零信任成熟度模型

由於零信任越來越被一般企業所接受。美國網路安全和基礎設施安全局 (CISA)提出了零信任承成熟度模型(ZTMM)。ZTMM提供了一種在快速發展的企業環境和技術樣貌中實現與零信任相關的持續現代化作業的方法。 ZTMM 是美國聯邦組織根據行政命令 (EO) 14028“改善國家網路安全”設計和實施零信任架構過渡計劃時可以採取的眾多方法之一，該命令要求美國聯邦各機構制定一項計劃來實施零信任架構。 雖然 ZTMM 是根據 EO 14028 的要求專門為美國聯邦機構量身定制的，但所有企業組織都應考慮量採用本文件中概述的零信任架構方法。

越來越多的資安事件凸顯了確保美國聯邦政府和許多大型企業所謂有效網路安全所面臨的廣泛挑戰，並呈現了“一切照舊”的方法不再足以保護企業免受網路威脅。 CISA提出了使用明確、可操作和risk-informed的方法來保護美國聯邦政府機構(同樣的也適用於一般企業)。 針對新興的網路威脅進行充分的防禦需要提高速度和敏捷性，通過大幅增加駭客的攻擊成本並提高耐用性(durability)和韌性(resiliency)來快速恢復全面的運作能力，從而超越駭客的能之上。

ZTMM的典型計劃將能評估企業當前的網路安全狀態並計劃全面的實施 ZTA。 CISA 的 ZTMM 協助各機構制定零信任策略並持續發展其實施計劃。

什麼是零信任

NIST在 SP 800–207文件中定義的零信任定義如下:

零信任提供了一系列概念和想法，旨在最大程度地減少在"面對被視為網路是不被信任時在資訊系統和服務中執行準確的、每個服務請求的最小特權訪問決策"的不確定性。
ZTA 是一個企業的網路安全計劃，它使用零信任概念，包含組件間的關係、作業流程規劃和存取策略。 因此，零信任企業是作為 ZTA 計劃產品為企業製定的網路基礎設施（實體和虛擬）和維運策略。

SP 800–207 強調零信任的目標是“防止對資料和服務的未經授權的存取，同時使存取控制實施盡可能細緻化”。零信任是“一種網路安全策略，其前提是任何使用者或資產都不應被完全信任。 它的假設是已經發生或即將發生違規行為，因此，不應通過在企業邊界進行的單一驗證來授予使用者存取敏感資訊的權限。 相反，必須不斷驗證每個使用者、設備、應用程式和交易(transaction)。” 零信任代表了從以所在位置為中心的模型到以身份、背景脈絡和資料為中心的方法的轉變，並在使用者、系統之間提供細緻度的安全控制、隨時間變化的應用程式、資料和資產； 出於這些原因，採用 ZTA 並非易事。 這種轉變提供了支援安全策略的開發、實施、執行和演變所需的可見性。 從根本上說，零信任可能需要改變組織的網路安全理念和文化。

最初，實施所需的零信任能力和服務通常會導致額外的成本； 然而，從長遠來看，零信任將使安全投資能夠更加審慎地分配給最關鍵的資料和服務，而不是整個企業的“一刀切”安全投資。

更多的零信任介紹可參閱本部落格零信任的IT環境架構一文。

採用零信任的挑戰

大多數大型企業在實施 ZTA 時通常面臨著一些挑戰。 舊有系統通常是採“隱式信任(implicit trust)”，其中存取和授權很少根據固定屬性進行評估； 這與 ZTA 內信任適應性評估(adaptive evaluation)的核心原則相衝突。 建立在隱性信任基礎上的現有基礎設施將需要投資來改變系統，以更好地符合零信任原則。 此外，隨著技術樣貌的不斷發展，新的解決方案和關於如何最好地實現零信任目標的持續討論至關重要。

採用零信任需要整個企業自上而下的整體參與與合作，才能有效實現設計目標並改善網路安全狀況。 企業網路安全的現代化將要求各部門與IT 服務間的穀倉效應轉變為零信任戰略的協調和協作的組成部分，並在企業範圍內支援通用架構和治理政策。 這包括當前和未來採用雲端技術的計劃。

零信任成熟度模型

ZTMM 代表了跨越五個不同支柱的實施梯度，隨著時間的推移，零信任可以逐步的優化。 如下圖所示，支柱包括Identity、Devices、Networks、Applications&workload以及Data。 每個支柱都包含有關以下橫向功能的一般詳細資訊：可見性和分析、自動化和編排(Orchestration)以及治理。

來源: CISA零信任成熟度模型文件

該模型反映了 NIST SP 800–207 中概述的零信任七個原則：

1. 所有資料來源和運算服務都被視為資源。
2. 無論網路位置如何，所有通訊都是安全的。
3. 對各個企業資源的存取
4. 權限是按每個session授予的。
5. 對資源的存取由動態策略決定。
6. 企業監控和測量所擁有與其相關資產的完整性和安全狀況。
7. 所有資源身份驗證和授權都是動態的，並且在允許存取之前嚴格執行。
8. 企業收集盡可能多的有關資產、網路基礎設施和通訊等現行狀態的資訊，並利用這些資訊來改善其安全狀況。

