T∕CIITA 117-2021 信息安全技术 零信任参考架构.pdf

1、 ICS 35.020 CCS L60 团体标准团体标准 T/CIITA 1172021 信息安全技术 零信任参考架构 Information security technology-Zero trust reference architecture 2021-12-20 发布 中 国 信 息 产 业 商 会中 国 信 息 产 业 商 会 发 布发 布 2022-02-01 实施 T/CIITA 117-2021 I 目 次 前 言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.1 5 概述.2 6 整体框架.2 7 组件间关系.5 8 工作流程.6 参考文献.

2、8 T/CIITA 117-2021 III 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息产业商会团体标准专业委员会提出并归口。本文件起草单位：奇安信科技集团股份有限公司、中电（海南）联合创新研究院有限公司、中国信息安全研究院有限公司、中国电子信息产业集团有限公司。本文件主要起草人：张泽洲、韩永刚、安锦程、张彬、焦峰、邬怡、张妍、冯词童、孔坚、谢慧昭、魏勇、李伟、陈蛟、张丽婷、罗清林、王江。T/CIITA 117-2021 1 信息安全技术 零

3、信任参考架构 1 范围 本文件给出了零信任参考体系架构，包括构建零信任体系架构的整体框架、组件间关系和工作流程。本文件适用于信息系统零信任体系架构的设计和开发。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18794.3-2003 信息技术 开放系统互连 开放系统安全框架 第3部分:访问控制框架 T/CIITA 100-2021 PKS体系 术语 3 术语和定义 T/CIITA 100-2021界定的以及下列术语和定义适用于本文

4、件。3.1 零信任 zero trust 一种以资源保护为核心的网络安全理念。该理念认为：主体访问资源时，主体和资源之间的信任关系都需要从零开始，通过持续环境感知与动态信任评估进行构建，从而实施访问控制。3.2 资源 resource 系统中可供访问的客体，包括应用、系统、接口、服务、数据等。3.3 控制平面 control plane 控制和管理在主体到资源之间建立、维持或阻断数据访问信道的逻辑平面。3.4 数据平面 data plane 在控制平面的控制下，实施访问者和资源之间数据传输的逻辑平面。4 缩略语 下列缩略语适用于本文件：PKI 公钥基础设施（public key infrast

5、ructure）T/CIITA 117-2021 2 URL 统一资源定位符（uniform resource locator）5 零信任访问模型 零信任是一种以资源保护为核心的网络安全理念，依据零信任理念建立的零信任访问模型见图 1。在主体访问资源的过程中，零信任访问模型的核心部分通过持续环境感知、动态信任评估、最小权限访问的循环过程，进行零信任策略决定与执行，实现对资源的访问保护；同时，主体和资源之间的传输需要加密。图 1 零信任访问模型 零信任访问模型具有以下基本原则：a）持续对主体环境、资源环境、网络环境等进行数据采集，感知安全威胁、脆弱性等安全态势；b）在主体访问资源之前，根据主体属

6、性、资源属性、环境属性等进行信任评估，在访问过程中，根据属性变化进行动态信任评估，维持或改变策略；c）根据业务需求和风险容忍度动态调整策略，对每次允许的访问请求主体授予最小权限，并保证及时执行调整后的最小权限；d）访问资源的主体可能位于内部网络，也可能来自外部网络，所有的通信都需要采用安全加密传输。6 整体框架 6.1 零信任体系架构 参考GB/T 18794.3-2003 基本访问控制相关内容，将主体作为发起者、资源作为目标，由主体、资源、核心组件和支撑组件组成零信任体系架构，如图2所示。核心组件由策略决定点和策略执行点组成，执行主体对资源的策略决定。支撑组件由密码服务和应用、身份管理、设备

7、管理、资源管理、态势感知等组件组成，为核心组件提供多来源信息，并支撑核心组件运行的多种服务。T/CIITA 117-2021 3 图 2 零信任体系架构整体框架图 假设数据在不安全的网络环境中传输，所有实现主体到资源之间数据传输的组件共同组成数据平面，包括主体到资源之间的信道、网络设备、密码系统/设备等，在控制平面的管理和控制下，采用密码技术建立、维持或阻断主体到资源的数据访问信道。6.2 主体 主体是发起资源访问请求的人员、设备、软件应用、系统等对象，可以是单一的人员、设备、软件应用、系统等，也可以是人员、设备、软件应用、系统等的组合。在进行主体安全属性评估和身份鉴别时，组合主体共同作为主体

