• 联邦政府中对零信任的挑战

笔者之前的文章，介绍了美国国家标准技术研究所（NIST）和美国国防部国防创新委员会（DIB）对零信任的认识。

• DIB可以视为美国军方的代表；

• NIST可以视为美国标准（或美国民间）的代表；

• ACT-IAC这一篇可以视为美国联邦政府的代表。

从不同的角度看看，也是蛮有意义的。

笔者计划，在介绍完《零信任网络安全当前趋势》这个报告之后，再次放出对NIST《零信任架构》草案的详细介绍（之前的介绍只是非常概要的）。原本是想等到NIST放出正式标准后，再全文翻译的。可是，日子只会溜走，等待只会遗憾。

相比《零信任网络》一书，上述这些材料虽然薄了点，但也算是美国比较官方的零信任材料，还是非常值得学习借鉴的。若不细看上几遍，不那么容易领会精髓。

美国技术委员会（ACT）是一个非营利性的教育组织，旨在建立一个更加高效和创新的政府。

ACT-IAC（美国技术委员会-工业咨询委员会）提供了一个独特的、客观的、值得信赖的论坛，政府和行业高管正在共同努力，通过使用技术来改进公共服务和代理业务。

本报告所载的调查结果和建议是以协商一致为基础的，并不代表任何特定个人或组织的意见。

为了保持其合作过程的客观性和完整性，ACT-IAC不接受政府资助。

2017年5月，总统成立了美国技术委员会（ATC），以促进联邦政府安全有效地使用IT，并指示它编写一份关于联邦IT现代化的报告。2017年晚些时候发布的IT现代化报告和相关的行政命令2，将使机构“……从保护他们的网络边界和管理传统的物理部署，到保护联邦数据和云优化部署”。它承认，这项工作的成功需要新的方法和战略。

2018年5月，联邦首席信息官理事会服务、战略和基础设施委员会要求ACT-IAC承担一项与零信任（ZT）和潜在联邦机构采用有关的项目。与此同时，联邦机构将从2023年3月开始，将网络服务从目前的总务管理局（GSA）合同转到新的企业基础设施解决方案（EIS）合同。联邦政府有一个独特的机会，来利用IT现代化和EIS过渡的汇合，以深刻变革机构的网络服务交付和数据保护。

ACT-IAC建立了政府和工业志愿者的项目团队，主要来自其网络、电信和网络安全社区。他们的工作被设计为评估ZT技术和服务的技术成熟度和可用性，并识别和解决与潜在的联邦机构采用相关的其他重要问题。

该项目侧重于两个工作流程：

第一个工作流程：评估了市场上支持ZT的实际工具，并确定了尚未实现的概念化能力。市场研究侧重于评估技术成熟度和准备度、适合性、可扩展性和基于实际实现的可承受性。

第二个工作流程：主要集中在信任算法上。这些动态算法用于生成信任分数，这对于全面的ZT解决方案是必不可少的。信任分数用于根据定义的标准授予、限制或拒绝访问。项目团队开发了对现有信任算法工作的理解，以向联邦机构提供关于这个主题的建议。

今天的系统正在扩展和演变为移动和云的环境，将传统的基于边界的网络安全方法扩展到了临界点。

一种称为“零信任（ZT）”的新方法，可能大幅改变和提高机构保护他们的系统和数据的能力。

ZT是一个安全概念，其基础是组织需要主动控制人员、数据和信息系统之间的所有交互，以将安全风险降低到可接受的水平。

ACT-IAC被联邦CIO理事会要求评估ZT技术的成熟度，它们的准备性和在政府中的适用性，以及如果他们选择使用ZT，机构将面临的问题。本报告提供了该评估的结果。

现代IT安全解决方案需要结合几个最小特性：

• 1）在信任框架内隔离用户、设备、数据和服务，以确保每一个访问请求都被验证并故意允许或不批准；

• 2）能抵抗攻击和对攻击有弹性，而没有大的管理负担；

• 3）能够容易、快速地（如果不是自动地）适应不断变化的服务环境，也没有很大的管理负担。

ZT通过处理所有用户、设备、数据和服务请求，来满足这些特性。

ZT本质：它从一个组织中所有资产都是开放和可访问的传统安全策略，转变为需要持续的身份验证和授权才能访问任何资产。这个根本的变化是ZT的本质。ZT不是你要买的东西，它是一个安全概念、策略和架构设计方法。