隨著企業開始向最佳零信任過渡，相關解決方案越來越依賴於自動化的流程和系統，這些流程和系統可以更全面地跨零信任的各支柱地整合並更動態地執行政策決策。 每個支柱都可以按照自己的節奏進行，並且可能比其他支柱進展得更快，直到需要支柱之間的協調為止。 然而，這種協調只能通過彼此相容以及企業範圍環境的功能和依賴關係來實現。 這允許並定義了向零信任的逐步演變，隨著時間的推移分配成本，而不是完全預先分配。

根據 NIST 向零信任轉變的步驟，企業應在投資零信任能力（包括本模型中概述的支柱和功能）之前評估其當前的企業系統、資源、基礎設施、人員和流程。 此評估可以幫助企業確定現有能力，以支持進一步的零信任成熟度和優先等級差距。 企業還可以規劃機會來協調跨支柱的能力，以實現精細的、最小特權的存取控制並減輕額外的風險。

ZTM 旅程的三個階段從傳統起點推進到初始(Initial)、進階(Advanced)和最佳(Optimal)。 每個後續階段都需要更高等級的保護、細節和複雜性才能採用。

來源: CISA零信任成熟度模型文件

如上圖所示，隨著零信任成熟度在支柱之間和支柱內的進展，企業應該預期所需的努力水準和實現的效益將顯著增加。 當企業規劃其 ZTA 旅程時，應該探索提高支柱成熟度的機會，以適應特定的任務需求並支援其他支柱的進一步成長。 下圖突顯了預期企業隨著時間的推移從傳統向未來狀態的演變，該狀態具有更多動態更新、自動化流程、整合功能以及最佳階段的其他特徵。 這些階段是動態的並且呈指數級成長； 從一個成熟階段到另一個成熟階段的計劃進展可能會隨著時間的推移而發生範圍和影響的變化。

來源: CISA零信任成熟度模型文件

企業應使用每個階段的以下指導標準來確定每個零信任技術支柱的成熟度，並在整個成熟度模型中提供一致性：

• 傳統的 —
  手動配置的生命週期(從建立到退役)和屬性分配(安全性和日誌記錄)； 靜態安全政策和解決方案，一次解決一個支柱，且對外部系統具有離散依賴性(discrete dependencies)； 只在配置時建立最低權限； 孤立的政策執行支柱； 手動回應和緩解部署； 依賴項、日誌和遙測(telemetry)等之間有限的相關性。
• 初始的(Initial) —
  開始"屬性分配和生命週期配置、政策決策和執行"的自動化，以及與外部系統整合的初始跨支柱解決方案； 配置後對最小權限進行一些回應性變更； 以及內部系統的聚合可見性(aggregated visibility)。
• 進階的(Advanced) —
  在適用的情況下，通過跨支柱協調對生命週期以及配置和政策分配進行自動化控制； 集中可見性和身份控制； 跨支柱的政策執行； 對預先定義的緩解措施的回應； 根據風險和態勢評估更改最低權限； 並建立整體企業的意識（包括外部託管的資源）。
• 最佳的(Optimal) —
  完全自動化、即時的生命週期以及資產和資源的屬性分配，通過基於自動/觀察到的觸發器的動態策略進行自我回報； 企業範圍內資產及其各自依賴項的動態最小權限存取（剛好足夠且在閾值內）； 具有持續監控的跨支柱互操作性； 以及具有全面態勢感知的集中可見性。

下圖為ZTMM 的high-level overview，包括每個支柱和每個成熟階段支柱特定功能的主要面向。

來源: CISA零信任成熟度模型文件

這些成熟度階段和與每個支柱相關的詳細資訊使企業能夠評估、規劃和維護實現 ZTA 所需的投資。 每個支柱還包括有關

1. 可見性和分析
2. 自動化和編排(Orchestration)
3. 治理

等能力的一般性資訊，以支援與該支柱和跨模型的整合。這三個跨領域的能力強調了支援跨支柱功能互操作性(interoperability)的活動，基於以下描述：

• 可見性與分析 —
  可見性是指由企業範圍環境內的特徵和事件產生的可觀察工件(observable artifacts)。 對網路相關資料分析的關注可以幫助為政策決策提供資訊，促進回應活動，並建立風險概況，以便在事件發生之前制訂主動安全措施。
• 自動化和編排 —
  零信任充分利用自動化工具和工作流程，支援跨產品和服務的安全回應功能，同時維護此類功能、產品和服務的開發過程的監督、安全性和交互。
• 治理 —
  治理是指在支柱內部和跨支柱的企業網路安全政策、程序和流程的定義和相關執行，以支持零信任原則。

雖然ZTMM 涵蓋了對企業至關重要的網路安全的許多面向，但它並未涉及網路安全的其他面向，例如與事故回應相關的活動、日誌記錄、監控、告警、取證分析、風險接受、回復等細節。有關資安事故細節回應可參閱本部落格資訊安全事故管理一文。

