基本上,美國NIST主要任務就是制定國家標準,提供美國聯邦政府可依循的重要課綱,因此在NIST SP 800-207中,也特別說明了零信任架構的運作,與美國既有聯邦指引的關連,包括美國政府在各方面提出的資安框架,以及法規要求等。

第六章 零信任架構與美國現有聯邦指引的相關性

NIST指出,零信任架構與一些現有的聯邦政策與指引,在規畫、部署與運作上,都有著交互的作用。

基本上,這些政策雖然會影響零信任戰略的制定,但不是要禁止企業朝向零信任導向的架構。在與現有的網路安全政策與指南、ICAM、持續監控,以及一般網路衛生相結合的情況下,ZTA可以強化組織的安全現況,防範常見威脅。

第六章第一節 零信任架構(ZTA)與風險管理框架(RMF)

首先,NIST談到的是現有的NIST SP 800-37風險管理框架(Risk Management Framework,RMF)。

在ZTA部署中,主要焦點圍繞在指定任務或業務流程的可接受風險,並制定存取政策,因此有可能允許連結的終端進行存取資源,但拒絕所有網路存取。但在大多數情況下,這種不平衡地限制,可能會阻礙工作的完成。

過去,NIST已發展出NIST SP 800-37風險管理框架(RMF),對於聯邦機構執行其任務,必須識別、評估與緩解執行任務的相關風險,需要可接受風險層級。

而在ZTA的導入與實施中,這會改變企業對於認證邊界的定義,主要因為增加了PE、PA與PEP等新元件,以及減少了對於邊界網路防護的依賴,但在整個過程中,RMF的描述並不會改變。

第六章第二節 零信任(ZT)與NIST隱私框架

對於用戶個人資訊的隱私保護,一直是企業與組織關注重點,以法規面向來看,包括聯邦資訊安全管理法(FISMA),以及美國醫療資訊保護法規(HIPAA),為此,NIST 制定了供組織使用的隱私框架「NISTPRIV」,這份文件提供一個框架以描述隱私風險與緩解策略,這將包含企業組織對於用戶隱私的識別、評估與緩解,以及隱私資訊的儲存與處理的過程。

而ZTA的核心要求之一,在於企業應在其網路環境中,檢查並記錄所有流量,在這當中,有些流量可能包含了隱私資訊,以及相關隱私風險。

因此,當企業在開發零信任架構時,透過NIST隱私框架將有助於開發一個正式的流程,可用以識別與緩解任何隱私相關的風險。

第六章第三節 零信任架構(ZTA)與聯邦身分識別、認證與存取管理(FICAM)

主體是ZTA的關鍵組成之一,若政策引擎(PE)沒有足夠資訊來識別關聯的使用者與資源,則PE將無法確定嘗試的連接,是否應被授權連接到資源。在邁向更為零信任的部署之前,需要針對主體制定嚴格的身分驗證策略,因此企業需要清晰的使用者屬性與政策,才能讓PE能夠評估存取請求。

針對聯邦政府的身分識別管理,美國行政管理和預算局(OMB)發布M-19-17的備忘錄,在此當中,該備忘錄呼籲所有聯邦機構成立一個 ICAM辦公室,目的是治理與身份發放與管理相關的工作,而其中許多的管理策略,主要建議是依循NIST SP 800-63-3 Digital Identity Guidelines的指引。

由於ZTA需要精確的身分管理,在ZTA上所進行各項努力,都將需要與機構的ICAM政策相結合。

第六章第四節 零信任架構(ZTA)與可信網際網路連線第三版(TIC 3.0)

基本上,TIC是一項由OMB、DHS與GSA聯合管理的網路安全計畫,期望建立聯邦政府的網路安全最低基準。

從其歷史來看,TIC是一種基於邊界防護的網路安全策略,要求機構整合與監控其外部網路連接,在早期的TIC 1.0與TIC 2.0中,主要假設周邊內部都是受信任的,其中TIC 2.0提供一系列基於網路的安全功能,包括內容過濾、監控、身分驗證等,並部署於機構周邊的TIC接入點,其中許多功能都符合ZT原則。

到了TIC 3.0,新版擴展到雲端服務與行動裝置,不僅如此,人們意識到「信任」的定義,可能因特定運算環境條件而異,且每個機構有不同的風險承受能力。

簡單來說,TIC 3.0聚焦在基於網路的安全保護,相對地,ZTA是更廣泛的架構,不僅針對網路,同時還強調應用程式、使用者與資料保護。而隨著TIC 3.0使用案例的發展,ZTA TIC使用案例很可能也會出現,開發出關於部署ZTA強制點的網路保護定義

第六章第五節 零信任架構(ZTA)與國家網路安全保護系統(NCPS)

關於國家網路安全保護系統(National Cybersecurity Protection System,NCPS),也就是愛因斯坦計畫(EINSTEIN),這是一個多系統的整合,主要提供入侵偵測、進階分析、資訊共享與入侵防禦功能,目的是幫助美國聯邦政府防禦網路威脅。

基本上,NCPS的總體目標與零信任一致,都是要管理網路風險、改善網路保護能力,透過該系統感測器,可供CISA旗下的國家網路安全與通訊整合中心(NCCIC)幫助聯邦機構應對重大資安事件。

美國國土安全部(DHS)同樣運用這些感測器,主要基於邊節網路防護的作法,相對地,ZTA是將防護更貼近資產、資料與所有其他資源的所在位置。

隨著NCPS計畫的發展,將可幫助ZTA系統擴展感知與遙測能力的基礎。但也因此,NCPS的入侵防禦功能應該需要進化。

隨著ZTA被整個聯邦政府採用,NCPS的實施需要不斷發展,或是需要具備新的能力來實現NCPS的目標。

第六章第六節 零信任架構(ZTA)與國土安全部持續診斷與緩解計畫(CDM)

關於國土安全部(DHS)的持續診斷與緩解計畫(Continuous Diagnostics and Mitigations,CDM),目的是要改進聯邦機構的IT技術,關注的重點在於機構對自身資產、設定配置與主體的洞察力。這包括:企業連接了什麼?誰在使用網路?網路發生什麼情形?以及資料如何保護?

NIST指出,能實施高強度的CDM計畫,將是零信任架構成功的關鍵。例如,要朝向ZTA發展,企業必須有一套系統能發現並記錄實體與虛擬資產,以建立可用清單。

這其實類似於制定零信任路線圖的第一步,機構必須對於網路上的資產與活動具有可視性,才能分類、設定配置與監控網路活動。

第六章第七節 零信任架構(ZTA)與雲端智慧策略、聯邦資料策略

最後,NIST談到聯邦雲端運算策略(簡稱雲端智慧策略)、資料中心優化政策的更新(備忘錄M-19-19),以及聯邦資料策略,都會影響機構在ZTA規畫上的一些需求,在這些政策中,對於資料蒐集、儲存,以及本地與雲端的存取,均有要求機構盤點與評估。

這樣的清單至關重要,可確定商業流程與資源,對ZTA導入帶來幫助。對於主要基於雲端或遠端的使用者而言,ZTA方案將是不錯的選擇。因為資料資源、應用程式與服務位於企業網路邊界之外,這些企業最能體會其擴展性與安全性的益處。

更多ZTA 101內容

     6 

熱門新聞

Advertisement