ZT解决方案现状：ZT解决方案是广泛可用的，目前正在私营部门使用。市场上也存在着良性竞争。目前没有一家供应商提供单一的、整体的ZT解决方案。要获得一个全面的解决方案，需要集成多个供应商的产品和服务。一些不同的ZT架构方法可供机构选择。

• 实施ZT不需要大规模更换现有网络或大量获取新技术。ZT应该增加其他现有的网络安全实践和工具。许多联邦机构已经在其基础设施中拥有ZT的元素，并遵循在日常运作中支持它的实践。诸如身份凭证和访问管理（ICAM）、基于信任算法的访问标准、自动策略决策和连续监视等元素，是成功的ZT的关键补充。

• ZT采用的是渐进式方法。它在规模、步调、风险偏好和最终实现程度上给机构提供了很大的自由度。然而，在开始实施ZT之前，组织必须牢牢把握他们的用户和他们的角色、他们的数据和他们的技术资产。

• 实施ZT需要“整个机构”的努力。由于ZT可以影响任务计划系统的安全性、风险性和性能，机构负责人和受影响的项目负责人必须与IT人员一起合作设计和实施ZT。

ZT需要由任务驱动，而不是只为了自己的利益而由IT驱动。

2004年，零信任作为一个安全设计的概念，由Jericho论坛引入， Jericho论坛是一个总部设在英国的首席信息安全官（CISO）群体。他们看到由于云和移动计算的加速使用，导致访问和授权的方式改变之后，这个有远见的团体假设了一个安全模型，这个模型对于传统的边界正在消失或变得不相关的世界是正确的，工作流正在移动到云，而移动端点对于应用程序访问正成为规范。

近年来，我们看到了这一加速，因为向健壮、快速的5G网络移动，导致一些组织怀疑他们是否应该提供网络服务。

2010年， John Kindervag（约翰德金瓦格）在Forrester进行研究时，创造了“零信任”或“零信任网络”这一术语，以解决Jericho论坛提出的问题。从那时起，零信任的兴趣增加，作为解决溶解或不断移动边界的潜在安全方法。

大多数现有的企业网络都是扁平的，即数据和用户网络之间几乎没有分离。传统的中心辐射网络模型的弱点在于其架构。通过防火墙跨越信任与不信任之间的鸿沟，从本质上说是危险的。相反，零信任不再区分“内部”和“外部”网络周边。

• 提供用户从任何地方以任何方式访问任何地方的数据的一致性安全策略；

• 在访问服务和/或数据时，采取“从不信任并始终验证”的立场；

• 无论源于何处的请求位置，都需要持续授权；

• 增加整网可视性和分析性。

此外，零信任依赖于五个基本断言：

• 网络总是被认为是怀有敌意的；

• 网络外部和内部威胁始终存在；

• 网络位置不足以决定网络中的信任；

• 每个设备、用户和网络流都经过认证和授权；

• 策略必须是动态的，并根据尽可能多的数据来源进行计算。

五、零信任概念安全模型的六大支柱

零信任可以被认为是一项战略举措，与组织框架一起，使决策者和安全领导人能够达成务实和有效的安全实现。

概念安全模型有助于理解和组织这些组件。零信任安全模型见下图：

IT能力存在于组织内，是为了使任务得以实现，而不是为了自身目的而存在。这种逻辑可以扩展到零信任。信息保护的需求应该由任务驱动，由IT组织来完成。IT组织应该与任务和高层领导一起工作以获得支持，并为创建对于零信任的组织需求而奋斗。

零信任架构的目的是保护数据。对一个组织的数据资产的清晰理解，是成功实现零信任架构的关键。组织需要根据任务关键性，来分类他们的数据资产，并使用这些信息来开发数据管理策略作为其整体ZT方法的一部分。

支柱1-用户：人员/身份安全

可信用户的持续身份验证对ZT至关重要。这包括使用身份、凭证和访问管理（ICAM）和多因素认证（MFA）等技术，并持续监测和验证用户可信度，以管理其访问和权限。防护和保护用户交互的技术，如传统的Web网关解决方案，也很重要。