其他面向和企業網絡安全態勢管理的最佳實踐並未明確包含在成熟度模型能力中。 儘管成熟度模型並不具有排他性，但它並沒有解決特定於維運技術、某些類別的IoT設備的挑戰，也沒有廣泛納入新興技術，例如欺騙平台、經過身份驗證的WAF、行為分析、該模型不包含諸如在零信任解決方案中最好地結合機器學習和AI功能的建議等方法。 成熟的企業應採取措施進行監控和評估其安全功能、底層基礎設施和策略的效能和完整性，以在每個支柱成熟時偵測未經授權的存取和變更。 企業應小心不要創造被駭客偵測到的機會或削弱安全協定。 需要進行研究和開發，以有效確保企業大規模的軟體和硬件系統的完整性。

在規劃 ZTA 實施時，企業應根據風險、任務、監管要求和運營限制等因素做出決策。 企業應評估其與外部合作夥伴、利害關係人和服務提供商的互動和依賴如何影響其ZTA。該成熟度模型不應被視為一系列嚴格的安全要求，但可以視為幫助企業成功實施 ZTA 並採取整體改進的網路安全態勢的一般指南。

身分(Identity)

企業應確保並強制使用者和實體(entity)在正確的時間出於正確的目的存取正確的資源，而不授予過多的存取權限。 企業應盡可能在整個企業中整合身份、憑證(credential)和存取管理解決方案，以實施身份驗證、授予基於內容脈絡的客製授權，並評估和實體與其風險。 企業應酌情整合其身份存儲和管理系統，以加強對企業身份及其相關責任和權限的認知。

下面列出了與零信任相關的身份功能以及身份內容脈絡中可見性和分析、自動化和編排以及治理的注意事項。

身分(Identity)功能:

1.驗證(Authentication):

• 傳統的 —
  使用密碼或具有實體身份靜態存取權限的 MFA 來驗證身份
• 初始的—
  使用 MFA 來驗證身份，其中可能包括密碼作為一個因素，並需要驗證多個實體屬性（例如，區域或活動）
• 進階的 —
  開始使用防網路釣魚的MFA 和屬性來驗證所有身份，包括通過 FIDO2 或 PIV23開始實施無密碼 MFA
• 最佳的 —
  持續性地使用防網路釣魚的 MFA 驗證身份，而不僅僅是在最初授予存取權限時

2. 身分儲存(Identity Store)

• 傳統 —
  只使用自建的身份存儲
• 初始的—
  結合自建的身份存儲和託管的身份存儲，並且存儲之間的整合程度最低（例如SSO）
• 進階的 —
  開始安全地集中和整合一些自建和託管的身份存儲
• 最佳的 —
  根據需要在所有合作夥伴和環境中安全地整合其身份存儲

3. 風險評估

• 傳統 —
  對身份風險（即身份被洩漏的可能性）只能做出有限的確認
• 初始的—
  使用手動方法和靜態規則來確認身份風險以支援可見性
• 進階的 —
  通過一些自動分析和動態規則來確認身份風險，以告知的存取決策和回應活動
• 最佳的 —
  根據持續分析和動態規則即時的確認身份風險，以提供持續性的保護

4. 存取管理

• 傳統 —
  授權永久性存取，並定期審查特權和非特權帳戶
• 初始的—
  授權存取，包括特權存取請求，該存取會在自動審核後過期
• 進階的 —
  授權是need-based和session-based的存取，包括針對操作和資源所客製的特權存取請求。
• 最佳的 —
  自動化進行授權是根據個別操作和個別資源的需求客製just-in-time且just-enough的存取權限

5. 可視性與分析能力

• 傳統的 —
  收集User和entity活動日誌，特別是特權憑證，並執行一些例行的人工分析。
• 初始的—
  收集User和實entity活動日誌，並執行定期手人工分析和一些自動分析，日誌類型之間的相關性是有限的
• 進階的 —
  某些User和entity活動日誌類型執行自動分析，並強化收集能力以解決可見性差距
• 最佳的 —
  通過對使用者活動日誌類型執行自動分析（包括基於行為的分析）來保持整個企業的全面可見性和態勢感知

6.自動化與編排(Orchestration)能力

• 傳統 —
  手動編排（加入、退出和禁用）自建的身份管理（User和Entity），幾乎沒有整合，只有執行定期審查。
• 初始的—
  手動編排特權和外部身份，並自動編排非特權用戶和自我管理實體(entity)。
• 進階的 —
  手動編排特權用戶身份，並且能跨所有環境的整合自動編排所有身份。
• 最佳的 —
  可以根據行為、註冊和部署需求，自動編排所有身份，並在所有環境中完全整合

7. 治理能力

• 傳統的 —
  靜態技術機制和人工審查來實施身份策略（身份驗證、憑證、存取、生命週期等）
• 初始的—
  最低程度的自動化和手動更新定義並開始實施整體企業內身份策政策的實行。
• 進階的 —
  通過自動化實施整體企業內強制執行的身份策政策，並定期更新策政策
• 最佳的—
  持續性執行和動態更新，為所有系統中的所有User和實entity實施完全自動化整體企業的身份策政策

