NIST SP 800-207 (正式版) 零信任架构 m o c . 5 b u h t i g © 版权所有 2020 云安全联盟大中华区 1 NIST SP 800-207 (正式版) 零信任架构 中文翻译版说明 本文档由云安全联盟大中华区（CSA GCR）SDP 工作组专家对 NIST（美国国家 标准与技术研究院）的《零信任架构》白皮书进行翻译审校。 翻译审校工作专家： 组长：陈本峰（云深互联） m o c . 5 组员：陈智雨（国网信通公司）、邓辉（吉大正元）、靳明星（易安联）、王永 霞（腾讯云）、魏小强（360）、闫龙川（国网信通公司）、于继万（华为）、 余晓光（华为）、余强（中宇万通）、袁初成（缔安科技）、郑大义（万物安全）、 b u 崔泷跃、高巍、何国锋、刘洪森、王贵宗、姚凯、于乐、周杰 CSA 大中华区研究助理：高健凯 h t i g 正式版：陈本峰（云深互联）、高巍、高健凯 贡献单位：缔安科技、国网信通公司、华为、吉大正元、360、腾讯云、万物 安全、易安联、云深互联、中宇万通 特别感谢 奇安信、云深互联、字节云智为本次翻译提供草稿版翻译文档。 在此感谢以上参与翻译审校工作的专家们以及工作人员。如译文有不妥当之处， 敬请联系 CSA GCR 秘书处给予雅正！联系邮箱：info@c-csa.cn 。 © 版权所有 2020 云安全联盟大中华区 2 NIST SP 800-207 (正式版) 零信任架构 授 权 本文档由 NIST 根据美国 2014 年《联邦信息安全现代化法案》（FISMA） （美国《法典》第 44 卷，第 3551 节，第 113-283 条）规定的法定职责开发。 NIST 负责制定信息安全标准和指南，包括联邦信息系统的最低要求，但未经对 此类系统行使政策权力的相关联邦官员的明确审批，此类标准和指南不应用于国 家安全系统。该准则符合管理和预算办公室第 A-130 号通知的要求。 m o c . 5 本文档中的任何内容都不应被视为与商务部长根据法定授权而对联邦机构 强制和具有约束力的标准和准则相抵触。也不应将这些准则解释为改变或取代商 务部长、监事会主任或任何其他联邦官员的现有权力。本文档可由非政府组织自 愿使用，在美国不受版权限制。使用请注明出处，NIST 将对此表示感谢。 b u 国家标准与技术研究院特别出版物 800-207 h t i g 国家标准与技术研究院特别出版物 800-207， 总 59 页 (2020 年 8 月) 分类编号: NSPUE2 本文档可从以下地址免费获取： https://doi.org/10.6028/NIST.SP.800-207 本出版物中可能会涉及某些商业实体、设备或材料，以便充分描述实验程 序或概念。这并非暗示被NIST推荐或认可，也不意味着这些实体、材料或设 备一定是最佳选择。 本出版物可能会涉及NIST根据其法定职责正在编写的其他出版物。本出 版物中的信息，包括概念和方法，可能会在这些配套出版物完成之前就被联邦 机构使用。因此，在每份出版物完成之前，现行的要求、准则和程序（如果存 © 版权所有 2020 云安全联盟大中华区 3 NIST SP 800-207 (正式版) 零信任架构 在）仍然有效。出于规划和过渡的目的，联邦机构不妨密切关注NIST这些新 出版物的发展。 欢迎各组织在公众意见征集阶段审阅所有出版物草案，并向NIST提供反 馈 。 请 访 问 以 下 地 址 获 得 NIST 其 他 网 络 安 全 出 版 物 信 息 ： https://csrc.nist.gov/publications。 关于本出版物的意见可提交至： m o c . 5 国家标准与技术研究院 地址: 先进网络技术处信息技术实验室 盖瑟斯堡市 Bureau Drive 路 100 号（邮递站 8920）,马里兰州 20899-8920 b u 电子邮件: zerotrust-arch@nist.gov h t i g 所有反馈意见均根据《信息自由法》（FOIA）予以发布 © 版权所有 2020 云安全联盟大中华区 4 NIST SP 800-207 (正式版) 零信任架构 计算机系统技术报告 美国国家标准与技术研究院（NIST）的信息技术实验室（ITL）通过引领国 家测量和标准基础，促进美国经济和公共福利。信息技术实验室通过开发测试、 测试方法、参考数据、概念证明实施和技术分析，以推进信息技术的发展和生产 使用。信息技术实验室的责任包括制定管理、行政、技术和物理标准和指南，以 在联邦信息系统中为与国家安全相关的信息以外的其他信息提供具有成本效益 的安全和隐私。特别出版物 800 号系列报告，介绍了信息技术实验室在信息系 m o c . 5 统安全方面的研究、指南和外联工作，以及与工业界、政府和学术组织的合作活 动。 b u h t i g © 版权所有 2020 云安全联盟大中华区 5 NIST SP 800-207 (正式版) 零信任架构 摘要 零信任（Zero Trust，缩写 ZT）是一组不断演进的网络安全范式，它将网 络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任 架构（ZTA）使用零信任原则来规划企业基础设施和工作流。