支柱2-设备：设备安全

实时的网络安全态势和设备的可信性是ZT方法的基本属性。一些“记录系统”解决方案（如移动设备管理器）提供可用于设备信任评估的数据。此外，对每个访问请求应进行其他评估（例如，入侵状态的检查、软件版本、保护状态、加密启用等） 。

支柱3-网络：网络安全

有人认为，边界保护对于网络、工作流、工具和操作变得越来越不重要。这不是由于单一的技术或用例，而是许多新技术和服务的汇聚，允许用户以新的方式工作和通信。零信任网络有时被描述为“无边界”，这有点误入歧途。零信任网络实际上试图从网络边缘和片段中移动边界，并将关键数据与其他数据隔离。周界仍然是一个现实，尽管是以更细粒度的方式。传统的基础设施防火墙边界“城堡和护城河”的做法是不够的。边界必须更接近于数据与微分段，以加强保护和控制。

随着代理将其网络部分或完全过渡到软件定义网络（SDN）、软件定义的广域网（SD-WAN）和基于Internet的技术，网络安全正在扩展。关键是：（a）控制特权网络访问；（b）管理内部和外部数据流；（c）防止网络中的横向移动；（d）具有可视性，以便对网络和数据流量进行动态策略和信任决策。分段、隔离和控制网络的能力，仍然是零信任网络安全的关键点。

支柱4-应用：应用程序和工作负载安全

确保和适当地管理应用层以及计算容器和虚拟机是ZT采用的核心。具有识别和控制技术堆栈的能力，有助于更细粒度和准确的访问决策。毫无疑问，多因素身份验证（MFA）是在ZT环境中为应用程序提供适当访问控制的一个日益关键的部分。

支柱5-自动化：安全自动化和编排

和谐、成本高效的ZT充分利用安全自动化响应工具，通过工作流自动化跨产品的任务，同时允许最终用户的监督和交互。安全操作中心（SOC）通常使用其他自动化工具进行安全信息和事件管理（SIEM）以及用户和实体行为分析（UEBA）。安全编排连接这些安全工具，并协助管理不同的安全系统。这些工具可以以集成的方式工作，大大减少体力劳动和事件反应时间，并降低成本。

支柱6-分析：安全可见性和分析

你不能对抗一个你看不见或无法理解的威胁。ZT利用诸如安全信息管理、高级安全分析平台、安全用户行为分析和其他分析系统这样的工具，使安全专家能够实时地观察正在发生的事情和更智能地定向防御。对网络相关事件数据的分析，有助于在实际事件发生之前制定主动安全措施。

2）其它零信任安全模型

其它几种模型可用于帮助组织理解概念并指导他们在其环境中引入零信任的努力：

零信任扩展（ ZTX ）生态系统框架：由Forrester开发，该框架被描述为一个安全架构和运行手册。

持续适应性风险和信任评估（CARTA）模型：来自Gartner，CARTA被描述为一种在高级威胁环境中支持数字业务转型的方法，这种环境需要一种新的安全方法。零信任可以是整个CARTA安全方法的子组件。

将隐私集成到ZT架构设计和生命周期过程中是非常重要的。

随着我们将计算推向“边缘”，导致日益复杂的IT信息系统和设备的世界，围绕IT投资的隐私问题也在增加。

将隐私控制到安全控制目录的完全集成，是下一代NIST SP 800-53（Rev 5）安全和隐私控制标准的主要目标。

ZT实施可能有新的和不同的方法，来监视用户行为和/或跟踪用户身份。ZT从业者需要确保他们遵守适用的隐私法律、法规、标准和政策。

通过与机构隐私官员密切协调设计和开发工作，这一领域的成功是可以实现的。特别重要的是，根据20026电子政务法第208条的要求，确保所有的ZT实施在机构隐私影响评估（PIA）中有适当的披露。

谷歌“BeyondCorp”模型是关于零信任实现的最早讨论和文档化的例子。

BeyondCorp提供了一个实际的零信任实现的例子。虽然Google是一家商业企业，但其许多内部组件应该是任何企业都熟悉的。

BeyondCorp基于原始零信任前提：传统的基于边界的安全不足以保护内部网络和数据。此外，谷歌认识并促进云技术的发展，并将应用程序从本地数据中心移动到云提供的应用程序和服务。