Devices(設備)

設備是指可以連接到網路的任何資產（包括其軟硬體、firmware等），包括伺服器、桌機和筆電、printers、智慧手機、物聯網設備、網路設備等。

Devices可能是企業的資產，也可能是員工、合作夥伴或訪客BYOD 財產。 企業應保護所有企業內設備的安全，管理不受企業控制的具授權設備的風險，並防止未經授權的設備存取資源。 設備管理包括維護所有資產的動態清單，以及它們的配置和已知的相關漏洞。

許多設備都面臨著特定的 ZTA 挑戰，必須根據具體情況進行評估，作為risk-based流程的一部分。 例如，網路設備、printer和其他設備可能提供有限的身份驗證、可見性和安全選項。 採用 BYOD 策略的企業可能沒有多少選擇來保持此類設備的可見性和控制。 設備的技術樣貌不斷變化，隨著企業將更多設備納入其中，企業將需要繼續管理與這些設備相關的不斷變化的風險。 在某些情況下，企業可能無法對其某些設備特定類別採用該指南。 企業還將面臨確保可信任設備及其服務尚未報廢且仍還有相關support的挑戰，因為舊有設備通常存在大量未緩解的漏洞、可能的錯誤配置和未知風險。 然而，儘管存在這些挑戰，各企業仍應能夠在 ZTA 方面取得重大進展。

地端的運算資產管理涉及記錄和管理實體資產。 隨著企業遷移到雲端環境，這為管理和追蹤雲端和虛擬資產帶來了新的考量因素和機會。 雲端資產包括運算、存儲、平台和網路等資源。

下面列出了與零信任相關的設備功能中的可見性和分析、自動化和編排以及治理的注意事項。

設備(Devices)功能:

1. 政策執行和合規性監控

• 傳統的—
  對設備合規性的可見性（即檢查設備行為的能力）是有限的，執行政策或管理軟體、配置或漏洞的方法很少。
• 初始的—
  接收自我回報的設備特徵（例如Device中的key、token、user等），但執行的機制有限。 有一個初步的基本流程來批准軟體使用並向設備推送更新和配置變更。
• 進階的 —
  已驗證對設備的初始存取的內容（即管理員可以檢查和驗證設備上的資料），並強制大多數設備和虛擬資產合規。 使用自動化方法來管理設備和虛擬資產、批准軟體以及識別漏洞和安裝修補程式。
• 最佳的 —
  在設備和虛擬資產的整個生命週期中持續驗證內容並強制執行合規性。 整合了所有環境（包括虛擬資產）的設備、軟體、配置和漏洞管理。

2.資產與供應鏈風險管理

• 傳統的 —
  沒有以整體企業或跨供應商的方式追蹤實體或虛擬資產，並以有限的企業風險視角以單一方式管理自己的供應鏈採購所取得的"設備和服務"。
• 初始的 —
  追蹤所有實體和部分虛擬資產，並透過使用框架（例如 NIST SCRM）建立政策和控制基線(baselines)來管理供應鏈風險。
• 進階的 —
  開始透過自動化流程發展實體和虛擬資產的全面企業視圖，該流程可以跨多個供應商驗證"採購、追蹤開發週期"並提供第三方評估。
• 最佳的 —
  對供應商和服務提供者的所有資產擁有全面、即時(或近乎即時)的視圖，在適用的情況下自動化其供應鏈風險管理，建立能容忍供應鏈故障的運營，並納入最佳實踐。

3. 資源存取

• 傳統的 —
  不需要了解用於存取資源的設備或虛擬資產
• 初始的 —
  要求某些設備或虛擬資產回報內容(特徵)，然後使用此資訊來批准資源存取
• 進階的 —
  初始的資源存取會考量經過驗證的設備或虛擬資產內容(或稱insight)
• 最佳的 —
  資源存取能考量設備和虛擬資產內的即時風險分析

4. 設備威脅防護

• 傳統的 —
  手動將威脅防護功能部署到某些設備
• 初始的 —
  有一些自動化流程，用於透過有限的政策實施和合規性監控的整合來部署和更新設備和虛擬資產的威脅防護功能。
• 進階的 —
  開始將威脅防護功能整合到設備和虛擬資產的集中式解決方案中，並將大部分功能與政策執行和合規性監控整合。
• 最佳的 —
  擁有集中式威脅防護安全解決方案，部署了適用於所有設備和虛擬資產的高階功能，以及用於設備威脅防護、策略執行和合規性監控的統一方法

