capetron/zero-trust-architecture-guide
GitHub: capetron/zero-trust-architecture-guide
一份面向零信任架构落地的方法论与实践指南,解决如何系统性规划与实施零信任安全架构的问题。
Stars: 0 | Forks: 0
# 零信任架构指南
这是一份面向 IT 团队和安全领导者的零信任架构实施实操指南。本指南涵盖零信任的核心原则、与 NIST SP 800-207 的映射关系、分阶段 rollout 计划,并提供供应商评估框架和成熟度模型以衡量进展。无论您是从传统边界网络起步,还是演进现有的零信任项目,本指南都将为您提供一条切实可行的路径。
## 为什么现在需要零信任架构
传统的“城堡与护城河”安全模型假设企业网络内部的一切都可以被信任。这一假设已被远程办公、云迁移、供应链攻击以及一旦进入内部即横向移动的威胁行为者系统地瓦解。
零信任架构(ZTA)基于一个根本不同的原则:**永不信任,始终验证**。无论请求来自何处、在哪个网络上,都必须在授予访问权限前完成身份认证、授权和持续验证。
联邦政府已要求所有机构在 2024 财年末实现零信任(OMB M-22-09,EO 14028)。随着保险公司、审计机构和合规框架越来越多地要求零信任控制,私有部门的采纳速度正在加快。NIST SP 800-207 提供了权威的参考架构。
这并非购买单一产品。零信任是一种通过身份、设备、网络、应用和数据控制协同实现的架构策略。
## 目录
1. [核心原则](#1-core-principles)
2. [NIST SP 800-207 对齐](#2-nist-sp-800-207-alignment)
3. [零信任五大支柱](#3-the-five-pillars-of-zero-trust)
4. [分阶段实施计划](#4-phased-implementation-plan)
5. [技术栈对比](#5-technology-stack-comparison)
6. [零信任成熟度模型](#6-zero-trust-maturity-model)
7. [网络分段策略](#7-network-segmentation-strategies)
8. [身份与访问控制](#8-identity-and-access-controls)
9. [设备信任与合规](#9-device-trust-and-compliance)
10. [零信任中的数据保护](#10-data-protection-in-zero-trust)
11. [供应商评估框架](#11-vendor-evaluation-framework)
12. [常见错误](#12-common-mistakes)
13. [衡量成功](#13-measuring-success)
## 1. 核心原则
零信任建立在 NIST SP 800-207 定义的七项基础原则之上:
| # | 原则 | 实际含义 |
|---|------|----------|
| 1 | 所有数据源和计算服务都被视为资源 | 不仅是服务器,SaaS 应用、IoT 设备、云工作负载和 API 都是需要保护的资源 |
| 2 | 无论网络位置如何,所有通信都应受到保护 | 内部网络流量也应加密和认证,而不仅限于跨越边界的流量 |
| 3 | 对单个资源的访问按会话授予 | 不存在持久的“可信”会话,每个请求都独立评估 |
| 4 | 访问由动态策略决定 | 策略应综合考虑用户身份、设备健康、位置、行为和数据敏感度,而不仅仅是用户名/密码 |
| 5 | 企业持续监控所有资产的安全状态 | 持续监控而非一次性检查;设备一旦不符合合规即失去访问权限 |
| 6 | 所有资源认证与授权动态且严格实施 | 访问前进行实时策略评估,敏感操作需提升认证级别 |
| 7 | 企业收集信息并用于改进安全状态 | 来自所有组件的遥测数据驱动威胁检测与策略优化 |
### 零信任不是什么
- **不是可以购买的产品**:没有哪个供应商能提供“开箱即用”的零信任。
- **不只是 VPN 替代**:ZTNA 是组件之一,并非完整架构。
- **不是非黑即白**:零信任不是开关,而是一个以成熟度衡量的旅程。
- **不只是网络概念**:身份、设备、应用和数据同样重要。
- **不是阻止一切**:目标是实现安全访问,而非制造摩擦。
## 2. NIST SP 800-207 对齐
NIST SP 800-207 定义了实施零信任的三种核心方法:
### 方法 1:增强型身份治理
身份是主要控制平面。所有访问决策都始于强身份验证。
**适合场景:** IAM 成熟度高、云优先环境
**关键技术:** SSO、MFA、PAM、身份治理(IGA)、SCIM 自动编排
### 方法 2:微隔离
网络分段是主要控制平面。资源被细粒度隔离,并在每个边界实施强制。
**适合场景:** 拥有大量本地基础设施、OT/ICS 环境
**关键技术:** 下一代防火墙、SDN、微隔离平台、东西向流量检查
### 方法 3:软件定义边界(SDP)/ ZTNA
网络访问通过代理抽象,使资源对未授权用户不可见。用户连接的是应用,而非网络。