• 从特定网络的连接，不得确定您可以访问哪些服务；

• 到服务的访问权限，基于我们对您和您的设备的了解授予。

• 所有到服务的访问，必须经过认证、授权、加密。

BeyondCorp组件：可以映射到上述零信任支柱的以下组件：

这些组件是作为Google云平台的一部分交付的，许多组件是由Google集成访问代理交付的。由于这是一个只通过云的交付策略，所以使用基于虚拟软件的解决方案，来配合软件定义边界的使用是必要的。应用程序被迁移到云中，在云中可以交付细粒度的访问控制。这消除了授权应用程序访问谷歌Intranet的必要性。

Google使用一种基于代理的方法作为强制点，来控制对在Google云平台上交付的托管应用程序的访问。该代理方法已被改进，并作为云身份感知代理产品交付，它控制了零信任的基本支柱。

作为一个框架，零信任意味着天生的不信任（“ 默认拒绝”），需要一种强调 持续监测和评估的 自适应部署模型。

问题一：在这种 以信任为中心的转变中，首要的问题之一是“我们如何确定某事物的 可信度？”许多安全组织很难回答这个问题。

• 传统程序：假定所有数据和事务都是可信的，而实际上，入侵、数据丢失、恶意参与者等都会降低信任。

• 零信任：则是按动了 信任计算，通过假设所有数据和事务从一开始就不受信任。

问题二：新的问题是“我们如何获得 足够的信任？“虽然一些关键概念和组件可以应用于所有部署，但没有可应用于每个组织的 固定公式。 信任会随着组织的需要和关注而改变。

零信任环境集成了数据、用户、设备、应用程序的控制，以管理所有事务的可信性（参见下图：零信任三角）。

信任引擎：是一种用于通过赋予 信任分数来动态评估网络中的用户、设备或应用程序的总体信任的技术。信任引擎使用计算出的信任分数，为每个事务请求做出基于策略的授权决策。

信任分数：是由组织预先定义或选择的因素和条件计算出的值，用于确定给定用户、设备或应用程序的可信性。诸如位置、时间、访问时长和采取的行动等信息，是确定信任分数的潜在因素的例子。

微分段：是一种安全技术，能够将细粒度安全策略分配给数据中心应用程序， 粒度可以降到工作负载级别和设备层面。这意味着安全策略可以与虚拟网络、虚拟机、操作系统或其他虚拟安全目标进行同步。

在零信任三角内，信任引擎通过使用信任分数来评估进入网络的任何代理的可信性。

代理（或“网络代理” ）：是指在网络请求中已知的关于参与者的 数据组合的术语，通常包含用户、应用程序、设备。该数据组合，根据需求实时地查询，以提供情境上下文以使最佳授权决策成为可能。在计算出信任分数之后， 用户、应用、设备、分数被绑定以形成代理。然后， 策略可以应用到代理上，以授权请求。

2）零信任架构中的控制和数据平面

零信任架构基于控制平面/数据平面模型（见下图）：

控制平面：由 接收和处理来自希望访问（或准许访问）网络资源的 数据平面设备请求的组件组成。控制平面协调和配置数据平面。

数据平面：零信任架构中的几乎所有其他事物都被称为数据平面。 数据平面包含所有应用程序、防火墙、代理、路由器，它们直接处理网络上的所有流量。

图中所示的架构，支持访问受保护资源的请求，该请求首先通过控制平面发出，其中设备和用户都必须经过身份认证和授权。细粒度策略可以应用于该层，可能基于组织中的角色、一天中的时间、或设备类型。访问更安全的资源，还可以要求更强的身份验证。

一旦控制平面决定允许请求，它将 动态配置数据平面，以接受来自该客户端（并且仅限于该客户端）的流量。

此外，它还可以协调请求者和资源之间 加密隧道的细节。这可以包括临时的一次性使用凭据、密钥和短暂端口号。

虽然可以在这些措施的强度上做出一些折衷，但 基本思想是： 一个权威的来源或可信的第三方，被授予一种能力，即 基于各种输入，能够实时地认证、授权和协调访问。

代理中包含的 富化信息，允许非常灵活但细粒度的访问控制，它可以通过在策略中包括评分组件来适应不同的条件。如果请求被授权，则控制平面向数据平面发送信号以接受传入的请求。

