1.3.5 美國國防部零信任參考架構

2021年2月，美國國防信息系統局（DISA）發布了《美國國防部零信任參考架構》。零信任架構正在引領美國國防部的安全架構從“以網絡為中心”轉變到“以身份和數據為中心”。美國國防部表示，無論是涉密網還是非涉密網，都要使用零信任架構。

美國國防部的零信任理念與Forrester的ZTX非常相似，也強調安全的七大維度——數據、網絡、用戶、工作負載、設備、可見性與分析、自動化與編排。不同之處在于，美國國防部的架構更加側重對網絡、應用、數據的統一管控，如圖1-7所示。

美國國防部的零信任訪問控制做得非常深入，從網絡到數據，每一層都要進行管控。用戶登錄要進行校驗，用戶訪問某個IP地址要進行校驗，用戶訪問某個業務系統要進行校驗，用戶訪問某條數據要進行校驗。特別是對數據的重視，在其他方案中是比較少見的。

美國國防部在數據安全方面已經做得非常細致了。從工資單到導彈防御系統，所有的數據都做了標簽化處理，依據標簽進行細粒度的訪問控制。