【ZTA 101】NIST SP 800-207第一章：簡介

在2020年8月，美國國家標準與技術研究院NIST公布了關於零信任架構（Zero Trust Architecture，ZTA）的SP 800-207，這是一個美國政府採用ZTA的重要參考標準文件，提供架構面的建議與實作概念，其目的是希望能幫助更多組織能夠採用零信任架構並受益。

這份白皮書用了7大章節來介紹， NIST所認為的零信任架構的基本內涵，同時，也讓日後各界在探討ZTA時，能夠有一致、共通的語言來溝通。因此，我們將針對這份文件的一些重點做介紹，提供正體中文化的內容並補充相關概念資訊，讓國內對於網路安全零信任能有清楚的認識，同時我們也感謝臺灣科技大學教授查士朝協助此系列內容的校正。

第一章：簡介

第一章就是相關背景介紹，說明什麼是「零信任」。

前兩段主要說明一件事：在現今的複雜的企業環境之下，不論是BYOD、雲端服務與遠端工作等新興存取方式，加上數位轉型議題，都一再衝擊著傳統邊界防護策略。因此，網路安全架構必須要有所改變。

畢竟，傳統典型的企業網路基礎架構變得日益複雜：例如，單一企業內部就有多個內部網路、遠端辦公室，並擁有本地端的基礎設施，還有遠距與個人行動應用，以及雲端服務等。

這樣的複雜性，顯然超越了傳統網路邊界安全的防護方法，因為，現在的企業網路邊界相當難識別。而且，基於邊界的網路安全防護也被證明是不夠的，因為一旦攻擊者突破了原本的邊界防護，進入內網的橫向移動就變得暢通無阻。

雖然這裡NIST沒有舉例說明，不過從現實世界來看，駭客入侵與資料外洩事件不斷，而過往大家也已聽過很多這樣的事件。例如，駭客一旦竊取企業組織的VPN帳密或憑證，往往就能輕易突破目標的內網防護，而進入內網後就有可能攻擊重要系統而散播勒索病毒或是竊取重要資料。因此，對於複雜企業環境而言，需要新型網路安全的模型，也就是「零信任」。P64

或許，有人對於NIST 800-207中談及的企業網路安全架構，並不是那麼清楚，其實我們看到資安界已有很多比喻與說明，也在此一併補充。

例如，以往的網路安全是怎麼做？基本上，企業的網路安全是透過邊界防護概念而形成，具象化一點來形容，就如同石牆、護城河與城門保護的堡壘概念，保護著企業內部的資料，避免受到惡意攻擊，這是因為當時的基本假設是，在堡壘內的活動是相對安全的，也就是企業邊界內部的資源都是可信任的概念。

但是，這種邊界防護的方法，其實存在著嚴重的限制。例如，隨著BYOD與雲端服務的興起，這些都不是原先邊界防護策略會面對的狀況，而這些新興存取方式，也讓企業需要設法透過不同解決方案去因應，除此之外，還有遠端存取、數位轉型的需求存在，再加上這兩年疫情下大幅帶動了遠距工作，在這些種種原因之下，都讓企業對於網路邊界防護變得更加困難。

此外，美國國家網路安全卓越中心（NCCoE）資安工程師與專案經理Alper Kerman，也曾用一張簡單的圖表，說明零信任架構網路安全策略與傳統邊界網路防護策略的區別，就是不再有信任的內部網路。圖片來源：NIST:零信任網路安全 (A. Kerman/NIST)

接下來，NIST介紹了所謂的零信任方法，主要的面向就是資料保護，但也應該延伸到包含：

●所有企業資產（實體組資安設備、基礎架構元件、應用程式、虛擬以及雲端元件）

●主體（來自終端使用者、應用程式及非用戶操作的資源請求資訊）

這裡強調的重點在於，我們要假設環境中存在攻擊者，而且企業環境與任何非企業環境都該是一樣，不值得信賴。

換言之，現在所談的零信任，是將原本的信任視為弱點。而在一個零信任架構中，不再是建構出可被信任的網路，取而代之的是，消除了信任這個概念。畢竟，現在企業環境其實分散各地，不該再以內部或外部來區分。

