可全文下载|NIST.SP.800-207 NIST零信任架构(中文版)

      一、 引言：网络安全范式的变革

      随着企业 IT 基础设施的日益复杂，传统基于“边界防御”的安全模型（马其顿防线模型）已显示出明显的局限性 。移动办公、多云环境以及物联网设备的普及，使得原本清晰的企业网络边界变得模糊。一旦攻击者突破边界，横向移动攻击将不受阻碍。

      零信任（Zero Trust, ZT）正是为了应对这一挑战而诞生的安全范式。它假设网络上已经存在攻击者，并且不再默认内网比公网更可信 。零信任的核心是将防御中心从静态的网段转移到具体的资源、用户和设备上 。

      NIST 在标准中确立了七大基本原则，作为 ZTA 设计和部署的理想目标：

1. 资源普适化：所有数据源、计算服务及物联网设备均被视为受保护的资源 。

2. 通信安全化：无论连接源于何处，所有通信必须是加密且经过身份认证的，网络位置不代表信任 。

3. 单次连接授权：访问权限基于每个连接请求授予，之前的授权不自动延伸到后续请求 。

4. 动态策略驱动：访问权限由动态策略决定，综合考虑用户身份、资产状态、请求时间、位置及行为模式等属性 。

5. 资产状态监控：企业必须确保持有设备处于最安全状态，并持续监测其合规性和漏洞情况 。

6. 强制动态认证：所有资源访问的身份验证和授权必须是动态且严格实施的，且应采用多因子身份验证（MFA）。

7. 全面信息收集：企业应收集网络流量、访问请求等数据，用于改进安全策略和实时风险评估 。

      三、 零信任的逻辑架构组件

      一个完整的零信任架构由以下核心逻辑组件构成，它们协同工作以实现“持续验证”：

• 策略决策点 (PDP)：这是架构的“大脑”，分为两个子组件：

• 策略引擎 (PE)：负责最终决策，通过信任算法评估访问主体的信用度 。

• 策略管理器 (PA)：根据 PE 的决策，负责建立或终止客户端与资源之间的逻辑连接通道 。

• 策略执行点 (PEP)：这是系统的“哨兵”，负责启用、监视并终止访问主体与资源之间的连接，通常以 Agent 代理或网关的形式存在 。

• 外部数据源支持：PDP 会从持续诊断与缓解（CDM）系统、威胁情报源、身份管理系统、SIEM 等系统中获取实时反馈，以优化其决策 。

      四、 零信任的常见部署方案

      根据驱动元素的不同，ZTA 可以通过多种方案落地：基于增强身份治理的方案

1. 将用户身份和分配属性作为策略创建的关键。如果无法识别主体身份，则不授予任何权限 。

2. 基于微隔离的方案：利用下一代防火墙（NGFW）或网关将资源放置在私有网段，通过控制网关动态授权每次访问 。

3. 基于网络基础设施（SDP）的方案：通过软件定义边界（SDP）在应用层建立安全隧道。PA 充当网络控制器，根据决策实时配置网络连接 。

      五、 实施场景与威胁分析

      零信任在多种场景下表现卓越：

• 远程办公：不依赖传统 VPN，而是对远程员工的身份和设备健康度进行细粒度核准。

• 多云协作：统一管理分布在不同服务商处的资源。

• 访客/外包服务：对非企业自有设备（BYOD）实施受限访问 。

  尽管零信任显著增强了安全性，但它也面临新的挑战和威胁：

• 决策组件受攻击：如果 PE 或 PA 被攻陷，攻击者可能篡改策略。

• 身份凭证泄露：虽然有 MFA，但窃取合法凭证仍是攻击者的首选目标。

• 策略配置不当：过于宽松或复杂的策略可能导致安全漏洞或业务中断 。

      六、 结语：向零信任转型的路径

      NIST 强调，零信任的转型是一个漫长的旅程，而非简单的设备置换 。企业应采取逐步演进的方式：

1. 识别参与方与核心资产 。

2. 评估关键业务流程及其运行风险 。

3. 通过试点项目（如特定的应用程序或部门）引入零信任原则。

4. 在 IT 现代化改造过程中，维持传统边界防御与零信任模式的“混合期”运行 。

      综上所述，NIST SP 800-207 不仅提供了零信任的抽象定义，更是一套实战化的战略指南，旨在帮助组织在充满威胁的现代网络环境中构建起一套动态、弹性且高度精细化的防御体系。

通过网盘分享的文件：NIST.SP.800-207 Zero Trust Architecture

链接: https://pan.baidu.com/s/140nQeKBhqWEIM9z8eBgyGw?pwd=vi3w 提取码: vi3w