2021年2月25日，美国国家安全局(NSA)发布关于零信任安全模型的指南《拥抱零信任安全模型》(Embracing a Zero Trust Security Model)。

这次的指南发布，可视为NSA对零信任的明确表态。而早在这之前，美国国防信息系统局DISA就宣布要发布零信任参考架构，那么，关于美国国防部对零信任的拥护立场，几乎没有什么悬念了。

NSA指南概要

NSA网络安全指南《拥抱零信任安全模型》的制定，是为了促进NSA的网络安全任务，即识别和传播对国家安全系统(NSS)、国防部(DoD)和国防工业基础(DIB)信息系统的威胁，以及制定和发布网络安全规范和缓解措施。

本指南展示了如何遵循零信任安全原则，以更好地指导网络安全专业人员保护企业网络和敏感数据。为了让NSA的客户对零信任有一个基本的了解，本指南讨论了它的好处和潜在的挑战，并提出了在他们的网络中实现零信任的建议。

零信任模型通过假设失陷是不可避免的或已经发生的，消除了对任何一个元素、节点、服务的信任。以数据为中心的安全模型，在持续控制访问的同时，寻找异常或恶意的活动。

采用零信任思想和利用零信任原则，将使系统管理员能够控制用户、进程、设备如何处理数据。这些原则可以防止滥用泄露的用户凭证、远程利用或内部威胁、缓解供应链恶意活动影响。

NSA强烈建议国家安全系统(NSS)内的所有关键网络、国防部(DoD)的关键网络、国防工业基础(DIB)关键网络和系统考虑零信任安全模型。(注：NSA负责保护国家安全系统(NSS)，即敏感程度较高的网络和系统，如涉密信息系统。所以，这条建议对于高敏感网络在应用零信任理念方面，具有很强的权威性。)

NSA指出，网络及其运营生态系统的大多数方面都应实施零信任原则，以使其充分有效。

为了应对实施零信任解决方案的潜在挑战，NSA正在制定并将在未来几个月发布额外的指南。

使用中的零信任示例

1. 泄露的用户凭据

示例场景：在本示例中，恶意网络行为体将窃取合法用户的凭据并尝试访问组织资源。在这种情况下，恶意行为体试图使用未经授权的设备，要么通过远程访问，要么利用已加入组织无线局域网的恶意设备。

在传统网络中，仅用户的凭据就足以授予访问权限。

在零信任环境中，由于设备是未知的，因此设备无法通过身份验证和授权检查，因此被拒绝访问并记录下恶意活动。此外，零信任要求对用户和设备身份进行强身份验证。

建议在零信任环境中使用强多因素用户身份验证，这会使窃取用户的凭据变得更加困难。

2. 远程利用或内部威胁

示例场景：在本示例中，恶意网络行为体通过基于互联网的移动代码漏洞利用，来入侵用户的设备;或者，行为体是具有恶意意图的内部授权用户。

在一个典型的非零信任场景中，行为体使用用户的凭据，枚举网络，提升权限，并在网络中横向移动，以破坏大量的数据存储，并最终实现持久化。

在一个零信任网络中，失陷的用户的证书和设备被默认为是恶意的，除非被证明清白;并且网络是分段的，从而限制了枚举和横向移动的机会。尽管恶意行为体可以同时作为用户和设备进行身份验证，但对数据的访问将受到基于安全策略、用户角色、用户和设备属性的限制。

在成熟的零信任环境中，数据加密和数字权限管理可以通过限制可以访问的数据和可以对敏感数据采取的操作类型，来提供额外的保护。此外，分析能力可以持续监视帐户、设备、网络活动和数据访问中的异常活动。尽管在这种情况下仍可能出现一定程度的失陷，但损害程度却是有限的，而且防御系统用来检测和启动缓解响应措施的时间将大大缩短。

上述文字描述，可对照下图理解：

3. 供应链受损

示例场景：在此示例中，恶意行为体在流行的企业网络设备或应用程序中嵌入恶意代码。而设备或应用程序也已按照最佳实践要求，在组织网络上进行维护和定期更新。

在传统的网络架构中，这个设备或应用程序是内部的，并且是完全可信的。这种类型的失陷可能会特别严重，因为它隐含了太多的信任。

在零信任架构的成熟实现中，由于设备或应用程序本身默认不可信，因此获得了真正的防御效果。设备或应用程序的权限和对数据的访问，将受到严格的控制、最小化和监控;分段(包括宏观和微观粒度)将依据策略来强制执行;分析将用于监控异常活动。此外，尽管设备可能能够下载已签名的应用程序更新(恶意或非恶意)，但设备在零信任设计下允许的网络连接将采用默认拒绝安全策略，因此任何连接到其他远程地址以进行命令和控制(C&C)的尝试都可能被阻止。此外，网络监视可以检测并阻止来自设备或应用程序的恶意横向移动。

五、零信任成熟度

NSA指南也再次强调，零信任的实施需要时间和精力：不可能一蹴而就。

NSA指南进一步指出：一次性过渡到成熟的零信任架构是没有必要的。将零信任功能作为战略计划的一部分逐步整合，可以降低每一步的风险。随着“零信任”实现的逐步成熟，增强的可见性和自动化响应，将使防御者能够跟上威胁的步伐。

NSA建议：将零信任工作规划为一个不断成熟的路线图，从初始准备阶段到基本、中级、高级阶段，随着时间的推移，网络安全保护、响应、运营将得到改进。如下图所示：

下一步期待

NSA指南中提到，NSA正在协助国防部客户试验零信任系统，协调与现有国家安全系统(NSS)和国防部计划的活动，并制定附加的零信任指南，以支持系统开发人员克服在NSS(国家安全系统)、DoD(国防部)、DIB(国防工业基础)环境中集成零信任的挑战。即将发布的附加指南将有助于组织、指导、简化将零信任原则和设计纳入企业网络的过程。

另外，大家也许还记得，DISA(国防信息系统局)局长曾宣称在2020日历年年底前发布初始零信任参考架构，然后将花几个月时间征求行业和政府的意见建议，然后再发布完整的文件。故从时间上估计，目前应该处于征求行业和政府意见的过程中。

所以说，未来可期。

文章部分素材来源：51CTO