美国国家安全局 (NSA) 发布了关于实施 零信任的新指南 ，零信任是保护企业网络和数据的领先模型。该文件将帮助商业和政府组织尽可能保护其系统免受网络威胁。

零信任架构与传统方法有根本不同，传统方法中本地网络内的所有内容都被认为本质上是安全的。相反，零信任架构涉及对所有网络资源的严格访问控制，无论其位置如何 – 边界内部或外部。也就是说，系统最初认为存在威胁，并且不允许在整个基础设施中自由移动。

成熟的零信任 模型的实施正在分阶段进行。始终如一地解决可能成为网络攻击跳板的组件非常重要。美国国家安全局的建议侧重于加强“网络和环境”组件，涵盖组织的整个硬件和软件基础设施以及它们交互的协议。

零信任通过仔细的数据流映射、宏观和微观分段以及软件定义的网络解决方案提供多层保护。对于每个领域，该指南描述了四个成熟度级别——从最初的准备到广泛实施网络控制、监控和管理工具的高级阶段。

在第一阶段，公司需要完全可视化现有数据流——它们在何处以及如何存储、移动和处理。高水平的成熟度意味着全面的库存以及跟踪任何新的或不寻常的路线的能力。

宏分段允许您通过为每个部门创建单独的分段来限制网络中的横向移动。例如，除非需要履行其直接职责，否则会计人员不应有权使用人力资源资源。这减少了恶意软件传播的空间。

下一步是微分段——将网络划分为小部分，并在它们之间设置严格的访问规则。

正如美国国家安全局专家所解释的那样，微分段涉及将用户、应用程序或工作流程隔离到单独的网络段中，以进一步减少攻击面并遏制违规造成的损害。

软件定义网络 (SDN) 解决方案提供了微分段级别的最大控制。它们允许您集中管理流量路由，提供更高的网络活动可见性以及为每个网段灵活配置规则的能力。

根据零信任原则设计的架构能够抵御、检测和充分响应攻击者利用漏洞并在整个网络中传播的企图。

这些 NSA 指南延续了一系列零信任指南。该机构此前发布的文件描述了这一概念的一般原则及其与用户组件相关的实现。

文章原文链接:https://www.anquanke.com/post/id/293673