本文的内容来源于NIST SP 800-207《零信任架构》(草案)、NIST NCCoE发布《实现零信任架构》(草案)，着重为大家介绍零信任安全应用场景。零信任架构（草案）可以去关注云深互联公众号免费领取中文版。

零信任是一个安全概念，其核心思想是组织不应自动信任其边界之内或之外的任何事物，而必须在授予访问权限之前验证试图连接到其系统的所有事物。也就意味着每个试图访问专用网络上的资源的人和设备(无论它们位于网络外围之内还是之外)都必须进行严格的身份验证。没有单一的特定技术与零信任相关。这是一种结合了几种不同原理和技术的整体网络安全方法。

之前，我们已经发布的《零信任安全架构标准》，主要为大家精讲了零信任架构和零信任体系架构的逻辑组件。为配合NIST SP 800-207《零信任架构》(草案)的推进工作，本月(2020年3月)NIST下属单位NCCoE发布了《实现零信任架构》(草案)项目说明书并征求公开评论。该项目说明书瞄准的是零信任架构的落地实践，希望实现安全性与用户体验的兼得。本文着重为大家介绍零信任安全应用场景：

1.分支机构访问总部业务系统

最常见的情况是，企业只有一个总部和一个或多个地理上分散的位置，这些位置没有企业拥有的物理网络连接(见图1)。

远程位置的员工可能没有完全由企业拥有的本地网络，但仍需要访问企业资源才能执行其任务。同样，员工也可以使用企业拥有或个人拥有的设备，进行远程工作或在远程位置工作。在这种情况下，企业可能希望授予对某些资源(如员工日历、电子邮件)的访问权限，但拒绝访问更敏感的资源(如人力资源数据库)。

在这个用例中，PE/PA最好作为一个云服务托管，终端系统有一个连接代理或访问一个资源门户。由于远程办公室和工作人员必须将所有流量发送回企业网络才能访问云服务，因此将PE/PA托管在企业本地网络上可能不是响应最迅速的。

图1：有远程办公员工的企业

1. 企业多云战略

部署ZTA策略的一个越来越常见的用例是使用多个云提供商的企业(见图2)。在这个用例中，企业有一个本地网络，但使用两个(或更多)云服务提供商来承载应用程序和数据。有时，应用程序，而非数据源，托管在一个独立的云服务上。为了提高性能和便于管理， 托管在云提供商A中的应用程序，应该能够直接连接到托管在云提供商B中的数据源，而不是强制应用程序通过隧道返回企业网络。

这个多云用例是ZTA采用的主要驱动因素之一。它是CSA的SDP规范的服务器到服务器实现。随着企业转向更多的云托管应用程序和服务，依赖企业边界进行安全保护显然成为一种负担。ZTA认为，企业拥有和运营的网络基础设施与任何其他服务提供商拥有的基础设施之间应该没有区别。多云使用的零信任方法，是在每个应用程序和数据源的访问点放置PEP。PE和PA可以是位于云或甚至第三个云提供商上的服务。然后，客户端(通过门户或本地安装的代理)直接访问PEPs。这样， 即使托管在企业外部，企业仍然可以管理对资源的访问。

图2：多云用例

3 .临时工、外包员工访问业务系统

另一个常见的场景是，一个企业包含需要有限访问企业资源才能完成工作的现场访问者和/或外包服务提供商(见图3)。例如，企业有自己的内部应用程序、数据库和员工工作系统。这些包括外包给偶尔在现场提供维护任务的供应商的服务(例如，由外部供应商拥有和管理的智能暖通空调(HVAC)系统和照明系统)。这些访客和服务提供商将需要网络连接来执行他们的任务。ZTA网络可以通过允许这些设备(以及任何来访的服务技术人员)访问Internet来实现这一点，同时还可以屏蔽企业资源。

在本例中，该组织还有一个会议中心，访客可以在其中与员工进行交互。同样，通过ZTA的SDP策略，员工设备和用户是有区别的，可以分别访问恰当的企业资源。进入校园的访客可以访问Internet，但不能访问企业资源。它们甚至不能进行网络扫描，以查找可能可见的企业服务(即阻止主动网络侦察)。

