1、NIST SP 800-207 (正式版)零信任架构 版权所有 2020 云安全联盟大中华区1NIST SP 800-207 (正式版)零信任架构 版权所有 2020 云安全联盟大中华区5计算机系统技术报告美国国家标准与技术研究院（NIST）的信息技术实验室（ITL）通过引领国家测量和标准基础，促进美国经济和公共福利。信息技术实验室通过开发测试、测试方法、参考数据、概念证明实施和技术分析，以推进信息技术的发展和生产使用。信息技术实验室的责任包括制定管理、行政、技术和物理标准和指南，以在联邦信息系统中为与国家安全相关的信息以外的其他信息提供具有成本效益的安全和隐私。特别出版物 800 号系列报告

2、，介绍了信息技术实验室在信息系统安全方面的研究、指南和外联工作，以及与工业界、政府和学术组织的合作活动。NIST SP 800-207 (正式版)零信任架构 版权所有 2020 云安全联盟大中华区6摘要零信任（Zero Trust，缩写 ZT）是一组不断演进的网络安全范式，它将网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任架构（ZTA）使用零信任原则来规划企业基础设施和工作流。零信任取消了传统基于用户的物理或网络位置（即，相对公网的局域网）而授予用户帐户或者设备权限的隐式信任。认证和授权（用户和设备）是与企业资源建立会话之前执行的独立步骤。 零信任顺应了企业网络发展的

3、趋势： 位于远程的用户和基于云的资产，这些资产都不位于企业拥有的网络边界内。零信任的重心在于保护资源，而不是网段， 因为网络位置不再被视为资源安全与否的主要依据。本文档包含零信任架构（ZTA）的抽象定义，并给出了零信任可以改进企业总体信息技术安全状况的通用部署模型和使用案例。关键词架构；网络空间安全；企业；网络安全；零信任NIST SP 800-207 (正式版)零信任架构 版权所有 2020 云安全联盟大中华区9序 言零信任代表着业界正在演进的网络安全最佳实践， 它的思路是把防御从依靠网络边界的马其顿防线向个体保护目标收缩。 把防护重心从网段转移到资源本身后， 当今企业面临的安全挑战得以缓解

4、，比如远程访问与云资源使用这些离开了企业网络边界的应用场景。美国国家标准与技术研究院NIST认识到向零信任架构的转型是漫长的旅程而不是简单的置换企业现有基础设施，预计大部分企业将以混合模式（即零信任模式与传统模式）运作很长时间。零信任模式并不是一个单一的网络架构或技术产品，它是一套理念、战略、架构，NIST 在本书提出的零信任架构属于参考架构，对零信任的解决方案如 ZT-IAM，SDP，MSG 的部署与整合起到指导作用。很高兴 CSA 大中华区的专家们参与了 NIST 这项标准工作的起草、评审、翻译，大中华区研究院贾良玉等参与了英文原著的设计与评审，大中华区 SDP工作组陈本峰等对本文做了深入

5、解读并翻译成为中文，这是 CSA 与 NIST 长期合作的又一项重要成果，感谢 NIST 本工作组进行原创的专家们和 CSA 大中华区进行翻译的专家们。李雨航 Yale LiCSA 大中华区主席兼研究院院长 版权所有 2020 云安全联盟大中华区10目录中文翻译版说明.2摘要.6序 言.91 介绍.151.1 与联邦机构有关的零信任历史.161.2 本文结构.172 零信任基本概念.192.1 零信任原则.212.2 零信任视角的网络.243 零信任体系架构的逻辑组件.263.1 零信任架构的常见方案.293.1.1 基于增强身份治理的 ZTA.303.1.2 基于微隔离的 ZTA.313.1

6、.3 基于网络基础设施和软件定义边界 SDP 的 ZTA.323.2 抽象架构的常见部署方案.323.2.1基于设备代理/网关的部署.333.2.2 基于飞地的部署.343.2.3 基于资源门户的部署.353.2.4 设备应用沙箱.373.3 信任算法.383.3.1 信任算法的常见实现方法.40NIST SP 800-207 (正式版)零信任架构 版权所有 2020 云安全联盟大中华区113.4 网络/环境组件.423.4.1 支持 ZTA 的网络需求.434 部署场景/用例.464.1 具有分支机构的企业.464.2 多云企业/云到云企业.474.3 具有外包服务和/或访客的企业.484.