因此，NIST明確指出，在零信任安全模型中，企業不能再有隱性的信任，對於內部資產和業務功能的風險，必須經過不斷地分析與評估，並且制定防護措施來緩解這些風險。

在零信任中，這些防護措施通常要盡可能減少對資源（如資料、運算資源與應用程式/服務）的存取，只允許那些被確定為需要存取的使用者與資產存取，並對考量存取請求的身份和安全態勢，進行持續的身分識別與授權。

關於零信任架構，NIST先簡單介紹其特性，後面的章節還會再細談。

基本上，零信任架構（ZTA）是一種基於零信任原則的企業網路安全架構，目的是要盡可能去防止資料外洩與限制內部橫向移動。而為了幫助實現，因此這裡將談論到的內容包括：ZTA的定義、邏輯元件、可能的部署場景和威脅，希望為組織提供零信任網路架構設計方法、以及遷徙過程的總體路線圖，同時也討論了可能影響零信任架構的相關聯邦政策。

NIST強調，零信任（ZT）不是單一的架構，而是一套關於工作流程與系統設計運營的指導原則，其用途就是可改善任何機密分類或敏感資料層級的安全現況。

特別的是，朝向ZTA網路安全邁進之際，企業與組織可要先有心理準備。因為，朝向ZTA過渡是一段漫長過程，需要持續的技術革新才能實現，而過渡到ZTA也是組織評估其任務中分享的過程，並不只是全面技術替換。NIST繼續說明：其實現在企業的IT基礎架構中，就已經有ZTA元素，組織對於零信任原則與流程上的變動，應該要逐步實施，並採用保護資料資產與業務功能的技術解決方案。因此，邁向零信任網路安全策略的期間，大多數企業應該都是同時以零信任與以傳統邊界模式的方式來進行，透過持續投資以改善。

而為了要讓零信任能有效運行，組織必須要全面考量資訊安全並彈性實踐。當與現有的網絡安全政策和指南、身份和訪問存取管理、持續監控和最佳實踐相平衡時，ZTA 可以通過使用風險管理方法來防範常見威脅並改善組織的安全狀況。

整合而言，我們可以瞭解到：零信任網路安全，或是簡稱的零信任、零信任模型、零信任架構，談的就是一種企業網路安全的方法。

另外，我們要補充的是，由於零信任一詞在字面上容易造成誤解，因此在含意上要能夠釐清：關於這裡的零信任一詞，網路安全是一大前提。但在普遍情境下的直接聯想，只說零信任，有人可能只想到「預設都不信任」，此假設不只是在網路安全領域，在許多不同資安領域或構面中，常常也都隱含這樣的概念。最簡單的例子，以白名單機制而言，就是除了白名單上列出的標的外，預設都不允許存取。這部分的道理是相通的，還有許多情境也都是如此。但網路安全零信任包含的內涵不僅於此，也因此，普遍大眾首次聽到零信任一詞，每個人想像到的輪廓可能不同，就容易搞混。而且，零信任的概念與精神，也會延伸套用到許多資安領域與場景。

網路安全零信任發展至今，對應的是傳統邊界防護策略，概念是不因內網或外網而有信任或不信任，當中並具有相當多的內涵，包括：從預設都不信任出發，以及持續驗證、動態評估等，架構面還需具備零信任的原則、核心元件與必要技術等。

第一章第一節：聯邦機構致力於零信任的歷史

在這一章節中，主要說明的是與美國聯邦機構有關的零信任發展歷史。當中重點包括：

關於ZT一詞，美國國防部旗下國防資訊系統局（Defense Information Systems Agency，DISA）之前已經提出，理念是由傳統基於邊界的傳統防禦模式，進化到每次存取請求都要檢查的模式。

而在這十多年來，美國聯邦機構其實在很多方面，就一直在積極轉向基於零信任原則的網路安全策略，這裡同時提到了很多美國聯邦政府已經推動的政策，其實都是有相關性，包括聯邦資訊安全管理法案（FISMA）、風險管理框架（RMF）、聯邦身份憑證與存取管理（FICAM）、可信任網路連接（TIC），以及持續與緩解（CDM）計畫等。

