面向IAM的零信任原则与指南.pdf

摘要
身份及身份相关的属性,以及其他零信任(ZT)标识(零信任中关于身份的其他属性)是零信任架构的关键原则之一。零信任方法旨在通过基于风险的访问控制来减少网络攻击和数据泄露的几率。也就是说,在授予对资源(数据、系统)的访问权限之前,必须进行身份验证和授权。
为了满足这一要求,重要的是要通过零信任的视角来审视现存和新的身份、访问管理和云解决方案。
零信任是一个技术无关的指导性框架,将访问控制措施更加靠近受保护资产(保护面)。从身份、访问管理的角度来看,它提供了基于风险的决策授权能力,而不是仅基于单一访问控制方法的二元信任来进行授权访问。
目标受众
主要:零信任(ZT)实施和架构的技术经理
次要:CISO/ISO/信息安全、IAM供应商
零信任的背景和推动因素
多年来,有各种论文谈论信任作为人类和社会现象,其中一些使用了“零信任”这个术语。2001年,开源安全测试方法手册(OSSTMM)开始解决信息技术中的信任问题,并在其第三版(2007年)中将“信任”标记为漏洞,并专门撰写了一整章来讨论这个主题。
Sun Microsystems在1990年代引入了“Chewy Center”①(智能糖果或M&M糖果模型②)的概念。在2005-2007年期间,Jericho Forum(visioning paper andJericho Forum Commandments)和OpenGroup为零信任做了一些基础工作,讨论了传统网络边界安全模型的失败以及去边界化的必要性,这是Open Group零信任安全准则的灵感来源。
零信任网络(ZTN)概念是在21世纪初由美国国防部(DoD)提出的,当时正在定义全球信息网(GIG)网络运营黑核网络路由技术和路由寻址架构,这是DoD的网络中心服务战略的一部分。随着时间的推移演变为ZTN架构(ZTNA)和软件定义的边界(SDP)框架,并被DoD、CSA和NIST所采纳和进一步推广。
在经过两年的研究,Forrester Research的John Kindervag于2010年正式将这些概念整合成我们现在所知道的零信任实践领域。John的工作独特之处在于他正式确定了成功实施这些架构所需的组件,并提供了一种可理解的实施零信任的方法,包括利用Kipling方法开发有效的零信任策略,以及启用扩展授权控制,例如基于上下文的访问控制。
2019年左右,美国国防部(DoD)在与国家安全局(NSA)进行情报磋商后开始拥抱零信任,美国国防部认为当时的安全方法不再有效,且需要调整其安全战略,以更好地抵御日益复杂的网络攻击。
2020年8月,NIST发布了SP800-207零信任架构。2021年5月,美国总统拜登签署行政命令(EO)14028,特别提到了零信任安全实践,要求联邦机构加强网络安全,为政府采用零信任提供了第一个重要的法规。虽然全球都对零信任的兴趣在最近几年不断增加,由于受到美国政府法规的影响,美国目前在零信任应用和相关指导方面处于领先地位。
无论是来自NIST、DoD、CISA还是像CSA、Forrester Research或英国NCSC这样的组织的专家贡献,其中相关的指导原则都基于相同的基本原则(最初在JohnKindervag的基础研究中描述),其中许多是已经确立为信息安全概念(例如“最小特权”,“拒绝所有,例外允许”)。

本文来自知之小站

 

PDF报告已分享至知识星球,微信扫码加入查阅下载3万+精选资料,年享1万+精选更新

(星球内含更多未发布精选报告.其它事宜可联系zzxz_88@163.com)