此操作还可以配置加密详细信息。 加密可以应用于在设备级、应用级或两者之上的静止数据和移动数据。至少需要一个用于保密性。

利用这些认证和授权组件，以及在协调加密信道的控制平面的帮助下，零信任模型可以 断言网络上的每一个流，都是经过认证和预期的。

主机和网络设备可以丢弃尚未应用所有这些组件的流量，从而显著降低敏感数据泄漏的可能性。此外，通过记录每一个控制平面的事件和动作，网络流量可以容易地在 逐个流量或 逐个请求的基础上进行审计。

当对迁移到零信任架构进行评估时，组织内的技术和业务领导者都必须看到潜在的好处。

核心ZT成果应集中于：创建更安全的网络，使数据更安全，减少违规带来的负面影响，提高合规性和可视性，实现更低的网络安全成本，并提高组织的整体风险态势。

实施的好处 取决于部署ZT原则的程度和所使用的操作模型。丢失的或被盗的数据、外泄的知识产权和其他类型的违规行为，会损害组织的资金和声誉。避免这种情况是成功采用ZT的关键。

实施一个“从不信任，永远验证”的方法，应该加强对网络中正在发生的事情的可见度。新工具可以提供对访问请求的任何人的用户、设备、位置、信誉的更高可见性。运营者很难防止或修复他们看不见的东西，所以可见性是关键。如果用户、设备或行为未被识别或超出用户基线风险评分，它们将被丢弃。

ZT还 细分了内部架构，以限制常与系统渗透漏洞相关的 用户“漫游”。

传统上，企业已经部署“内部防火墙”作为一种分段方法，但是现在可以使用增强的方法来实现 微边界。有了ZT，用户就不能再登录并拥有“网络旅行”。相反，它们被授权只能使用与预先确定的信任级别和访问相关联的特定的微边界。

保护数据在网络中的传输和存储，是任何网络价值的主要部分。保护所有数据，无论是静止的还是运动的，都是ZT架构的主要支柱。有助于这种保护的关键技术包括加密、虚拟专用网络（VPN）和数据防泄漏功能。网络运营商可以为每种类型的保护选择单独的工具，也可以选择提供多种功能的整合工具。

与云计算和“物联网”设备的增加相关的最近趋势，已经拓宽了网络的边缘。这可能为数据的操作创造了机会。因此，当数据在互连网络周围移动时，对数据进行保护是很重要的。 ZT方法强调识别高价值数据并优先保护它。通过网络分段来保护数据，可以帮助避免“砖块”攻击（删除数据），并且反过来，可以保持数据完整性更高，并减少代价昂贵的补救诉讼的可能性。

3）改进对现有和演化的威胁的保护

传统上，威胁的演变速度与安全研究人员发布漏洞修补程序的速度一样快。随着时间的推移，前沿企业了解到，以“漏洞赏金”的形式支付漏洞研究，是一种非常有效的（盈利的）方法，在漏洞被利用之前识别脆弱的系统。事实上，这会使合法的安全研究人员对抗敌对的“黑客”：他们之间的竞争，继续演变为威胁景观。然而，尽管漏洞市场对组织是有利的，但国家敌对行为体也发展了。

国家资助的黑客训练有素，资源充足，坚持不懈。有足够的证据表明，许多国家有攻击性的网络能力，这是全职工作。使用新的战术、技术和程序，如人工智能和机器学习结合国家级开发代码（例如，永恒之蓝），正在呈指数增长。这可能会使易受攻击的组织的安全操作团队无法处理更多的事件。它还可以使攻击者横向移动，在一个受损的组织中，以前看不见的速度和准确性。任何新的安全能力必须适应新的现实，并有效地降低外部（互联网可发现）和内部（内部威胁）攻击面。

零信任以类似的、不折不挠的方式解决这两个问题：未经充分认证则拒绝对任何服务或数据的访问。在标准的当前网络设计中，网络代理通常通过产生一个记忆口令和令牌码或硬件认证器的两个因素的过程，而被授予访问权限。添加ZT组件，与行为信任评分、位置ID和微分段相关联，将增强是否允许代理进入网络的决定。一旦进入网络，它将 阻止漫游到未经授权的区域。 将ZT能力与传统工具（如下一代防火墙、数据防泄露、行为启发）结合起来，可以进一步加强网络。

