白话零信任
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

1.3.5 美国国防部零信任参考架构

2021年2月,美国国防信息系统局(DISA)发布了《美国国防部零信任参考架构》。零信任架构正在引领美国国防部的安全架构从“以网络为中心”转变到“以身份和数据为中心”。美国国防部表示,无论是涉密网还是非涉密网,都要使用零信任架构。

美国国防部的零信任理念与Forrester的ZTX非常相似,也强调安全的七大维度——数据、网络、用户、工作负载、设备、可见性与分析、自动化与编排。不同之处在于,美国国防部的架构更加侧重对网络、应用、数据的统一管控,如图1-7所示。

美国国防部的零信任访问控制做得非常深入,从网络到数据,每一层都要进行管控。用户登录要进行校验,用户访问某个IP地址要进行校验,用户访问某个业务系统要进行校验,用户访问某条数据要进行校验。特别是对数据的重视,在其他方案中是比较少见的。

美国国防部在数据安全方面已经做得非常细致了。从工资单到导弹防御系统,所有的数据都做了标签化处理,依据标签进行细粒度的访问控制。