的行业和政府合作，为组织领导者提供指导，帮助他们为其环境选择合适的因素。无论如何，确保 SDP 越来越成熟对于一个组织机构的零信任架构ZTA来说至关重要。
关于服务 格，未来的服务交付架构将变得更加分散和原子化。虽然Kubernetes 和服务 格架构通常与正在实施的组件（如容器和sidecar代理）无关，但鉴于当今混合环境中软件和硬件的多样性，将零信任架构ZTA正确应用于容器化应用程序环境，需要对最佳实践进行一定程度的行业标准化。
一座桥梁用于连接传统硬件或虚拟机基础架构（私有或云端部署）与本地容器环境上的运行组件将是必要的。行业面临的挑战将是如何允许零信任ZTA的核心组件驻留在本地相对较小运行态（如磁盘和RAM要求）的容器环境中。作为来自CISA和第三方云集成商的可信互联 连接策略(TIC)演进的一部分，这种开发模式可能值得考虑和指导。

组织文化

策略

监管环境

目前尚不清楚政府当局是否可以监管安全，但政府策略可以培养对安全的关注并指导投资决策。最近的 14028 总统行政令“改善国家的 络安全”^31 就是为了做到这一点。但是，必须制定政府策略促进和指导 络安全解决方案实施的整体观点的发展。如果不考虑可用的访问、 络和数据安全功能，就不能再将应用程序安全性内置到应用程序中。[互操作性](http://github5.com/searchd=%E4%BA%92%E6%93%8D%E4%BD%9C%E6%80%A7)和可集成性必须是促进采用零信任ZT原则的策略的标志。从长远来看，仅仅关注解决用户交互，但不解决机器对机器通信的数据流将是不够的。供应链中促进技术烟囱策略只能导致在防御上产生漏洞。

更多零信任材料
CSA 实战零信任架构
奇安信 零信任数据动态授权能力建设桔皮书
CSA 2021中国零信任全景图
安全牛 现代企业零信任安全构建应用指南研究 告 2021

文章知识点与官方知识档案匹配，可进一步学习相关知识云原生入门技能树容器编排(学习环境 k8s)安装kubectl8775 人正在系统学习中