4）减少违规行为的影响

实施ZT架构时，由于网络分段以及用户获得有限访问权限，将减少违规造成的影响。违规造成的更小影响，将减少业务中断并保持较低的补救成本。违规造成的更小影响，可以帮助维持组织的声誉和客户和干系人的信任。分段是限制受到漏洞影响的区域的关键技术。将访问权限限制为仅允许单个用户访问的网络区域，有助于减少违规的影响。

5）提高合规性和可见度

联邦机构网络不缺少现有或未决的 合规要求，包括：联邦信息安全管理法案、联邦风险和授权管理程序（FedRAMP）、可信互联网连接（TIC）。

“盗版和正版不都是一样用嘛！”相信我们曾经都听到过这句话。过去，很多企业无奈选择“未经授权”的软件版本，打击软件侵权的猫鼠游戏也因此延续了数十年，其主要原因就在于版权意识薄弱导致的成本博弈。实际上，尽管违规软件看起来购买价格较低，但在使用过程中遇到的培训、升级、泄密、崩溃等现实问题，加上诉讼风险和声誉损失，导致发生了极高的间接成本。软件供应商也曾表示对各家企业不授权使用的信息了如指掌，什么时候打击、打击哪一家，自己具有绝对控制权。据不完全统计，多家大型国有企业的平均盗版赔偿金额已超过数千万元，这样看来得不偿失。而今，我们已经可以通过供应链采购服务的一番“神操作”，采用“拼多多”的模式，花最少的钱，和大家一起团最“实惠”的正版的软件”。且听小编为您细细道来。

2022年，中国中化控股有限责任公司（以下简称“中国中化”）提出了“进一步强化软件正版化工作”的指示精神，中化商务有限公司（以下简称“中化商务”）针对化工工程设计类软件的应用需求，抓住契机，推出“正版（智）惠升（级）”行动，将供应链整合采购的优势，延伸到工程设计软件的采购与应用，实现“用户减负，智慧升级，安全布署，快速普及”，使工程软件“买得便宜，用得踏实”，突破了长期以来困扰化工产业数字化升级的工具瓶颈。

中化商务供应链团队“正版惠升行动”如何达成优质优价？核心是依托集团可观的应用规模，以“投币（token）”方式购买软件使用权，实现用什么选什么，用多少花多少。投币用软件，有点像游乐场的游戏币，主要好处是：（1）计时使用，不用不花钱。不同的软件，需要的币数不同。而且，不用了，还可以返还不会“吞币” ，返还的币，下次可以继续启用别的软件。对比以往不得不购买多个授权，不够用了再追加的方式，十分经济环保。（2）种类多样，灵活切换。“币”不针对特定的软件，持币者可以任意选择需要的软件种类，因此，对于很多对种类有需求但使用时间很短的用户，token方式实现了花很少钱用很多功能的目标。（3）团购更优惠。随着用户量的进一步增多，每个token的价格还有进一步下调，年终，是按当年最低价格结算，实现了“价格保护”，让用户始终拥有“最优价格”。

经过测算，一套最新升级的某国际主流三维设计软件，通过token模式可大幅降低使用/采购成本，通过这种创新模式，还可以同时使用多种国际主流的工程平台和系统，如一体化工程协同设计平台、数字化交付平台或者工艺模拟仿真平台、碳排放动态仿真模拟平台、材料编码及可视化施工管理平台、智能PID系统等等。真正实现了“正版软件智（能）（优）惠升级”。

兵马未动，粮草先行。智慧转型，软件筑基。正如“数字化工供应链大讲堂第一讲”提到的，数字化工程设计，是化工数字化供应链的门户和基础，是“数字孪生”提高效率和精确性的先决条件。只有尽快普及数字化工工程软件，才有可能早日实现数字化转型升级的目标，更为未来协同开发、先进控制，节能降耗、资源共享奠定坚实的基础。

现在，越来越多的企业和设计院已加入中化商务“正版惠升”行动，欢迎更多有实力的软件顶流供应商与我们合作，共同构建“数、智、商”三位一体的数字化工供应链解决方案。