5. 可視性與分析能力

• 傳統的 —
  使用實體標記的資產清單和有限的軟體監控來定期審查設備並進行一些手動分析
• 初始的 —
  使用數位識別碼（例如interface address、數位標籤）以及設備的人工清單和端點監控。 設備和虛擬資產正在接受自動分析（例如基於軟體的掃描），以根據風險進行異常檢測
• 進階的 —
  自動執行資產清單收集（包括所有一般使用者設備。如桌機和筆電、手機、平板電腦及其虛擬資產上的端點監控）和異常偵測以檢查未經授權的裝置
• 最佳的 —
  自動收集所有能連網的設備和虛擬資產的狀態，同時與身分關聯、進行端點監控並執行異常偵測以進行資源存取。 追蹤虛擬資產的啟用和(或)取消以發現異常情況

6. 自動化與編排能力

• 傳統的 —
  手動啟用、配置和(或)註冊企業內的設備
• 初始的 —
  開始使用工具和腳本來自動執行設備和虛擬資產的啟用、配置、註冊和(或)取消流程
• 進階的 —
  已實施監控和執行機制，以識別並人工斷開或隔離不合規（易受攻擊、未經驗證的憑證；未註冊的 MAC 位址）的設備和虛擬資產。
• 最佳的 —
  擁有用於配置、註冊、監控、隔離、修復和取消設備和虛擬資產的全自動流程

7. 治理能力

• 傳統的 —
  為其傳統和周邊計算設備的生命週期制定了一些政策，並依靠手動流程來維護（例如更新、修補、清理）這些設備。
• 初始的 —
  制定並執行有關新設備採購、非傳統運算設備和虛擬資產生命週期以及定期對設備進行監控和掃描的政策
• 進階的 —
  為設備和虛擬資產的生命週期制定整體企業的政策，包括其列舉和責任，以及一些自動執行機制
• 最佳的 —
  可以自動執行整個企業中所有連網設備和虛擬資產生命週期的政策

Networks

網路是指開放的通訊介質，包括典型channels（例如企業的內部網絡、無線網路和網際網路）以及其他潛在channels（例如用於傳輸訊息的cellular和Application-level channels）。

ZTA 實現了從傳統的以邊界為中心的安全方法的轉變，並允許企業管理內部和外部流量、隔離主機、強制加密、分段(segment)活動並強化企業範圍的網路可見性(這與Service Mesh的觀念相同)。 ZTA 允許在更靠近應用程式、資料和其他資源的地方實施安全控制，並強化傳統的基於網路的保護並提升縱深防禦。 每個應用程式都可以根據其對存取、優先等級、可達性(reachability)、與依賴服務的連接以及連接路徑的要求而被Networks個別的處理。 這些網路應用程式要求可以被整理成Application profile，這些profile可以被視為網路流量類別。

下面列出了與零信任相關的網路功能以及網路環境中的可見性和分析、自動化和編排以及治理的注意事項。

Networks功能:

1. 網路分段(Network Segmentation)

• 傳統的 —
  使用大範圍/大分段定義其網路架構，對網段內的可達性限制最小。 也可能依賴多種服務的互連（例如，大流量 VPN tunnel）。
• 初始的 —
  開始部署網路架構，隔離關鍵工作負載，將連線限制為"最少功能原則(least function principles)"，並過渡到特定服務的互連。
• 進階的 —
  將端點和Application Profile隔離機制的部署擴展到具有ingress/egress micro perimeters和特定服務互連的多種網路架構。
• 最佳的 —
  網路架構由fully distributed ingress/egress micro-perimeters和基於Application profile組成，具有用於特定服務互連的動態即時和足夠的連接。

2. 網路流量管理

• 傳統的 —
  手動實施靜態網路規則和配置來管理服務啟用時的流量，有限的監控功能（例如應用程式效能監控或異常檢測）以及關鍵任務型應用程式的設定檔變更的人工審核和稽核
• 初始的 —
  建立根據Application profile來具有分離式流量管理功能，並開始將所有應用程式對應到這些profile。 將靜態規則的應用擴展到所有應用程式，並對Application profile評估進行定期人工審核
• 進階的 —
  實施動態網路規則和配置以實現資源最佳化，並根據自動風險感知和風險回應Application profile的評估與監控以定期進行調整
• 最佳的 —
  實施動態網路規則和配置，持續進化以滿足Application Profile需求，並根據任務關鍵性、風險等重新確定應用程式的優先順序。

3.網路流量加密

• 傳統的 —
  加密最少的流量，並依靠人工或臨時流程來管理和保護加密金鑰
• 初始的 —
  開始加密所有到內部應用程式的流量，優先對到外部應用程式的流量進行加密，正式化金鑰管理策略，並保護伺服器/服務加密金鑰
• 進階的 —
  確保所有適用的內外部流量協定的加密，管理金鑰和憑證的發布和輪換，並開始納入加密敏捷性的最佳實踐
• 最佳的 —
  持續適當加密流量，在整個企業範圍內實施安全金鑰管理的最小權限原則，並儘可能廣泛地採用加密敏捷性的最佳實踐

4.網路韌性

• 傳統的 —
  根據具體情況配置網路功能，僅將單一應用程式可用性需求與非關鍵任務工作負載的有限韌性機制相匹配
• 初始的 —
  開始配置網路功能來管理其他應用程式的可用性需求，並擴展非關鍵任務工作負載的韌性機制
• 進階的 —
  已配置網路功能來動態管理大多數應用程式的可用性需求和韌性機制
• 最佳的 —
  整合整體交付和意識，以適應所有工作負載可用性需求的變化，並提供相應的韌性

