在近年的網路安全觀念上,零信任是越來越受關注,不只是許多資安專家與資安廠商提倡,美國國家標準與技術研究院NIST也有所行動,在2020年8月,由NIST發布了SP 800-207 Zero Trust Architecture標準文件,這不僅成為國家級別都重視的網路安全新策略,廣受國際參考的NIST標準,也將會是全球企業組織實踐零信任的重要參考。
基本上,隨著BYOD、雲端服務與遠端工作等新興存取方式,不斷打破傳統強化邊界的方法,不只是資安界逐漸在推動零信任網路安全概念的趨勢,美國政府也倡議採用零信任原則和方法來保護美國政府。
因此,在聯邦政府CIO聯席會(CIO Council)授權下,美國NIST與NCCoE啟動了零信任架構(Zero Trust Architecture)計畫,目的就是為了希望幫助企業安全架構師,能夠了解與落實零信任網路安全架構。簡單來說,NIST推出零信任網路架構的標準,NCCoE則推出零信任網路架構的實踐指引。
這項計畫在2019年2月開始啟動,首個SP 800-207標準草案在2019年9月發布,到了2020年2月公布第二個草案,最終,NIST在2020年8月,正式發布NIST SP 800-207零信任架構標準。
簡單來說,關於零信任架構ZTA,在此標準文件已指出,這是基於零信任原則的企業網路安全架構,最重要的目的,就是為防止資料外洩與限制內部橫向移動,當中提供了外界更多關於零信任的基礎知識,並且具體描繪出設計ZTA與部署ZTA需遵循的基本原則。
精選白皮書
零信任網路(Zero Trust Networking,ZTN)與軟體定義式網路(Software Defined Networking,SDN)等相關技術,可能會徹底改變網路安全,以及資料的保護與共用。其中,透過企業基礎架構解決方案(Enterprise Infrastructure Solutions,EIS)的採購,可能得以讓美國聯邦機構取得上述技術。
針對想要導入零信任架構(Zero Trust Architecture)的IT管理人員而言,可能會面臨不知如何著手的情況,對此,美國國家標準暨技術研究院(NIST)發布規畫此類架構的入門指南,以快速綜覽的方式,介紹該單位推出的風險管理框架(NIST Risk Management Framework,NIST RMF),讓系統管理者能加以運用,來促進組織的零信任架構發展。
在2020年8月,NIST發布了SP 800-207 Zero Trust Architecture標準,成為國際上對於網路安全零信任架構(ZTA)的重要參考,當中說明ZTA是基於7大零信任原則與情境來設計,同時也描繪ZTA邏輯元件的架構。