【搞懂零信任，从理解NIST SP 800-207着手】打造以零信任原则的企业网络安全环境

在2021年5月12日，美国总统拜登下达行政命令，公布多项国家网络安全策略，期望改善该国的资安现况，当中最受关注的焦点之一，就是推动美国联邦-网络安全现代化，要求导入零信任架构的网络安全策略。

当中指出，美国-自身必须采取果断措施，让达成网络安全的方法能跟得上时代，包括提供-对威胁的可见度，以及保护隐私与公民自由，因此，美国-必须朝向零信任架构（Zero Trust Architecture）迈进，并加快脚步迁徙到安全云端服务。

由于在2020年8月，NIST已公布SP 800-207标准文件，成为美国-采用ZTA的指南，在2021年5月这次的行政命令中，更是规定当地-机构要在60天内，制定实施ZTA的计划，并参考NIST标准文件指引的导入建议。

因此，我们别以为这样的应用离现实还很远！在国际上，零信任概念带来的资讯安全架构重要转变，已经迈向普遍应用的阶段。

NIST零信任架构的组成

零信任架构中最主要的关键，就是每次资源存取都要经过存取控制的政策落实点（PEP）去确认是否放行，而此背后则是借由相应的政策决策点（PDP）来判断，特别的是，当中的政策引擎除了依据企业制定的资料存取政策，还应分析威情情资、SIEM、活动日志等多方资讯，来做到基于风险的评分以进行决策。资料来源：NIST，iThome整理，2021年7月

随着企业网络环境的改变，网络安全架构也该翻新

零信任的网络安全策略，演变至今，由NIST公布的SP 800-207标准文件，可说成为各界了解ZTA的重要参考依据。不过，对大多数国内企业组织而言，对于ZTA可能仍一知半解，为了更完整掌握这样的概念，我们找来台湾科技大学教授查士朝进行解读，他曾在今年台湾资安大会上，剖析个中关键NIST SP 800-207标准文件。

若要了解零信任，有那些重点要注意？首先是基本背景，NIST SP 800-207第一章，就是针对这部分的整理。

简单来说，现在IT架构变得复杂，超越了传统网络边界安全的作法，因为企业网络边界并不是单一存在，并且难以识别。所以，一旦攻击者突破边界后，后续横向移动则是畅通无阻。查士朝表示，ZTA主要就是针对传统强化边界的方法，面对BYOD、云端服务与远端工作等新兴存取方式的挑战而发展。

因此，现在提倡的新型网络安全模式，称之为零信任。基本上，零信任的方法，着重于资料与服务的保护，但也应该扩展到所有企业资产与主体，这些企业资产包括装置、基础架构元件、应用程序，以及虚拟与云端元件，而主体也包括来自使用者、应用程序或机器的资源请求。

根据NIST说明，零信任架构ZTA，是基于零信任原则企业网络安全架构，目的是为防止资料外泄与限制内部横向移动。零信任非单一的架构，而是关于工作流程与系统设计与营运的指导原则。

特别的是，NIST指出，过渡到ZTA将是一段旅程，并非透过全面的技术更换就能完成。其实，现在多数组织的IT基础设施，都已经有ZTA的元素，因此组织应逐步寻求零信任原则的实施、流程的变更，以及技术解决方案。

遵循的原则与信任关系是关键，组织内外资安管控应一致

在NIST SP 800-207第二章中，提供了外界更多关于零信任的基础知识。这里有两大部分值得重视：一是具体描绘出ZTA的设计与部署需遵循的基本原则，另一是提供了从零信任的视角来看待网络的假设与见解。对于导入ZTA的组织而言，有了基本原则与相关假设，就能根据这些来进行开发设计。

根据NIST说明，零信任是聚焦于资源保护为核心的网络安全模型。从其定义来看，零信任提供了一系列概念与相法，重点在于防止未经授权存取资料与服务，使存取控制尽可能做到更精细。

但是，存取控制有其不确定性，因此重点将放在身份验证、授权与限缩信任区域，而且，需要尽可能减少身份验证机制的时间延迟，保持可用性，并尽可能让存取规则更精细，让每次资源存取请求的操作，只提供所需的最小权限。

