前言
近期在学习零信任知识,因此收集了部分零信任相关的资料,不敢独享,分享给大家。所有的资料均来自网络,在此感谢各位前辈的辛苦工作,特别是很多无私的资料翻译者。
我能找到下载地址的,我在后面放了下载地址,没有下载地址的是当初下载的时候没有记录(以后一定要及时做笔记),下载方式在最后。
以下所有的介绍部分来自ChatGPT生成,感觉水平还可以。
一、什么是零信任技术
零信任技术是一种网络安全防御模式,强调企业应该在内部和外部的网络环境中,对所有用户、设备和应用程序都持怀疑态度,不给予任何一方信任,从而在网络威胁增多的环境下提高安全性。零信任模式要求用户在访问企业资源时进行二次认证,只有在验证通过后才能使用企业资源。与传统的安全策略不同,零信任技术将重点放在网络上的流量监控和访问限制等措施上,从而达到更好的安全保护效果。
二、NIST零信任框架
零信任框架是由美国国家标准与技术研究院(NIST)发布的一套网络安全指南,旨在引导企业构建可靠的数据保护体系。它基于零信任原则,即所有工作人员、设备和应用程序都无法信任,需要在访问授权前进行验证。框架着重于如何通过有效的身份认证、流量监视、访问限制等措施来提升安全防御水平,也包含了组织级策略的建立和运行维护等方面的要求。
国家网络安全卓越中心的《实施零信任架构》系列标准草案NIST SP 1800-35。旨在帮助企业实施零信任安全架构来提升网络安全防御能力。该指南提供了基于零信任原则的网络安全架构实施方法和最佳实践,以保护企业敏感数据和资产。
通过NIST SP 1800-35,企业可以了解如何在自己的网络环境中实施零信任安全架构,并通过多种措施来加强对敏感数据和资产的防御保护能力。
三、国防部零信任参考架构
《国防部零信任参考架构》1.0版本和2.0版本
美国国防信息系统局(DISA)发布的零信任框架,也称为DISA零信任参考架构。该框架提供了一套指南和建议,以实现零信任安全模型来保护联邦部门和企业的关键信息资产。通过该框架,企业可以了解如何逐步实现零信任安全模型,从而最大程度地保护其关键信息资产。
四、联邦零信任战略
“联邦零信任战略主要介绍了该战略的背景、目标和实施计划。其中,该战略主要包括以下几个方面:
背景:介绍联邦零信任战略的制定背景和现实必要性。
目标:明确联邦零信任战略的目标是保障联邦信息系统和数据的安全防御能力。
策略:详细阐述联邦零信任战略的实施策略和措施,包括强化身份验证、使用加密技术和应用程序测试、支持智能自动化等。
计划:列出联邦零信任战略的实施计划和时间表,并介绍建立联邦零信任架构的基本原则和规范。
五、零信任成熟度模型
零信任成熟度模型是由美国联邦政府网络安全与基础设施安全局(CISA)提出的,旨在帮助组织评估并提高其零信任战略的成熟度。该模型可以从五个不同的方面来评估组织的零信任成熟度。
六、国防部零信任战略
为国防部发布的零信任战略和路线图,主要介绍了该战略的背景、目标和实施计划。其中,战略主要包括以下几个方面:
背景:介绍零信任战略的制定背景和现实必要性,以及国防部参考了现有的零信任框架和指南进行制定。
目标:明确零信任战略的目标是加强国防部网络的安全防御能力,并实现数字时代的机动性。
执行:详细阐述零信任战略的实施策略和措施,包括强化身份验证、实施访问控制、使用加密技术、采用自动化技术等。
路线图:列出了零信任战略的实施计划和时间表,分为三个阶段:构建基础、扩展网络并加强保护、优化性能并提高可操作性。
七、其他的资料
(1)奇安信零信任安全专辑,国内比较早研究零信任的资料合集,包含了谷歌beyondCrop的资料,NIST《零信任架构》、NCCOE的《实现零信任架构》的草案的翻译,草案1和2的对比分析等。
(2)国内标准和白皮书。《信息安全技术 零信任参考体系架构》征求意见稿,零信任安全产品研究报告,零信任发展洞察报告2022,零信任实战白皮书,信通院2020年零信任研究报告零信任技术等技术报告
(3)公开发表的学术论文,主要是资料解读和研究综述类。这里就不一一介绍了。
具体见图。
这些资料收集的时间比较长,没有找到下载地址,抱歉。
总结
所有的资料已经打包,请到原文地址获取。
原文地址:https://mp.weixin.qq.com/s/8O4V382K5BmEePycw406sA