8、对象。主体使用数字身份作为标识，标识将关联主体的属性信息。主体的安全属性包括：主体自然属性、主体身份权威属性、主体身份鉴别属性、主体访问行为属性、主体环境属性、主体安全态势、主体威胁情报等。6.3 资源 基于资源属性，将遵从共同策略的资源最小集合划分为同一资源单元，并予以标识。资源的属性包括资源分级分类属性、资源配置、资源环境属性、资源安全态势、资源威胁情报等。采用隔离、标识等技术手段进行资源单元划分，典型技术手段包括：统一资源标识、数据标识、软件定义边界、微隔离等。资源单元可定义多个不同的访问权限；例如，数据字段具有读取、写入、执行和删除等权限。6.4 核心组件 6.4.1 策略决定和策略执

9、行过程 核心组件的信息传递过程分为信息控制传递和基于会话的安全通信。在主体发起对资源的访问请求，核心组件的策略决定和策略执行过程如下：a）策略执行点将访问请求传递到策略决定点，在支撑组件辅助下，策略决定点创建、更新、调整策略决定，并将策略决定实时传递到策略执行点。访问请求、策略创建、策略更新、策略调整、策略执行等管理控制信息，在控制平面进行传递；b）策略执行点在策略决定点的管理下，建立、维持或阻断主体到资源的数据访问信道，在数据平面基于会话进行加密传输。T/CIITA 117-2021 4 6.4.2 策略决定点 6.4.2.1 概述 策略决定点接收支撑组件提供的多来源信息，提取主体属性、资源

10、属性以及主体和资源的环境属性信息，持续进行威胁感知。在接收到策略执行点转发的访问请求后，在多来源信息支持下，持续进行信任评估、策略决策以及策略动态调整，并控制执行策略决定。该组件由策略引擎和策略管理组成，使用控制平面进行通信。策略决定点与其他组件关系包括：a）策略决定点接收支撑组件提供的多来源信息，识别、提取、归纳主体属性信息、资源属性信息、环境属性信息、策略基准等；b）策略决定点接收策略执行点转发的主体访问请求，控制策略执行点执行策略决定；c）策略决定点在支撑组件服务支撑下，对主体持续进行身份鉴别和身份鉴别动态调整，精细管理资源。6.4.2.2 策略引擎 策略引擎在支撑组件提供的多来源信息支

11、持下，持续进行环境感知，在收到访问请求后，进行信任评估、策略决定，确定拒绝或授予对被访问资源的访问权限。在授权主体对被访问资源访问期间，策略引擎持续进行环境感知、信任评估以及策略决定，决定继续授予或撤销对被访问资源的访问权限。信任算法支持策略决定，最终决定是否授予或拒绝特定主体对资源的访问权限。策略引擎基于策略基准，依照信任算法，进行策略创建、存储、监控、审核、更新等。策略引擎还负责对策略进行评估审核和一致性检查，依据策略规则，处理冲突策略和错误策略。信任算法涉及要素包括主体安全属性、资源安全属性、访问过程计算环境、威胁情报信息等，以安全评分、行为分析或信任/风险评估的形式，持续优化。信任算法

12、优化过程取决于策略实施效果。6.4.2.3 策略管理 策略管理组件实时接收策略引擎发送的策略决定和动态调整策略，采用动态会话管理，控制策略执行点执行策略决定，包括建立或阻断主体和资源之间的数据访问信道。6.4.3 策略执行点 策略执行点在策略决定点管理下，实施动态身份鉴别，启动、监控和终止主体与资源之间的数据访问信道。不同的业务场景，策略执行点的形态和部署方式不同。策略执行点作为一个逻辑组件，有多种实现方式，也可以分成两个组件：客户端组件（例如：客户端访问代理）和资源端组件（例如：资源侧访问控制网关），也可以是单个门户组件。策略执行点与其他组件关系为：a）策略执行点接收来自主体的访问请求、并转

13、发到策略决定点；b）策略执行点配合策略决定点，在辅助组件支撑下对主体实施动态身份鉴别；c）策略执行点配合策略决定点，在辅助组件支撑下管理被访问资源；d）策略执行点接收策略决定点输出策略和动态调整策略，按照策略决定，建立、维持或阻断主体和被授权资源的数据访问信道。6.5 支撑组件 6.5.1 概述 T/CIITA 117-2021 5 支撑组件为主体、资源和核心组件提供多来源信息，支撑主体、资源和核心组件运行的多种服务。支撑组件有多种组成和实现形式，密码服务和应用子组件、身份管理子组件、态势感知子组件提供零信任体系架构不可缺少服务。支撑组件子组件之间互相提供信息和服务，因不在本文件范畴内不予以描

14、述。6.5.2 密码服务和应用 密码服务和应用子组件为主体、资源、核心组件提供以下技术功能：a）身份权威属性信息；b）密码服务和应用子组件为主体、资源、核心组件提供密码相关服务，包括身份鉴别服务、标识管理服务、及其他密码相关服务，例如：感知信息传输安全保护，策略配置完整性保护，重要数据存储安全保护、应用软件来源真实性和完整性保护等。6.5.3 身份管理 身份管理子组件为主体、资源、核心组件提供以下技术功能：a）数字身份信息。包括主体自然属性信息、主体身份鉴别属性信息、主体访问行为属性信息等；b）数字身份信息服务等。6.5.4 设备管理 设备管理子组件为主体、资源、核心组件提供以下技术功能：a）

