美國國家安全局發布零信任實作指引，協助組織達成目標成熟度

美國國家安全局（NSA）近期發布零信任實作指引（Zero Trust Implementation Guidelines, ZIGs），詳細說明組織如何逐步達到目標層級的零信任成熟度。

本指引包含第一階段與第二階段的實作內容，旨在支援美國國防部（原文為 Department of War，前身為 Department of Defense）的零信任架構及美國政府整體資安策略。這兩個階段協助組織從探索階段推進至目標層級，內容涵蓋必要活動、相依性與預期成果，同時允許企業依營運需求與限制彈性調整。

分階段建立零信任能力

第一階段建立安全基準，定義 36 項活動以支援 30 項零信任能力，協助組織在深度整合前建立或改善基礎控制措施。第二階段在此基礎上推進，透過 41 項活動實現 34 項額外能力，重點在於跨元件環境整合核心零信任解決方案。

這種分階段設計採模組化架構，而非固定路徑。資安業者 AppOmni 共同創辦人暨技術長 Brian Soby 表示，此架構強化了一個重要概念：零信任並非一次性部署，而是一種營運模式，而非產品。政策決策必須隨環境變化持續評估與執行。

從邊界防護轉向持續性驗證

這份指引強調從邊界防護模式，轉向對使用者、裝置與應用程式進行持續性身分驗證與授權。零信任的核心原則是「永不信任，持續驗證」(never trust, always verify)與「假設已遭入侵」(assume breach)。隨著資安威脅不斷演進，這種做法愈來愈被視為必要措施。

專家認為這份指引最有價值的部分，在於關注身分驗證後的活動。持續性評估必須在登入後進行，而非僅限於登入時。根據觀察，現今許多成功的攻擊都發生在身分驗證之後，若缺乏對應用程式內部活動的可視性，基本的身分檢查與裝置狀態評估所提供的保護相當有限。

整合多項既有框架

NSA 的指引整合了多項依據第 14028 號行政命令（Executive Order 14028）發展的既有框架，包括 NIST 特別出版品 800-207、CISA 零信任成熟度模型 2.0 版，以及國防部零信任參考架構。NSA 與國防部資訊長辦公室密切合作，將 152 項零信任活動整理成結構化的階段。

然而，許多組織仍誤用零信任概念，過度專注於網路存取控制。若將零信任網路存取視為完整解決方案，將會忽略應用程式本身如何制定與執行存取決策。專家強調，任何將應用程式政策決策點的可視性與管理排除在外的零信任架構，不僅成本高昂，而且保護嚴重不足。

NSA 表示，本指引旨在協助具備技術能力的實務人員達成目標層級的零信任成熟度。未來可能發展更進階的實作階段。

本文轉載自 InfosecurityMagazine。