图3：具有非员工访问的企业

1. 跨企业协同

第四个用例是跨企业协作。例如，有一个项目涉及企业A和企业B的员工(见图4)。这两个企业可以是独立的联邦机构(G2G)，甚至是联邦机构和私营企业(G2B)。企业A运行用于项目的数据库，但必须允许企业B的某些成员访问数据。企业A可以为企业B的员工设置专用账户，以访问所需的数据并拒绝访问所有其他资源。

图4：跨企业协作

1. 提供面向公众或面向客户的服务的企业

许多企业的共同特征是面向公众的服务，其中可能包含或不包含用户注册(即用户必须创建或已获得一组登录凭据)。这样服务可能是针对普通大众，具有现有业务关系的一组客户，或一组特殊的非企业用户，例如员工家属。在所有情况下，要求资产不是企业所有，企业在内部网络安全政策可以得到执行。对于不需要登录凭据即可访问的通用公共资源(例如，公共网页)，则ZTA的原则并不直接适用。企业不能严格控制请求资产的状态，公共资源不需要凭据即可访问。企业可以为注册的公众用户，(例如客户，即拥有业务关系)和特殊用户(例如雇员的家属)。如果要求用户产生或获得证书，企业可以制定有关密码长度的政策，生命周期以及其他详细信息，并且可以提供MFA作为选项或要求。然而，企业在可以针对此类用户实施的策略方面受到限制。相关信息传入请求可能有助于确定公共服务的状态并检测冒充合法用户的可能攻击。例如，一个已知的注册用户门户由注册客户使用一组常见的Web浏览器之一访问。突然来自未知浏览器类型或已知过时版本的访问请求可能会增加表示某种形式的自动攻击，企业可以采取措施限制请求来自这些确定的客户。企业还应了解任何法规或规定关于可以收集和记录有关请求用户和资产的信息。

6.员工访问互联网资源

员工正在尝试访问公共Internet以完成某些任务。此场景将演示一种特定的用户体验，其中员工尝试使用企业管理的设备在Internet上访问基于web的服务。虽然基于Web的服务不是由企业拥有和管理的，但是该项目中实现的ZTA解决方案仍然会动态和实时地提供对该资源的相关访问请求。该解决方案将允许员工在任何位置访问，也就是说，员工可以使用企业管理设备在企业内部网、分支办公室或公共互联网内连接时访问互联网。

图5：访问互联网

7.企业内的服务器间通信

企业服务通常有不同的服务器相互通信。例如，web服务器与应用服务器通信。应用服务器与数据库通信以将数据检索回web服务器。此场景将演示企业内服务器间交互的示例，其中包括场内、云中或在本地和云中服务器之间的服务器。本项目中实施的ZTA解决方案，将动态和实时地提供相互交互的指定服务器之间的关联网络通信。

图6.企业内的服务器间通信

8.建立企业资源的信任级别

企业有监控系统、安全信息和事件管理(SIEM)系统以及其他资源，这些资源可以向策略引擎提供数据，从而为访问企业资源创建更细粒度的信任级别，并促进基于信任级别的严格访问。在这种情况下，ZTA解决方案将这些监控和SIEM系统与策略引擎集成，以生成更精确的置信水平计算。

写在最后：

云深互联表示，信息安全的零信任模型从根本上遏制了城堡和护城河的旧思想，是更适合云时代的企业安全模型。本文也更好的为大家揭示了零信任安全的应用场景，帮助大家更好的了解零信任的应用。

NIST建议的零信任安全8大应用场景相关推荐

1. 零信任架构在企业中的应用

   ⼀.前⾔: "零信任⽹络"(亦称零信任架构)⾃2010年被当时还是研究机构Forrester的⾸席分析师JohnKindervag提出时起,便⼀直处于安全圈的"风⼝浪尖& ...

2. 认识零信任安全网络架构

   目录 一.前言: 二.什么是零信任网络? 三.为什么选择零信任网络? 四.零信任网络与传统安全模型 五.零信任网络的设计原则 六.零信任架构的逻辑组成 七.零信任架构的部署形式 八.总结 一.前言: ...

