NSTAC：建设零信任安全的八个要点

一直以来，政府及相关企业组织在开展零信任建设方面存在很多疑问和顾虑，这阻碍了零信任技术的应用落地。为此，美国国家安全电信咨询委员会(NSTAC)在2021年底向美国政府提交了《零信任和可信身份管理报告》(以下简称《报告》)。这份报告详细回顾了零信任发展史，并通过总结诸多零信任项目、指引和要求，梳理了零信任实施中面临的关键挑战和要求，以及企业组织在开展零信任建设中需要特别关注的八个要点。

要点1：零信任需要长期的承诺

《报告》认为，确认零信任是一项变革性的工作，政府和其他组织需要承诺至少十年的投入。这包括改变行业和组织政策，以推动零信任文化，并开始从根本上重新设计组织的技术系统架构。《报告》提醒用户提防那些宣称可以让组织一夜之间就能实现“零信任”的厂商。

要点2：使用可靠的零信任指导

如果想了解零信任，不妨参阅已颁布的指南和出版物。这包括《NIST 800-207：零信任架构》、美国国防部《零信任参考架构》、美国国家安全局(NSA)的《拥抱零信任安全模型》、美国网络和安全基础设施局(CISA) 的《零信任成熟度模型》以及美国行政管理和预算局(OMB)的《联邦零信任战略》等。

要点3：制定科学的实施计划

与其他任何长期的战略项目一样，零信任项目建设前也需要制定科学的实施计划。NSTAC指南列出了零信任实施的五个步骤：界定保护范围、映射事务流、构建零信任架构、制定零信任策略以及监控和维护网络。这既强调了实施零信任是耗费时间的迭代过程，也暗示了零信任能够轻松获得的错误观点。

要点4：零信任战略与合规要求相一致

推动零信任是一个繁琐的过程，需要投入资金、时间和人力，孤立地实施零信任只会增添工作量。《报告》强调需要明确零信任战略和现有的合规要求，并确保两者相一致。如果两者不一致，组织注定会失败。随着组织开始竭力重新设计系统和网络架构以适应零信任，可能需要再次做好合规和授权工作。如果在这种情况下不实施自动化，组织将被同时开展的两项工作搞得疲惫不堪。

要点5：设立零信任项目办公室

《报告》的另一项重要建议是需要设立零信任项目办公室，并在关键领域尽量使用共享服务。美国国防部最近宣布设立零信任项目办公室。NSTAC呼吁联邦政府仿而效之，以专门成立一个部门来统管实施指南、架构和战略手册等。这样一来，各政府部门可以借助该办公室加快实施各自在零信任方面的独立工作。商业组织(企业界)，尤其是不同业务部门常常各行其是的大企业，可以像政府部门那样设立零信任项目办公室。

要点6：使用云服务以加快采用零信任

推动零信任也离不开云服务，NSTAC表示“更快地采用云服务将大大加快联邦机构采用零信任”，其优势涉及数据、身份和自动化等方面。云采用还可以帮助机构和组织应对远程员工队伍壮大的情形。

要点7：有效的身份管理是零信任成功的关键

《报告》还强调了有效的身份管理对于零信任的重要性，这包括个人身份和非个人实体身份的管理。《报告》强调了需要这样的现代身份管理解决方案，即与组织所处的现代云原生和远程员工队伍环境相一致的身份管理方案，具体可参阅《NIST 800-63-3：数字身份指南》。

要点8：针对某些功能共享安全服务

除了需要设立集中式项目办公室外，《报告》还建议为特定功能(比如可访问互联网的资产发现)共享安全服务。NSTAC《报告》指出，多种解决方案既导致管理复杂性，又使最终用户在集成和磨合方面面临挑战，无疑会阻碍零信任的落地。IT/网络安全共享服务可以为机构和组织带来诸多好处，包括成本/许可效率、增强可见性和提高效率。

参考链接：https://www.csoonline.com/article/3652339/8-takeaways-for-cisos-from-the-nstac-zero-trust-report.html