5.可見性與分析能力

• 傳統的 —
  將有限的以邊界為中心的網路監控能力與最少的分析相結合，以開始發展集中式態勢感知
• 初始的 —
  利用基於已知危害指標（包括network enumeration）的網路監控功能來發展每個環境中的態勢感知，並開始將跨流量類型和環境的遙測(telemetry)關聯起來，以進行分析和威脅搜尋活動
• 進階的 —
  部署基於異常的網路偵測功能，以發展跨所有環境的態勢感知，開始關聯多個來源的遙測資料進行分析，並整合自動化流程以實現強大的威脅搜尋活動
• 最佳的 —
  保持​​對所有網路和環境中通訊的可見性，同時實現企業範圍的態勢感知和高階監控功能，從而自動實現所有偵測來源之間的遙測關聯

6. 自動化與編排能力

• 傳統的 —
  使用手動流程來管理網路和環境的配置和資源生命週期，並定期整合政策要求和態勢感知
• 初始的 —
  開始使用自動化方法來管理某些網路或環境的配置和資源生命週期，並確保所有資源都具有基於政策和遙測的定義的生命週期
• 進階的 —
  使用自動化變更管理方法（例如 CI/CD）來管理所有網路和環境的配置和資源生命週期，以回應並執行針對感知風險的政策和防護
• 最佳的 —
  網路和環境是使用由自動化變更管理方法的IaC來定義與管理，包括自動初始化和到期刪除以適應不斷變化的需求

7. 治理能力

• 傳統的 —
  透過專注於外圍邊界保護的方法實施靜態網路策略（存取、協定、分段、告警和修復）
• 初始的 —
  定義並開始實施針對各個網路區段和資源量身定制的政策，同時也視狀況繼承企業的整體規則
• 進階的 —
  將自動化納入以實施客製化政策，並促進從以外部邊界為中心的防護轉變
• 最佳的 —
  實施整體企業的網路政策，以實現客製化的本地控制； 動態更新； 並根據應用程式和使用者工作流程保護外部連接

Application & Workloads

Applications和Worload包括在本地、移動設備和雲端環境中執行的系統、computer program和服務。

企業應管理和保護其部署的應用程式，並應確保安全的交付。 精細的存取控制和整合的威脅保護可以提供強化的態勢感知並減輕特定於應用程式的威脅。 企業應開始探索機會，通過公共網路向授權使用者提供其應用程式。 還應盡可能採用 DevSecOps 和 CI/CD 流程的最佳實踐，包括使用不可變工作負載。也應探索各種方案，將其運營重點從認證邊界轉移到支持應用程式就好像它們面對網際網路並提供相應的安全性一樣。

下面列出了與零信任相關的Application workload功能，以及Applications和workload背景脈絡中的可見性和分析、自動化和編排以及治理的注意事項。

Application與Workload功能:

1. 應用程式的存取

• 傳統的 —
  主要根據本地授權和靜態屬性對應用程式進行存取授權
• 初始的 —
  開始對應用程式實施授權存取功能，這些應用程式包含每個到期請求(request)的脈絡資訊（例如身分、裝置合規性和/或其他屬性）
• 進階的 —
  透過擴展的脈絡資訊和遵守最小特權原則的強制到期條件自動執行應用程式存取決策
• 最佳的 —
  持續性的授權應用程式存取，結合即時風險分析和行為或使用模式等因素

2. 應用程式威脅防護

• 傳統的 —
  威脅防護與應用程式工作流程的整合程度最低，對已知威脅應用是一般性防護
• 初始的 —
  將威脅防護整合到關鍵任務型應用程式工作流程中，針對已知威脅和一些特定於應用程式的威脅啟用適用的防護
• 進階的 —
  將威脅防護整合到所有應用程式工作流程中，防範某些特定應用程式和有針對性的威脅
• 最佳的 —
  將高階威脅防護整合到所有應用程式工作流程中，提供針對應用程式客製化的複雜攻擊的即時可見性和內容感知防護

3. 無障礙的應用程式(Accessible Application)

• 傳統的 —
  僅透過專用網路和受保護的網路連線（例如 VPN）提供某些關鍵任務型應用程式並進行監控
• 初始的 —
  透過代理連接(如SASE)，開放網際網路向有需要的授權使用者提供一些適用的關鍵任務應用程式
• 進階的 —
  根據需要透過開放的公共網路連線向授權使用者提供大部分適用的關鍵任務應用程式
• 最佳的 —
  根據需要，在適當的情況下，透過網際網路向授權使用者和設備提供所有適用的應用程式

4. 保護應用程式開發與佈署的工作流程(也就是CI/CD)