零信任取消了传统 基于用户的物理或网络位置（即，相对公网的局域网）而授予用户帐户或者设备 权限的隐式信任。认证和授权（用户和设备）是与企业资源建立会话之前执行的 m o c . 5 独立步骤。零信任顺应了企业网络发展的趋势：位于远程的用户和基于云的资产， 这些资产都不位于企业拥有的网络边界内。零信任的重心在于保护资源，而不是 网段，因为网络位置不再被视为资源安全与否的主要依据。本文档包含零信任架 b u 构（ZTA）的抽象定义，并给出了零信任可以改进企业总体信息技术安全状况的 h t i g 通用部署模型和使用案例。 关键词 架构；网络空间安全；企业；网络安全；零信任 © 版权所有 2020 云安全联盟大中华区 6 NIST SP 800-207 (正式版) 零信任架构 致谢 本文档是多个联邦机构合作的成果，由联邦首席信息官委员会监督。架构组 负责本文档的开发，同时一些专家的贡献有目共睹。其中包括联邦首席信息官委 员会 ZTA 项目的项目经理 Greg Holden、NIST/国家网络安全卓越中心 ZTA 项 目的项目经理 Alper Kerman,以及 Douglas Montgomery。 读者 m o c . 5 本文档旨在为企业安全架构师介绍零信任理念。它旨在帮助理解民用非保密系统 的零信任，并为移植和部署零信任安全概念到企业环境提供路线图。网络安全经 理、网络管理员和管理者也可以从本文档中了解零信任概念及其架构。由于企业 会具有需要保护的独特业务用例和数据资产，因此本文档并非 ZTA 的单一部署 b u 计划。对组织业务和数据的充分理解会有利于零信任的有效建立。 h t i g 商标信息 所有商标或注册商标属于其各自的组织。 © 版权所有 2020 云安全联盟大中华区 7 NIST SP 800-207 (正式版) 零信任架构 专利公开声明 声明：信息技术实验室（ITL）已要求其专利要求的持有人向 ITL 公开这些 专利要求，因为要遵守本文档的指导或要求，可能需要使用这些专利。然而，专 利持有人没有义务响应 ITL 的专利要求，ITL 也没有进行专利检索以确定哪些专 利（如有）可能适用于本文档。 在 ITL 呼吁确定其使用可能需要符合本文档指南或要求的专利权利要求后， 已收到一项或多项此类权利要求的通知。 m o c . 5 通过本文档，ITL 对任何专利权利要求或与之相关的任何权利的有效性或范 围不采取任何立场。然而，已知的专利持有人已经向 NIST 提供了一封保证信， 信中说明：(1)它(他们)没有持有且目前也不打算持有任何基本专利权利要求的一 b u 般免责声明；或(2)它(他们)将在明显的非歧视性基础上与其他方就合理的条款和 h t i g 条件进行免版税或含版税的许可进行谈判。 详情可从 zerotrust-arch@nist.gov 获取。 但这不代表或暗示使用本文档时避免专利侵权问题所需的唯一授权许可。 © 版权所有 2020 云安全联盟大中华区 8 NIST SP 800-207 (正式版) 零信任架构 序 言 零信任代表着业界正在演进的网络安全最佳实践，它的思路是把防御从依靠 网络边界的马其顿防线向个体保护目标收缩。把防护重心从网段转移到资源本身 后，当今企业面临的安全挑战得以缓解，比如远程访问与云资源使用这些离开了 企业网络边界的应用场景。 美国国家标准与技术研究院 NIST 认识到向零信任架构的转型是漫长的旅程 m o c . 5 而不是简单的置换企业现有基础设施，预计大部分企业将以混合模式（即零信任 模式与传统模式）运作很长时间。零信任模式并不是一个单一的网络架构或技术 产品，它是一套理念、战略、架构，NIST 在本书提出的零信任架构属于参考架 b u 构，对零信任的解决方案如 ZT-IAM，SDP，MSG 的部署与整合起到指导作用。 h t i g 很高兴 CSA 大中华区的专家们参与了 NIST 这项标准工作的起草、评审、 翻译，大中华区研究院贾良玉等参与了英文原著的设计与评审，大中华区 SDP 工作组陈本峰等对本文做了深入解读并翻译成为中文，这是 CSA 与 NIST 长期 合作的又一项重要成果，感谢 NIST 本工作组进行原创的专家们和 CSA 大中华 区进行翻译的专家们。 李雨航 Yale Li CSA 大中华区主席兼研究院院长 © 版权所有 2020 云安全联盟大中华区 9 目录 中文翻译版说明............................................................................................................2 摘要................................................................................................................................6 序 言...................................................................................