1.3.5 美国国防部零信任参考架构

2021年2月，美国国防信息系统局（DISA）发布了《美国国防部零信任参考架构》。零信任架构正在引领美国国防部的安全架构从“以网络为中心”转变到“以身份和数据为中心”。美国国防部表示，无论是涉密网还是非涉密网，都要使用零信任架构。

美国国防部的零信任理念与Forrester的ZTX非常相似，也强调安全的七大维度——数据、网络、用户、工作负载、设备、可见性与分析、自动化与编排。不同之处在于，美国国防部的架构更加侧重对网络、应用、数据的统一管控，如图1-7所示。

美国国防部的零信任访问控制做得非常深入，从网络到数据，每一层都要进行管控。用户登录要进行校验，用户访问某个IP地址要进行校验，用户访问某个业务系统要进行校验，用户访问某条数据要进行校验。特别是对数据的重视，在其他方案中是比较少见的。

美国国防部在数据安全方面已经做得非常细致了。从工资单到导弹防御系统，所有的数据都做了标签化处理，依据标签进行细粒度的访问控制。