15、设备的硬件配置信息、操作系统环境信息、设备运行状态信息等；b）设备监控服务、设备唯一性身份验证服务、设备绑定关系服务等。6.5.5 资源管理 资源管理子组件为主体、资源、核心组件提供以下技术功能：a）资源分级分类属性信息、资源配置信息、资源环境属性信息等；b）数据管理服务、应用系统管理服务，包括数据目录、数据标识、应用系统唯一性身份验证等；应用系统管理服务包括应用分级管理，例如：对不同等级的应用进行分级隔离、对符合同一安全策略的应用或数据进行分域隔离等，辅助实施计算环境下应用之间的通信，例如：云计算环境下容器间通信等。6.5.6 态势感知 态势感知子组件为主体、资源、核心组件提供以下技术功能：

16、a）环境属性信息、安全态势信息、威胁情报信息等；b）以及计算环境监控、网络环境监控、风险和威胁感知服务、威胁情报预警等服务。7 组件间关系 7.1 主体与核心组件、支撑组件关系 核心组件对主体进行持续环境感知和持续安全属性评估，实时执行策略决定，进行身份鉴别、建立/维持/阻断主体到被访问资源的授权访问。支撑组件为主体提供数字身份管理、身份鉴别、设备管理、风险和威胁感知服务等。7.2 资源与核心组件、支撑组件关系 T/CIITA 117-2021 6 核心组件对资源进行持续威胁感知和持续安全属性评估，控制资源实时响应策略决定，建立/维持/阻断主体到被访问资源的授权访问。支撑组件为资源提供资源信息

17、管理、网络连接服务、风险和威胁感知服务等。7.3 支撑组件与核心组件关系 支撑组件为核心组件提供以下技术功能：a）提供支持开展持续威胁感知、持续信任评估、动态细粒度调整的多来源信息；b）实施安全监控和运行环境感知，为核心组件实时提供采集的主体、资源、和核心组件运行信息，例如：系统日志等；c）提供包括密码服务、身份鉴别服务、资源管理服务、设备服务等多种服务支撑。8 工作流程 8.1 主体访问资源 主体访问资源典型工作流程如图3所示：图 3 主体访问资源典型工作流程图 分步骤如下：a）主体发起访问请求；b）策略执行点接收访问请求，转发访问请求相关信息至策略决定点；c）策略决定点根据多来源信息（包括

18、身份信息、信息安全风险和威胁分析信息等），采用信任评估等方法进行策略决定，向策略执行点发送允许或拒绝指令，并进行会话管理；d）策略执行点按照策略决定结果，在收到允许指令时建立主体到资源的安全通信，在收到拒绝指令时，终止访问；e）持续监控访问过程，持续信任评估，根据终端环境感知、用户行为分析、威胁情报等信息进行动态细粒度调整，在策略决定点控制下，维持或终止访问。8.2 动态调整访问策略 以身份鉴别策略调整为例，典型工作流程如图4所示。T/CIITA 117-2021 7 图 4 身份鉴别调整典型工作流程图 分步骤如下：a）持续监控访问过程，获取支撑组件提供的多来源信息（包括主体信息、资源信息、访

19、问日志、感知信息、监控信息、安全事件等）；b）策略决定点感知（分析发掘）主体属性、资源属性和环境属性变化，发现影响身份鉴别的因素，进行信任评估、策略决定，影响身份鉴别要素触发身份鉴别动态调整（包括时间窗口到期、运行环境风险变化等）；c）策略决定点向策略执行点下发身份鉴别动态调整策略；d）策略执行点向主体下发身份鉴别调整请求；e）主体向支撑组件申请调整身份鉴别服务；f）支撑组件重新为主体提供身份鉴别服务。T/CIITA 117-2021 8 参考文献 1 Scott W.Rose and Oliver Borchert et al.,Zero Trust Architecture,Nationa

20、l Institute of Standards and Technology(NIST)Special Publication 800-207,Gaithersburg,Md.,August 2020.Available at https:/nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf 2 ISO/IEC 24745:2011 Information technologySecurity techniquesBiometric information protection 3 GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 4 GB/T 29242-2012 信息安全技术 鉴别与授权 安全断言标记语言 5 GB/T 30281-2013 信息安全技术 鉴别与授权 可扩展访问控制标记语言 6 GB/T 35273-2020 信息安全技术 个人信息安全规范 7 GB/T 31504-2015 信息安全技术 鉴别与授权 数字身份信息服务框架规范 8 GB/T 34990-2017 信息安全技术 信息系统安全管理平台技术要求和测试评价方法 _