而在过渡到ZTA时，NIST也强调，不是单纯替换技术就可做到，而是关系到组织如何在其任务中评估风险的过程。

为了说明这方面的存取控制，NIST提供简要的存取模型。当使用者或机器需要存取企业资源时，会经过政策落实点（PEP），以及相应的政策决策点（PDP）来授予权限，为的是即时基于风险评估的结果，决定是否能够存取。

查士朝指出，NIST在此章节还统整出ZTA设计应遵循的7大基本原则，简而言之，主要是：识别可存取资源、连线安全、妥善存取控制、考量存取者状态、了解资源状态，以及监控装置与资源风险，持续搜集资讯与改善。

而关于零信任架构的设计与部署，都要依据这些原则来进行，但NIST也说这些原则是理想的目标，毕竟，并非所有原则都能以最纯粹的形式来实现。

另一方面，NIST也列出零信任角度下对于网络的6大假设，包括：

（1）企业私有网络不能预设为信任区

（2）网络中的装置有可能不是企业所拥有的，或是能被设定的

（3）任何资源并非天生就可受信赖

（4）并非所有企业资源都位于企业拥有的基础架构上

（5）远端使用者存取企业主体与资产时，不能完全信任本地的网络

（6）在企业与非企业基础建设之间移动的资产与工作流程，应具有一致的安全政策与安全状况。

不仅要持续验证，存取控制也应基于风险评估而动态调整

要如何实现零信任架构？在NIST SP 800-207第三章中，描绘ZTA逻辑元件的架构图，呈现ZTA核心元件的关系。

基本上，我们可将网络控管环境，区分为资料层，以及控制层。从资料层面来看，当任何主体透过系统要存取企业资源前，需先经过存取控制的政策落实点（PEP），决定是否给予权限。

而在这PEP的背后，将会借由控制层所相应的政策决策点（PDP）来判断，而PDP内部本身包含两部分，分别是负责演算的政策引擎（PE），以及负责策略执行的政策管理（PA）。

同时，在决策过程中，还会引入多方与外部资讯来帮助决策，包括：企业建立的资料存取政策、PKI、身份管理系统、SIEM平台资讯，以及威胁情报、网络与系统活动日志，还有美国-已提出持续诊断与缓解（CDM）系统，以及产业合规系统等。

查士朝表示，因此ZTA不只是依照管理者设定的政策去判断可否放行，政策引擎还要考量到多方外部资讯，做到即时调整控制权限。

另一方面，在此章节中，NIST还说明了一些较为技术性的内容，包含ZTA的3项必要技术，4种ZTA部署方式，以及政策引擎在考量多方与外部资讯时，所建议的可信任算法、风险评分机制，同时，还有ZTA网络环境的需求。

举例来说，由于ZTA并非单一架构，因此组织可透过多种方式为工作流程制定ZTA，因此NIST更是说明，完整的零信任解决方案，将具备3项要素，包括：进阶的身份治理（Enhanced Identity Governance）、网络微分割（Micro-Segmentation），以及软件定义边界（Software Defined Perimeters）。

在部署方式上，由于每个公司与组织的环境不同，NIST只是简单提出4种情境。简单来说，前两种是基于代理程式（Agent）的模式，差异在于存取资源时是否经过单独的网络闸道器，或是将很多资源部署在同个网段，经过同一个网络闸道器，后两种则是没有Agent的模式，不同处在于：一个是经过网页入口，另一是透过沙箱。

查士朝认为，要理解这些部署方式，其实可从在家工作的角度去思考，例如，透过下列3种状况来比较差异，包括：（1）完全隔离的工作环境、（2）在办公室工作、（3）异地分区办公。如此一来，能够更便于设想。

举例来说，我们可以试想远距或行动办公会面临的资安威胁。此时，通常较欠缺实体安全防御，也缺乏维护作业环境安全能力，而且居家也可能受到网络攻击，以及钓鱼邮件攻击，还有不安全的网络连线服务器主机，以及未妥善保护的企业网络资源等。

为了让大家对ZTA更有概念，他特别提到远端连线的种类，并引用SP 800-46来对照说明。

基本上，远端连线包括直接应用程序存取、Tunneling、远端桌面存取，以及入口（Portal），而在ZTA中，VPN只是连线工具，而非安全机制，远端桌面则有很多缺点，当远端机器很多时，容易产生安全问题，企业可能透过VDI做到集中式管理，因此，ZTA方案多半属于入口网站形式，透过入口服务器的验证，再让主体去存取后面的资源，Google的BeyondCorp就是典型的例子。