• 傳統的 —
  單點的開發、測試和生產環境，並具有非穩健的代碼部署機制
• 初始的 —
  透過 CI/CD pipeline和必要的存取控制來提供正式的代碼部署機制，用於開發、測試和生產環境（包括自動化），以支援最小權限原則
• 進階的 —
  使用DevSecOps團隊進行開發、安全和維運，同時消除開發人員對生產環境進行程式碼部署的存取權限
• 最佳的 —
  在可行的情況下利用不可變(immutable)的工作負載，僅允許變更是透過重新部署生效，並刪除管理員對部署環境的存取權限，以支援程式碼部署的自動化流程

5. 應用程式安全測試

• 傳統的 —
  在部署之前主要透過手動測試方法進行應用程式安全測試
• 初始的 —
  在應用程式部署之前，開始使用靜態和動態測試方法來執行安全性測試，包括人類專家的分析
• 進階的 —
  將應用程式安全測試整合到應用程式開發和部署流程中，包括使用定期動態測試方法
• 最佳的 —
  將企業的整個軟體開發生命週期的應用程式安全測試與已部署應用程式的自動化測試整合在一起

6.可見性與分析能力

• 傳統的 —
  透過有限的聚合和分析對關鍵任務應用執行一些效能和安全監控
• 初始的 —
  開始自動化Application profile（例如狀態、運作狀況和效能）和安全監控，以改善日誌收集、聚合和分析
• 進階的 —
  透過啟發式(heuristics)方法對大多數應用程式進行自動化設定檔和安全監控，以識別特定的應用程式和整體企業的趨勢，並隨著時間的推移不斷完善流程，以解決可見性方面的差距
• 最佳的 —
  對所有應用程式進行持續動態監控，以保持整體企業內的全面可見性

7. 自動化與編排能力

• 傳統的 —
  在配置時手動建立靜態應用程式託管位置和存取權限，維護和審查是有限的
• 初始的 —
  定期修改應用程式配置（包括位置和存取）以滿足相關的安全和效能目標
• 進階的 —
  自動執行應用程式配置以回應維運和環境變化
• 最佳的 —
  自動執行應用程式配置，以持續優化安全性和效能

8. 治理能力

• 傳統的 —
  主要依靠人工執行政策來進行應用程式的存取、開發、部署、軟體資產管理、修補和追蹤軟體依賴性的ST&E(security testing and evaluation)
• 初始的 —
  開始根據任務需求（如，使用下單系統）應用程式開發（包括存取開發基礎設施）、部署、軟體資產管理、修補和追蹤軟體依賴項的 ST&E自動化政策執行
• 進階的 —
  在整個企業範圍內針對應用程式以及應用程式開發和部署生命週期的各個方面實施分層、客製化的政策，並在可能的情況下利用自動化來支援執行
• 最佳的 —
  完全自動化管理應用程式開發和部署的策略，包括透過 CI/CD pipeline合併應用程式的動態更新

Data

資料包括停留在或曾經停留在企業的系統、設備、網路、應用程式、資料庫、基礎設施和備份（包括本地和虛擬環境）中的所有結構化和非結構化檔案和片段以及相關metadata。

應根據企業內外的監管要求在設備、應用程式和網路上保護資料。 企業應對資料進行盤點、分類和標記； 保護靜態和傳輸中的資料； 並部署機制來偵測和阻止資料外洩。 企業應仔細制定和審查資料治理策略，以確保所有資料生命週期安全方面在整個企業中得到適當執行。

下面列出了與零信任相關的資料功能，以及資料背景脈絡中的可見性和分析、自動化和編排以及治理的注意事項。

資料功能:

1. 資料資產管理

• 傳統的 —
  手動識別並清點資料（例如，關鍵任務資料）
• 初始的 —
  開始自動化地端和雲端環境中的資料資產流程，涵蓋大多數資料，並開始納入針對資料遺失的保護措施
• 進階的 —
  在整個企業範圍內自動執行資料清單和追踪，涵蓋所有適用的資料，並採用基於靜態屬性和(或)標籤的資料丟失預防策略
• 最佳的 —
  持續盤點所有適用的資料，並採用強大的資料遺失預防策略，動態阻止可疑的資料外洩

2. 資料類別

• 傳統的 —
  採用有限的單點資料分類功能
• 初始的 —
  開始實施具有標籤和手動執行機制的資料分類政策
• 進階的 —
  透過簡單、結構化的格式和定期審查，以一致、分層、有針對性的方式自動執行一些資料分類和標籤流程
• 最佳的 —
  利用強大的技術在整個企業範圍內自動進行資料分類和標記； 細緻度、結構化的格式； 和處理所有資料類型的機制

3. 資料可用性

• 傳統的 —
  主要透過一些異地備份從本地資料存儲提供資料
• 初始的 —
  從冗餘、高度可用的資料存儲（例如雲端）中提供部分資料，並為本地資料維護異地備份
• 進階的 —
  主要從冗餘、高度可用的資料存儲中提供資料，並確保對歷史資料的存取
• 最佳的 —
  根據使用者和實體的需求，使用動態方法來優化資料可用性，包括歷史資料

