江苏龙网

  1. 主页 > 生活百科 > >

零信任未来研究的八个领域

零信任

2023年3月1日美国发布《国家网络安全战略》 , 拜登政府承诺通过实施零信任架构(ZTA)战略以及信息技术(IT)和运营技术(OT)基础设施的现代化来改善联邦网络安全 。
美国卡内基梅隆大学对零信任进行了介绍 , 重点介绍了八个潜在的研究领域 。
领域一:就一组普遍接受的基本 ZT 定义达成一致根据NIST SP 800-207(零信任架构),ZT 访问决策是基于每个会话做出的 。然而,“会话”一词有多种定义,2022年零信任行业日活动的小组成员强调了定义该术语和其他术语的重要性 , 包括每个会话、每个请求访问和每个请求日志记录 。
iboss的小组成员Paul Martini将会话描述为 ZTA中的核心概念,通常指用户访问企业资源时的特定实例 。
尽管NIST SP 800-207规定访问决策是基于每个会话做出的,但NIST还发布了CSWP 20,其中明确指出“‘会话’的单位可能是模糊的,并且根据工具、架构等的不同而有所不同 。” NIST进一步将会话描述为“利用一种网络身份和该身份的一种权限(例如读、写、删除等)或什至单个操作(类似于 API 调用)与一种资源的连接” 。然而 , 由于这个定义可能并不总是与现实世界的实现相对应,NIST 还更笼统地定义了会话:“在设定的时间段内通过具有设定权限的网络身份与资源的连接 。”
这个更广泛的定义意味着定期需要重新身份验证和重新授权,以响应特权升级、超时或对现状的其他操作变化 。类似地,其他概念(例如,按请求访问和按请求日志记录)也需要全面的定义 。定义、标准化和强化这些概念将有助于巩固行业对 ZT 原则的整体理解,并描述它们在实践中的表现 。
领域二:建立ZT共同观点从操作的角度来看,组织可以从用于定义 ZT 组件之间的事件通信的既定开源标准中受益 。组织还必须了解如何利用新的和现有的框架和标准来最大限度地提高 ZT 互操作性和效率 。
使用通用协议可以实现ZT环境的各个组件之间更好的集成和通信 。来自Appgate的小组成员Jason Garbis提出了此类协议的一个著名示例:OpenID基金会的共享信号和事件(SSE) 框架 。该框架有助于标准化和简化不同组织和解决方案之间与用户相关的安全事件的通信 。
另一个值得探索的领域是整个企业环境中使用的策略决策点 (PDP)和相关元素 。现有的解决方案可以利用独特的工作流程来开发 PDP 的指令集或操作参数 。对于与访问相关的决策 , PDP 依赖于策略、日志、情报和机器学习 (ML) 。然而,关于这些因素在实践中如何发挥作用以及应如何实施的讨论却很少 。为了鼓励一致性和互操作性,安全组织可以为 PDP 功能开发标准化语言,类似于为网络威胁情报开发的STIX / TAXII2标准 。
领域三:建立标准 ZT 成熟度级别现有的 ZT 成熟度模型无法提供有效转向 ZT 所需的最小基线的精细控制或讨论 。重要的是要考虑如何开发一个具有足够级别的成熟度模型,以帮助组织准确地确定他们必须做什么才能满足基本安全的 ZT 标准 。
来自 Zscaler 的小组成员Jose Padin强调需要定义现实世界中 ZTA 所需的最低基线要求 。建立 ZT 成熟度的技术要求标准至关重要,以便组织能够识别和审核其数字信任的进展 。
Padin 在演讲中强调了CISA 零信任成熟度模型的一些优势 , 该模型的几个支柱描绘了 ZT 背景下的不同成熟度级别 。[有关 CISA 零信任成熟度模型的高级视图,请参阅零信任成熟度模型的图 2(第 5 页)。]
CISA 模型帮助组织可视化最佳实践及其相关的成熟度级别,但实现 ZT 的最低要求仍然存在相当大的不确定性 。如果没有明确的比较标准 , 组织就无法评估其当前的 ZT 成熟度状态并选择最佳行动方案 。
CISA零信任成熟度模型从传统到高级再到最佳,这可能无法提供对中间立场的足够细致的洞察,许多组织可能会发现自己处于 ZT 转型的过渡阶段 。此外 , 虽然 CISA 的模型定义了决定每个成熟度级别的策略和技术,但关于这些概念如何在实践中发挥作用的技术讨论却很少 。
有必要 (1) 解决 ZT 成熟度的分层问题,以及 (2) 为组织提供足够的参考材料和指导,以便他们了解自己目前所处的位置(即“现状”状态)以及需要走向何方(即他们的“未来”状态) 。组织将受益于更多关于如何在其数字资产中实施 ZT 策略以实现合规性的信息,类似于最小可行产品的概念 。


推荐阅读


上一篇:Configuration源码,你了解多少?

下一篇:电脑无限重启开不了机?原因解析及解决方法