整体而言，查士朝认为ZTA有5大关键，包括保护装置安全、识别存取者身份、存取控制、持续监控并视为存取控制依据，以及现在存取范围，并以存取控制为核心，来考量其他技术元件。

对于ZTA整体布局情境，NIST现阶段仅提出较笼统的说明

ZTA有哪些参考使用案例？在NIST SP 800-207第四章稍微提到，针对部署情境举出5种企业型态的例子。像是：拥有卫星工厂的企业，使用多种云端服务的企业，拥有合约服务与非员工存取的企业，跨企业边界协作的企业，以及面向公众或客户服务的企业。

查士朝指出，这部分主要是在很单纯的实务情境中，说明可以如何部署，但细节并未着墨太多。

至于接下来两章的内容，分别是探讨ZTA的相关威胁，以及ZTA与美国既有联邦指引的关连，包括美国-在各方面提出的资安框架，以及法规要求等。

迈向零信任从评估着手，企业流程更是重要

由于迈向ZTA并非一蹴可几，因此NIST在这份标准文件的最后（第七章），特别提供了导入ZTA的步骤建议，让企业对于ZTA的导入更有方法。

以ZTA部署生命周期而言，首先要做到评估，这方面包含了系统清单、使用者清单，以及企业流程审查。也就是一开始就要对资产、主体与业务流程，有详细的了解，否则，一旦无法掌握企业现况，企业将无法确定需要那些新流程系统。而在评估之后，步骤则是风险评估与政策制定、部署与作业。

值得关注的是，NIST在这份文件说明掌握业务流程的重要性，因为，相关调查的进行，都与组织业务流程检查有关。同时，这些步骤可与NIST风险管理框架（RMF）的SP 800-37相对应。这是因为，采用ZTA的每个过程，也就是降低组织业务功能风险的过程。

整体而言，包括要识别企业中的攻击者，识别企业拥有的资产，接着要清查的部分，是关键流程并评估相关风险，之后再来制定ZTA策略与选择ZTA解决方案。

而在制定存取控制的政策时，也要考虑到基于风险评估的判断，后续，还要加强对于行为的监控。

零信任的下一关注焦点：ZTA的SP 1800系列实践指引将发布

就现阶段而言，有意导入ZTA的企业，NIST SP 800-207无疑是必须参考的内容，这其实也让日后各界在讨论ZTA时，能够有一致、共通的语言来沟通，至于后续是否还有其他更具体的资料可供大家参考？

事实上，美国NIST与旗下国家网络安全卓越中心（NCCoE），在2019年2月，启动了零信任架构的计划，当中有部分工作与此有关──除了发布NIST SP 800-207标准文件，他们还规划Zero Trust Test Lab实验室，以建立符合使用情境的网络环境，统整零信任技术与元件，进行场景测试。

NCCoE也表示，将启动实施ZTA的计划。他们已经在2020年10月，发布专案描述文件“Implementing a Zero Trust Architecture”，这里主要提供6个情境，而且是针对的是存取的情境来举例，同时也预告日后将发布基于零信任架构的SP 1800系列指引，以及提供最佳实务与资源，届时企业可以同时参考标准文件与实践指引，在设计、推动与落实零信任概念时，将会更有帮助。

零信任7大原则

1.　所有的资料来源与运算服务都要被当作是资源。

2.　不管适合哪个位置的装置通讯，都需确保安全。

3.　对于个别企业资源的存取要求，应该要以每次连线为基础去许可。

4.　资源的存取应该要基于客户端识别、应用服务，以及要求存取资安可观察到的状态，以及可能包括的行为或环境属性，去动态决定。

5.　企业监控与衡量所有拥有与相关资讯资产的正确性与安全状态。

6.　在允许存取之前，所有的资源的身份鉴别与授权机制，都要依监控结果动态决定，并且严格落实。

7.　企业应该要尽可能收集有关资讯资产、网络架构、骨干，以及通讯的现况，并用这些资讯来增进安全状态。

资料来源：NIST，iThome整理，2021年7月

 相关报导