1.4.2 美国NIST制定行业标准

2019 年9月，美国国家标准与技术研究院（NIST）发布了《零信任架构》标准草案（NIST.SP.800-207-draft-Zero Trust Architecture）。2020年2月，NIST发布了标准草案的第2版，并最终于8月发布了标准的正式版。这份标准介绍了零信任的基本概念、架构组件、部署方案等，是目前最权威的零信任架构标准。

NIST 标准对“零信任”下了定义。零信任（Zero Trust）是一系列概念和思想，用于减少网络威胁带来的不确定性，以便对业务系统和服务的每个请求都执行细粒度访问决策。零信任架构（Zero Trust Architecture）是一种基于零信任理念的企业网络安全规划，包括组件关系、工作流规划、访问策略等。

NIST的零信任概念框架模型展示了组件及其之间的基本关系。NIST的架构模型比此前介绍的架构模型更抽象，但它们本质上是相似的。例如，NIST的策略决策点相当于SDP管控端和 BeyondCorp 的访问控制引擎。NIST 的策略执行点在某些场景下相当于 SDP 网关和BeyondCorp的访问代理，在某些场景下相当于美国国防部参考架构中网络、应用、数据的授权校验点。

从图1-9 中可以看出，零信任架构并非单一的技术产品，它是一个完整的网络安全架构。企业很可能已经拥有其中部分元素了。

NIST零信任架构的基本组件包括策略决策点和策略执行点。

（1）策略决策点：可以细分为策略引擎和策略管理。

a）策略引擎：当用户发起访问请求时，策略引擎从周边各个系统获取用户的身份和安全状态，进行综合分析，然后计算是否允许该用户访问某个资源。

b）策略管理：负责管理用户的身份凭证和会话创建，根据策略引擎的计算结果，通知策略执行点创建会话或关闭会话。

（2）策略执行点：零信任假设访问的主体不可信，而且身处不可信环境，所以主体只有在通过策略执行点的严格校验后，才能访问企业资源。策略执行点负责接收用户的访问请求，按策略决策点的指令放行或拦截。

注意：NIST的策略执行点是一个抽象的概念，可以指代客户端和网关等组件。NIST的主体可以指用户，也可以指服务器，还可以指物联网设备。系统可以指用户的笔记本计算机，也可以指服务器系统，还可以指物联网设备的系统。

NIST零信任架构中左右两边的组件代表了企业现有的或来自第三方的网络安全系统。这些系统也包含在零信任架构之中，为零信任的策略决策点提供信息输入和管理支撑功能。

（1）持续诊断和缓解（CDM）系统：收集企业资产的安全状态，更新系统配置和软件。如果存在漏洞，策略决策点就可以采取修复或隔离措施。

（2）行业合规系统：确保企业遵守了各种合规制度，包括一系列相关的策略规则。

（3）威胁情报源：为企业提供最新的漏洞、恶意软件、恶意IP地址等信息。策略决策点可以有针对性地进行分析和屏蔽。

（4）数据访问策略：定义了谁可以访问哪些数据，零信任架构可以在此基础上基于身份和数据属性进行更细粒度的策略管控。

（5）公钥基础设施（PKI）：生成并记录企业向主体、资源签发的证书。

（6）身份管理系统：负责管理企业用户的身份信息，包括姓名、邮箱等基本信息，岗位、部门等组织架构信息，角色、安全标签、绑定设备等其他相关信息。例如，AD或IAM、4A系统等。

（7）行为日志：汇聚企业系统日志、网络流量、授权日志等。策略决策点可以根据行为日志进行分析建模。

（8）安全信息与事件管理（SIEM）系统：汇聚各个系统发出的安全事件及告警日志，便于零信任架构进行策略响应。