雖然這裡的內容，與美國政府的發展較為相關，但確實的是，資安界的零信任發展已有一段時間。

因此，大家可能還是先要有一個簡單的認識，這樣的網路安全新策略，並非一夕之間就繃出，其實已經在資安界討論多年，並逐漸進化。

另外補充的是，如果你想要了解網路安全領域的零信任是如何發展與成形，美國國家網路安全卓越中心（NCCoE）資安工程師與專案經理Alper Kerman，在零信任架構計畫（Zero Trust Architecture Project）的簡報介紹中，也有相關說明，他並提到了這些年零信任演進的5個重要階段。

在此，我們也做了簡單整理，幫助大家能夠快速了解現在的零信任網路架構，是如何逐漸進化成形：

2003年、2004年

網路邊界消弭（De-perimeterisation）

在Jericho論壇上開始有網路邊界消弭（De-perimeterisation）議題的探討，從網路資源於企業間的共享，想出消除企業與企業間的網路邊界，再到無邊界趨勢下的網路安全問題，雖然概念仍然抽象，但被認為是網路安全零信任議題最早的討論。

2010年11月

Forrester提出「Zero Trust」

在Forrester發表的《Build Security Into Your Network's DNA: The Zero Trust Network Architecture》文件中，出現零信任網路架構一詞，使得相關概念變得具體。時任Forrester Research副總裁John Kindervag並提出了零信任（Zero Trust Model）模型，預設不信任任何事物，從網路開始。

2014年12月

Google釋出BeyondCorp文件

Google釋出《BeyondCorp》文件，說明自家規畫的零信任網路的架構與存取流程，並指出要建立可信任並持續的驗證。這也意味著打造零信任網路安全環境不再是空談，已邁向實踐。

2018年12月

Gartner提出「Lean Trust」

在Gartner發表的《Zero Trust Is an Initial Step on the Roadmap to CARTA》文件中，提出精確足夠的信任－－Lean Trust，強調以信任與風險為中心，持續動態調整信任評估。

2020年8月

NIST發布SP 800-207

因美國聯邦倡議採用零信任原則與方法來保護資訊系統與網路，於是NIST推出《NIST SP 800-207 Zero Trust Architecture》標準文件，這不只是成為美國政府所需的新一代網路安全策略，在國際上，其實也被認為是企業組織實踐零信任的重要參考標準，後續美國NCCoE也將發布相關實踐指引。

另外，由於NIST SP 800-207聚焦零信任架構探討，第1章的介紹也較為簡單，因此，若要理解零信任相關發展，可能要從更宏觀的角度來看，才比較瞭解為何會有這份標準文件。為此，我們必須提到美國政府提出的零信任架構計畫（Zero Trust Architecture Project）。

由於美國政府倡議採用零信任原則與方法，來保護資訊系統與網路，以改善該國的資安現況。因此，在2019年2月，美國NIST及旗下NCCoE，在聯邦政府CIO聯席會（CIO Council）授權下，正式啟動零信任架構（Zero Trust Architecture）計畫，由NIST推出零信任網路架構的標準，NCCoE則要推出零信任網路架構的實踐指引。

因此，NIST SP 800-207只是這項計畫中的一部分，也可說是首要工作，將ZTA的內容名確定義，之後再有更細部的實踐方法。

後續，美國總統拜登在2021年5月所發布的一則行政命令，又再引發關注，因為除了公布多項國家網路安全策略，當中提及要推動美國聯邦政府網路安全現代化，已經要求導入零信任架構的網路安全策略。在此當中，也特別指出聯邦政府需做出大膽的改變與重大的投資，以保護這些支撐美國生活必須的重要機構，因為，漸進式改進的方式，已經無法提供所需的安全性。在這樣的國際趨勢之下，也意味著零信任網路安全策略的發展，已經成為國家級別都看重的策略。

第一章第二節：介紹此文件的結構

此章節的作用，主要是公布後續章節的內容簡介。

第二章 定義ZTA、列出設計ZTA企業網路的一些網路架設，同時介紹設計零信任架構的原則。

第三章 將零信任邏輯元件內容文件標準化，並且提到不同ZTA元件組合且提供相同邏輯功能的各種獨特實踐方式。

第四章 列出透過ZTA使企業網路更加安全的使用案例，包括遠距辦公、雲端服務與訪客訪路等企業場景

第五章 討論採用ZTA網路安全策略之下，企業可能面臨的威脅

第六章 討論ZTA原則如何與美國政府聯邦現有指南結合呼應

第七章 說明企業可以如何朝向ZTA過渡