Мой комментарий: Ранее я уже рассказывала (см. http://rusrim.blogspot.com/2019/10/nist-sp-800-207.html и http://rusrim.blogspot.com/2020/08/nist-sp-800-207.html ) о другом документе NIST по той же теме – о специальной публикации NIST SP 800-207 «Архитектура нулевого доверия» (Zero Trust Architecture), опубликованной в августе 2020 года, см. https://csrc.nist.gov/publications/detail/sp/800-207/final и https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf .
Публичное обсуждение продлится до 5 июля 2022 года.
Национальный институт стандартов и технологий (NIST) использует гибкий процесс для подготовки этого контента к публикации. Каждая его часть будет выкладываться как можно скорее, не откладывая этого до тех пор, пока не будут завершены все части. Продолжается работа по внедрению примеров решений и по подготовке других частей документа. Мы планируем опубликовать для публичного обсуждения как минимум ещё одну версию проекта, прежде, чем будет подготовлена его окончательная версия.
По мере того, как корпоративные данные и ресурсы становятся распределёнными по локальной среде и множеству облаянных систем, их защита становится всё более сложной задачей. Многим пользователям, для выполнения их роли по поддержке миссии организации, требуется доступ из любого места, в любое время, с любого устройства. Данные сохраняются, передаются и обрабатываются программным образом в различных, расположенных как на площадке организации, так и в облаке используемых организацией средах, с целью удовлетворения постоянно эволюционирующих вариантов использования в деловой деятельности. Сегодня уже невозможно просто защищать данные и ресурсы посредством защиты периметра корпоративной среды, и предполагать, что всем пользователям, устройствам, приложениям и службам внутри периметра можно доверять.
Архитектура нулевого доверия (zero-trust architecture, ZTA) обеспечивает для «гибридной» рабочей силы и партнёров безопасный авторизованный доступ к каждому отдельному ресурсу, расположенному как локально, так и в облаке, на основе установленной политики доступа организации. Для каждого запроса на доступ ZTA явным образом проверяет контекст, известный на момент доступа, - включая личность и роль запрашивающего, работоспособность и полномочия запрашивающего устройства, а также степень чувствительности ресурса. Если требования установленной политики соблюдены, то создается безопасный сеанс для защиты всей информации, передаваемой из ресурса или в него. Для установления и поддержания доступа в режиме реального времени выполняется непрерывная оценка, опирающаяся на политику и анализ рисков.
В данном руководстве кратко описано, как Национальный центр компетенции по вопросам кибербезопасности (National Cybersecurity Center of Excellence, NCCoE) и его сотрудники используют коммерчески доступные технологии для построения интероперабельных реализаций ZTA на основе открытых стандартов, соответствующих концепциям и принципам специальной публикации NIST SP 800-207 «Архитектура нулевого доверия» (Zero Trust Architecture). По мере выполнения проекта, данный предварительный проект документа будет обновляться. Также будут выложены для публичного обсуждения другие части документа.
Описание проекта подготовки руководства «Внедрение архитектуры нулевого доверия» см. по адресу: https://www.nccoe.nist.gov/sites/default/files/legacy-files/zta-project-description-final.pdf
Источник: сайт NIST
https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture
Комментариев нет:
Отправить комментарий