4. 資料存取

• 傳統的 —
  透過靜態存取控制來管理使用者和實體對資料的存取（例如，讀取、寫入、複製、授予他人存取權限等的權限）
• 初始的 —
  開始部署自動化資料存取控制，其中包含整個企業的最小權限元素
• 進階的 —
  自動執行資料存取控制，考量身分、設備風險、應用程式、資料類別等各種屬性，並且在適用的情況下有時間限制
• 最佳的 —
  透過持續審查權限，在整個企業範圍內自動執行動態、及時和足夠的資料存取控制

5. 資料加密

• 傳統的 —
  靜態和傳輸中的最少資料進行加密，並依靠手動或單點流程來管理和保護加密金鑰
• 初始的 —
  對所有傳輸中的資料進行加密，並在可行的情況下對靜態資料（例如，關鍵任務資料和儲存在外部環境中的資料）進行加密，並開始正式制定金鑰管理策略和安全加密金鑰
• 進階的 —
  最大限度地加密整個企業中的所有靜態資料和傳輸數據，開始納入加密敏捷性，並保護加密金鑰（即，secrets不是hardcode的，而是定期輪換的）
• 最佳的 —
  在適當的情況下對使用中的資料進行加密，在整個企業範圍內實施安全金鑰管理的最小權限原則，並儘可能使用最新標準和加密敏捷性進行加密。

6.可見性與分析能力

• 傳統的 —
  對資料（包括地點、存取和使用情況）的可見度有限，分析主要由手動流程組成
• 初始的 —
  根據資料清單來管理、分類、加密和存取試圖取得可見性，並進行一些自動分析和關聯
• 進階的 —
  透過自動分析和關聯以更全面的範圍的方式維護資料可見性，並開始採用預測(Predictive)分析
• 最佳的 —
  透過強大的分析（包括預測分析）獲得整個資料生命週期的可見性，支援資料的全面視圖和持續的安全態勢評估

7. 自動化與編排能力

• 傳統的 —
  透過手動和單點流程實施資料生命週期和安全性策略（例如，存取、使用、儲存、加密、配置、保護、備份、分類、清理）
• 初始的 —
  使用一些自動化流程來實施資料生命週期和安全策略
• 進階的 —
  主要透過自動化方法在整個企業內以一致、分層、有針對性的方式對大多數資料實施資料生命週期和安全策略
• 最佳的 —
  最大限度地自動化整個企業中所有資料的資料生命週期和安全策略

8. 治理能力

• 傳統的 —
  依賴手動實施的單點資料治理策略（例如，保護、分類、存取、盤點、儲存、復原、刪除等）
• 初始的 —
  定義高階資料治理政策，主要依靠手動、分段實施
• 進階的 —
  開始整合整個企業的資料生命週期策略實施，為資料治理策略提供更統一的定義
• 最佳的 —
  資料生命週期政策盡可能統一，並在整個企業動態實施

跨領域能力

跨領域功能可見性和分析、自動化和編排以及治理提供了整合五個支柱中每一個支柱的進步的機會。 可見性和分析支援全面的可見性，為政策決策提供資訊並促進響應活動。 自動化和編排功能利用這些見解來支援強大且簡化的操作，以處理安全事件並在事件發生時做出回應。 治理使企業能夠管理和監控其監管、法律、環境、運營等要求，以支援risk-based的決策。 治理能力還確保合適的人員、流程和技術到位，以支援任務、風險和合規目標。

下面提供了每種跨領域功能的high-level成熟度演變。

1.可見性與分析能力

• 傳統的 —
  以低保真度(low fidelity)和最少的分析手動收集整個企業的有限日誌
• 初始的 —
  開始自動收集和分析關鍵任務功能的日誌和事件，並定期評估流程是否有可見性差距
• 進階的 —
  擴展到整個企業範圍（包括虛擬環境）的日誌和事件的自動收集，以進行跨多個來源關聯的集中分析
• 最佳的 —
  透過集中動態監控以及日誌和事件的高階分析，在整個企業範圍內保持全面的可見性

2. 自動化與編排能力

• 傳統的 —
  依靠靜態和手動流程來協調操作和回應活動，自動化程度有限
• 初始的 —
  開始自動化編排和回應活動以支援關鍵任務功能
• 進階的 —
  在整個企業範圍內自動化編排和回應活動，利用多個來源的脈絡資訊來為決策提供資訊
• 最佳的 —
  編排和回應活動動態回應企業範圍內不斷變化的需求和環境變化

3. 治理能力

• 傳統的 —
  在整個企業範圍內以臨時方式實施策略，並透過手動流程或靜態技術機制強制執行政策
• 初始的 —
  透過最少的自動化和較多手動更新來定義並開始實施整體企業的政策執行
• 進階的 —
  在整個企業範圍內實施分層、客製化的政策，並盡可能利用自動化來支援執行。 訪問政策的決策是包含來自多個來源的脈絡資訊
• 最佳的 —
  實施並完全自動化整體企業的政策，透過持續執行和動態更新來實現客製化的本地控制