文/柯善学
NIST(美国国家标准与技术研究院)与其下属单位NCCoE(国家网络安全卓越中心)一唱一和:NIST推零信任标准,NCCoE搞零信任实践。而他们背后的推动者,都是联邦首席信息官(CIO)委员会。
根据联邦首席信息官(CIO)委员会的要求,NIST于2020年8月已经发布了NIST SP 800-207《零信任架构》标准正式版。而NCCoE于2020年10月21日也发布了《实现零信任架构》项目说明书(正式版)。
NCCoE《实现零信任架构》项目瞄准的是零信任架构的落地实践,希望实现安全性与用户体验的兼得。NCCoE零信任项目旨在利用使用商用产品,建立一个与NIST《零信任架构》标准中的概念和原则相一致的零信任架构的实现示例。本项目的范围是在通用企业IT基础设施中实施零信任架构。
注意到,NCCoE曾于2020年3月发布过《实现零信任架构(草案)》。那么,这次发布的正式版与草案版有多大的区别呢?笔者经过大致对比,结论是:最大差异是零信任实践项目架构图,图中以4大功能组件(数据安全、端点安全、身份与访问管理(IAM)、安全分析)代替了原来的8大支撑性系统;但本质上没有显著差异。
最值得期待的是,NCCoE零信任实践项目将产生一份可公开获取的NIST网络安全实践指南。该指南将介绍该实践项目的详细实施步骤。
《实现零信任架构》项目说明书(正式版)下载地址:
https://csrc.nist.gov/publications/detail/white-paper/2020/10/21/implementing-a-zero-trust-architecture/final
01
项目说明书背景
关于NCCoE《实现零信任架构》项目说明书的背景,已在引言中简单说明。若需更多细节,请参考2020年3月NIST NCCoE发布《实现零信任架构(草案)》项目说明书(中文介绍)。
NCCoE(国家网络安全卓越中心)以实践项目著称,而且每一个实践项目会有一份项目说明书(在项目开始阶段)和一份实践指南(在项目结束之后)。本次发布的是项目说明书。
02
主要区别:项目架构图
笔者逐段落对比了两个版本的《实现零信任架构》项目说明书,发现最大的差别在于下面的项目架构图:
图1-NCCoE 草案版架构(2020年3月发布)
图2-NCCoE 正式版架构(2020年10月发布)
功能组件包括:
数据安全组件:包括企业为保护其信息而开发的所有数据访问策略和规则,以及保护静态和传输中的数据的方法。
端点安全组件:包括保护端点(例如服务器、台式机、移动电话、物联网设备)免受威胁和攻击的策略、技术和治理,以及保护企业免受来自托管和非托管设备的威胁。
身份和访问管理(IAM)组件:包括用于创建、存储、管理企业用户(即主体)帐户和身份记录及其对企业资源的访问的策略、技术和治理。
安全分析组件:包含IT企业的所有威胁情报源和流量/活动监控。它收集有关企业资产当前状态的安全性和行为分析,并持续监控这些资产,以积极应对威胁或恶意活动。这些信息可以为策略引擎提供信息,以帮助做出动态访问决策。
03
差异分析
对于图1(草案版架构)的设计初衷,比较好理解。只要看看NIST标准中零信任架构图就明白了,如下图所示:
图3-NIST正式版零信任架构(2020年8月发布)
比较图1(草案版架构)和图3(NIST零信任架构)可知,两个架构模型几乎是完全一致的,架构图中两侧的8个支撑性组件(CDM系统、行业合规系统、……、SIEM系统)也是完全相同。
但是,图2(NCCoE 正式版架构)与图1(草案版架构)相比,则简化了不少:
1)8个支撑性系统几乎都不见了,只留下4个功能组件:数据安全、端点安全、身份与访问管理(IAM)、安全分析。
2)控制平面和数据平面也不再划分了。
笔者没有找到官方解释,只好自己揣测:
1)直觉告诉我们:原来的8个支撑性系统,看起来有点多。为完整性起见,放在NIST标准中倒是无所谓。但要在NCCoE的实践项目中实施,也许就太多了,会增加项目实施过程的复杂性,可能会影响到项目进展。
2)理性分析一下:通过图2中4大组件的功能描述,看看它们对图1中8大支撑性系统的覆盖率:
数据安全组件:覆盖了图1中的数据安全策略;
端点安全组件:大致覆盖图1中的CDM系统;
身份与访问管理(IAM)组件:覆盖了图1中的PKI和身份管理;
安全分析组件:覆盖了图1中的威胁情报、SIEM、活动日志。
这么看来,图2中的4个组件已经覆盖了图1中的7个支撑性系统了。而唯一未能覆盖的行业合规系统,主要是指企业为满足监管制度而制定的所有政策规则。这需要结合具体行业情况而定,也确实没必要专门反映在项目实施图中。
换个角度想想:正式版的4大功能组件(数据安全、端点安全、身份与访问管理(IAM)、安全分析),是不是比草案版的8大支撑性系统(CDM、行业合规、威胁情报、活动日志、数据访问策略、PKI、身份管理、SIEM)要更加亲切、郎朗上口呢!
对于另一问题:为什么控制平面和数据平面不再划分。笔者搜索了一下两个版本的说明书,发现除了这两张架构图外,两个版本的说明书中都只提到唯一一次“平面”(plane)问题:即在安全问题方面需要关注“零信任控制平面的失陷”。所以,笔者推测:只是作者觉得没有必要在实践项目架构图中刻意表现平面分离的原则,而无需过多的解读。
最后,图2(正式版架构)比图1(草案版架构)多了一个有用的细节:图2中的功能组件的箭头直接指向策略引擎(PE)组件(非常精确),而图1中的支撑性系统的箭头则指向整个核心组件框(相当粗糙)。
04
最终结论
尽管正式版与草案版的项目架构图看似发生了很大变化,但本质上也没有多大区别。
05
我们的期待
我们还是更加期待,NCCoE零信任实践项目将产生的那份可公开获取的NIST网络安全实践指南。因为它将介绍该实践项目的详细实施步骤,会比目前这个项目说明书有更强的落地指导意义。
NCCoE以实践项目著称,而且每一个实践项目都计划产生一份可免费公开获取的NIST网络安全实践指南(NIST Cybersecurity Practice Guide),即SP 1800系列指南。这些实践指南正是笔者的关切所在。
NCCoE的实践项目包含两种类型:一是积木(Building Blocks);二是用例(Use Cases)。积木是技术领域,用例是行业领域。两者分别包含了十几个具体项目。对于这些已经完成或正在进行的NCCoE实践项目,可以参考 《美国网络安全 | NIST网络安全实践指南系列》。
声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。