1.4.2 美國NIST制定行業(yè)標準

2019 年9月，美國國家標準與技術研究院（NIST）發(fā)布了《零信任架構》標準草案（NIST.SP.800-207-draft-Zero Trust Architecture）。2020年2月，NIST發(fā)布了標準草案的第2版，并最終于8月發(fā)布了標準的正式版。這份標準介紹了零信任的基本概念、架構組件、部署方案等，是目前最權威的零信任架構標準。

NIST 標準對“零信任”下了定義。零信任（Zero Trust）是一系列概念和思想，用于減少網(wǎng)絡威脅帶來的不確定性，以便對業(yè)務系統(tǒng)和服務的每個請求都執(zhí)行細粒度訪問決策。零信任架構（Zero Trust Architecture）是一種基于零信任理念的企業(yè)網(wǎng)絡安全規(guī)劃，包括組件關系、工作流規(guī)劃、訪問策略等。

NIST的零信任概念框架模型展示了組件及其之間的基本關系。NIST的架構模型比此前介紹的架構模型更抽象，但它們本質上是相似的。例如，NIST的策略決策點相當于SDP管控端和 BeyondCorp 的訪問控制引擎。NIST 的策略執(zhí)行點在某些場景下相當于 SDP 網(wǎng)關和BeyondCorp的訪問代理，在某些場景下相當于美國國防部參考架構中網(wǎng)絡、應用、數(shù)據(jù)的授權校驗點。

從圖1-9 中可以看出，零信任架構并非單一的技術產(chǎn)品，它是一個完整的網(wǎng)絡安全架構。企業(yè)很可能已經(jīng)擁有其中部分元素了。

NIST零信任架構的基本組件包括策略決策點和策略執(zhí)行點。

（1）策略決策點：可以細分為策略引擎和策略管理。

a）策略引擎：當用戶發(fā)起訪問請求時，策略引擎從周邊各個系統(tǒng)獲取用戶的身份和安全狀態(tài)，進行綜合分析，然后計算是否允許該用戶訪問某個資源。

b）策略管理：負責管理用戶的身份憑證和會話創(chuàng)建，根據(jù)策略引擎的計算結果，通知策略執(zhí)行點創(chuàng)建會話或關閉會話。

（2）策略執(zhí)行點：零信任假設訪問的主體不可信，而且身處不可信環(huán)境，所以主體只有在通過策略執(zhí)行點的嚴格校驗后，才能訪問企業(yè)資源。策略執(zhí)行點負責接收用戶的訪問請求，按策略決策點的指令放行或攔截。

注意：NIST的策略執(zhí)行點是一個抽象的概念，可以指代客戶端和網(wǎng)關等組件。NIST的主體可以指用戶，也可以指服務器，還可以指物聯(lián)網(wǎng)設備。系統(tǒng)可以指用戶的筆記本計算機，也可以指服務器系統(tǒng)，還可以指物聯(lián)網(wǎng)設備的系統(tǒng)。

NIST零信任架構中左右兩邊的組件代表了企業(yè)現(xiàn)有的或來自第三方的網(wǎng)絡安全系統(tǒng)。這些系統(tǒng)也包含在零信任架構之中，為零信任的策略決策點提供信息輸入和管理支撐功能。

（1）持續(xù)診斷和緩解（CDM）系統(tǒng)：收集企業(yè)資產(chǎn)的安全狀態(tài)，更新系統(tǒng)配置和軟件。如果存在漏洞，策略決策點就可以采取修復或隔離措施。

（2）行業(yè)合規(guī)系統(tǒng)：確保企業(yè)遵守了各種合規(guī)制度，包括一系列相關的策略規(guī)則。

（3）威脅情報源：為企業(yè)提供最新的漏洞、惡意軟件、惡意IP地址等信息。策略決策點可以有針對性地進行分析和屏蔽。

（4）數(shù)據(jù)訪問策略：定義了誰可以訪問哪些數(shù)據(jù)，零信任架構可以在此基礎上基于身份和數(shù)據(jù)屬性進行更細粒度的策略管控。

（5）公鑰基礎設施（PKI）：生成并記錄企業(yè)向主體、資源簽發(fā)的證書。

（6）身份管理系統(tǒng)：負責管理企業(yè)用戶的身份信息，包括姓名、郵箱等基本信息，崗位、部門等組織架構信息，角色、安全標簽、綁定設備等其他相關信息。例如，AD或IAM、4A系統(tǒng)等。

（7）行為日志：匯聚企業(yè)系統(tǒng)日志、網(wǎng)絡流量、授權日志等。策略決策點可以根據(jù)行為日志進行分析建模。

（8）安全信息與事件管理（SIEM）系統(tǒng)：匯聚各個系統(tǒng)發(fā)出的安全事件及告警日志，便于零信任架構進行策略響應。