3. 构建安全新模式，零信任如何破局 ？

   日前,美国总统拜登签署"改善国家网络安全行政命令",强调了联邦政府必须果断实施零信任架构等措施以加速网络安全现代化. 伴随企业业务上云.数字化转型落地等技术变革,传统网络边界被打破 ...

4. CISA零信任成熟度模型（译文）

   摘要:2023年4月,CISA发布了ZTMM(Zero Trust Maturity Model)2.0版本,按照联邦行政命令<改善国家网络安全>(EO 14028)和美国白宫办公厅(OM ...

5. 美军网络安全 | 2020年底国防部将提供零信任架构

   文章目录 前言 一.国防部零信任架构推进计划 二.零信任引领国防部安全架构的转型 三.理解国防部网络安全架构的演进过程 一.国防部零信任架构推进计划 1.女性中将公布国防部零信任架构年底发布计划 20 ...

6. 【零信任落地案例】指掌易某集团灵犀・SDP零信任解决方案

   1方案背景 随着移动信息化的高速发展,以智能手机,智能平板为代表的移动智能设备 逐步深入到企业办公领域.基于当前移动办公的趋势,某集团也逐步将业务从 PC端向移动端进行迁移.一方面,移动技术的发展让移 ...

7. 零信任关键技术之风险评估

   一.NIST零信任架构中的风险评估 2020年8月12日,美国国家标准与技术研究院(简称NIST)发布<零信任架构>正式版,其中对零信任安全原则.架构模型.应用场景做了详细的描述,企业客户 ...

8. 科技云报道：被封神的零信任，如何走下神坛？

   科技云报道原创.​ 如今安全业内言必谈零信任. 根据知名咨询机构Gartner发布的2021年企业网络技术成熟度曲线,零信任已走过了低谷期,进入了稳步爬升的光明期.Gartner曾预测,到2023年, ...

9. 通信行业力推零信任标准，蔷薇灵动微隔离首批获证

   7月27日至28日,以"数字裂变,可信发展"为主题的2021可信云大会在京拉开帷幕.大会邀请云计算行业专家学者.知名企业代表.行业大咖同台论道,围绕行业发展趋势.落地应用.新兴技术 ...

最新文章

1. Ubuntu系统安装搜狗输入法详细教程
2. 解决Office 2010出现the setup controller has encountered a problem...
3. python语言自学-自学Python要学多久可以学会?老男孩Python培训
4. Java的知识点25——IO、 数据源
5. Maven编译时提示:不兼容的类型
6. 如何以 mock server 的方式本地启动 SAP UI5 应用，使它不连接服务器端 OData 服务
7. java范型_Java知识点总结（Java泛型）
8. 使用正确的垃圾收集器将Java内存使用量降至最低
9. 将你的Vim 打造成轻巧强大的IDE
10. 作者：李冰（1989-），女，中国电子技术标准化研究院工程师。
11. ucosII移植要修改的文件
12. 设置log缓存_Redis中缓存击穿 缓存穿透 缓存雪崩解决方案
13. 制作HTML邮件邮箱注意问题和解决方案--兼容手机邮箱、电脑邮箱和邮件客户端
14. 《JAVA： 学习导图》
15. appium的安装+连接夜神模拟器控制app
16. Cannot overwrite File XXX/xxx/xx/x/x/x.xxx：Permission denied
17. python复习。知识点小记
18. IT 技术学习资料分享
19. Svn中可能出现的问题解决办法
20. 图欧学习资源库 https://tuostudy.com/

热门文章

1. 视频多少帧时才不卡顿
2. MySQL 字符类型大小
3. 32个Python爬虫项目实战
4. 微信公众号签到，签到后在活动大屏中实时展示签到人信息，也可以导出签到人信息用于抽奖
5. 软件测试实战教程系列—接口测试用例和报告模板｜收藏版
6. 解码 解密微信电脑版image文件夹下缓存的用户图片 dat文件解码解密查看方法
7. 普华永道java面试_新鲜的普华永道面试题来了，四大求职必看
8. 金叉死叉图解，金叉死叉的短线操作方法
9. 为Gridea主题添加思源宋体字体支持
10. 基于javaweb+jsp的个人日记管理系统(JavaWeb JSP MySQL Servlet SSM SpringBoot Bootstrap Ajax)