美国国家安全局(NSA)近日发布了一套新版《零信任实施指南》(ZIGs),该指南详细说明各类组织如何推进零信任建设,直至达到目标成熟度等级。
该指南包含了ZIGs的第一与第二阶段,其设计初衷是支持美国战争部(DoW,即原国防部)的零信任架构及更广泛的美国政府网络安全战略落地。
此次发布的两个阶段内容,目的是推动组织从零信任探索阶段逐步过渡至目标级落地实施阶段。指南明确了各阶段必备行动、依赖条件及预期成果,同时保留灵活性,允许企业结合自身业务需求与约束条件定制落地方案。
第一阶段聚焦搭建安全基准防线,该阶段明确了 36 项核心行动,支撑 30 项零信任核心能力落地,助力组织在深度集成前搭建或完善基础安全管控体系。第二阶段在第一阶段基础上推进,包含 41 项行动,可新增落地 34 项零信任能力,核心任务是实现核心零信任方案在各组件环境中的跨域集成。
这种分阶段的推进方式体现了一种模块化设计理念,而非僵化的固定路线。
AppOmni公司首席技术官兼联合创始人布莱恩·索比指出,这种结构强化了零信任并非一次性部署项目的观念。他强调:“(零信任)是一种运营模式,而非单纯的产品。”,同时强调,随着环境变化,相关策略决策必须持续评估并严格执行。
从边界防护转向持续评估
该指南进一步推动了安全理念的转变,即从依赖网络边界防护,转向对用户、设备及应用程序进行持续的身份验证与授权。零信任遵循 “永不信任、始终验证” 及 “默认已遭入侵” 的核心原则,随着网络威胁不断演变,该理念愈发被认为是安全防护的必要方案。
索比认为,该指南的一大亮点在于其重点关注身份验证之后的活动。“持续动态评估必须在用户登录后开展,而非仅在登录环节执行。”他表示。索比指出,当前许多成功的网络攻击均发生在身份认证之后,若无法对应用内部行为实现可视管控,仅靠基础身份核验与设备状态评估,能提供的防护能力十分有限。
该指南借鉴了美国第 14028 号行政令下出台的多项成熟框架,包括美国国家标准与技术研究院特别出版物 800-207、美国网络安全与基础设施安全局零信任成熟度模型 2.0 版本及美国战争部零信任参考架构。美国国家安全局与美国战争部首席信息官紧密协作制定该指南,将 152 项零信任相关行动梳理整合为结构化的实施阶段。
然而,索比也警告称,但索比警示,当前许多组织对零信任仍存在误用,仅过度聚焦网络访问管控这单一维度,若将零信任网络访问等同于完整的零信任解决方案,会忽略应用自身的访问决策制定与执行逻辑。
他表示:“任何零信任架构,若将应用策略决策点的可视性与管控能力排除在外,不仅实施成本高昂,防护效果也会严重不足。”
美国国家安全局表示,当前版本指南旨在帮助专业技术人员推动组织达成目标级零信任成熟度,未来或还将推出更多高级阶段的实施内容。
消息来源:infosecurity-magazine:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容