**适合场景:** 远程优先组织、混合环境、VPN 替代
**关键技术:** ZTNA 网关、SDP 控制器、SASE 平台
### NIST 逻辑组件
NIST SP 800-207 规定了零信任架构所需的逻辑组件:
| 组件 | 功能 | 示例 |
|------|------|------|
| **策略引擎(PE)** | 基于策略做出访问决策 | 身份提供者 + 上下文引擎 |
| **策略管理员(PA)** | 执行 PE 的决策 | ZTNA 网关、反向代理、API 网关 |
| **策略执行点(PEP)** | 在资源处执行 PA 的指令 | 防火墙、端点代理、应用代理 |
| **持续诊断与缓解(CDM)** | 提供实时设备与资产健康状态 | EDR、UEM/MDM、漏洞扫描器 |
| **行业合规** | 将监管要求纳入策略 | GRC 平台、合规策略 |
| **威胁情报** | 支持动态风险评估 | TI 情报、SIEM 关联、用户行为分析 |
| **活动日志** | 提供审计追踪与分析输入 | SIEM、集中日志、UEBA |
| **数据访问策略** | 定义谁在何种条件下可访问什么数据 | DLP、数据分类、ABAC 策略 |
## 3. 五大支柱
CISA 零信任成熟度模型将零信任分为五大支柱,可独立跟踪各支柱的进展。
### 支柱 1:身份
**目标:** 对每个访问请求进行强身份验证。
| 成熟度 | 控制 |
|--------|------|
| 传统 | 仅密码,限制 MFA,手动编排 |
| 初始 | 远程访问与管理员启用 MFA,集中 SSO |
| 高级 | 全局 MFA,基于风险的认证,自动编排/取消编排 |
| 最优 | 无密码认证,持续身份验证,实时风险评分 |
**关键技术:** 身份提供者(IdP)、MFA、SSO、PAM、IGA、SCIM
### 支柱 2:设备
**目标:** 每个设备都被识别、编目,并在访问前满足安全要求。
| 成熟度 | 控制 |
|--------|------|
| 传统 | 无设备编目,无合规检查 |
| 初始 | 设备编目,基本端点防护 |
| 高级 | 全量 EDR,基于合规的访问控制(未打补丁即拒绝访问),BYOD 管理 |
| 最优 | 实时设备风险评分,自动修复,硬件证明 |
**关键技术:** EDR/XDR、UEM/MDM、设备证书、合规引擎
### 支柱 3:网络
**目标:** 网络分段限制横向移动,所有流量加密并检查。
| 成熟度 | 控制 |
|--------|------|
| 传统 | 平坦网络,仅边界防火墙 |
| 初始 | 基础 VLAN,关键系统内部防火墙 |
| 高级 | 微隔离、东西向流量检查、内部流量加密 |
| 最优 | 软件定义分段、基于动态策略的访问、全程加密 |
**关键技术:** 下一代防火墙、微隔离、SDN、ZTNA、加密 DNS
### 支柱 4:应用与工作负载
**目标:** 应用安全、可监控,且仅通过授权渠道访问。
| 成熟度 | 控制 |
|--------|------|
| 传统 | 直接访问应用,无 WAF、无 API 安全 |
| 初始 | Web 应用 WAF、基础 API 认证 |
| 高级 | 应用级分段、API 网关与认证、运行时保护 |
| 最优 | 无需授权应用不可见(软件定义访问)、CI/CD 安全、SBOM 跟踪 |
**关键技术:** ZTNA、WAF、API 网关、RASPASB、容器安全
### 支柱 5:数据
**目标:** 数据被分类、保护,访问控制基于敏感性与上下文。
| 成熟度 | 控制 |
|--------|------|
| 传统 | 无数据分类,泛访问 |
| 初始 | 手动分类,邮件 DLP |
| 高级 | 自动数据分类,端点与云端 DLP、加密 |
| 最优 | 以数据为中心的安全(保护随行)、基于用户与数据上下文的实时访问决策 |
**关键技术:** DLP、数据分类、加密(FIPS 140-3)、CASB、权限管理
## 4. 分阶段实施计划
零信任实施是一项多年度旅程。本计划提供 18–24 个月的现实路线图。
### 阶段 1:基础(1–3 个月)
**重点:** 可见性与身份
| 任务 | 交付物 | 努力 |
|------|--------|------|
| 资产盘点(用户、设备、应用、数据) | 完整资产清单 | 2–4 周 |
| 数据流映射(敏感数据存储与移动路径) | 数据流图 | 2–3 周 |
| 身份整合(单一 IdP,清理重复账户) | 集中化身份 | 3–6 周 |
| 部署所有外部服务的 MFA | MFA 覆盖率报告 | 2–4 周 |
| 部署特权账户的 MFA | 管理员 MFA 完成 | 1–2 周 |
| 定义零信任策略框架(谁访问什么、从哪访问、什么条件下访问) | 策略文档 | 2–3 周 |
| 建立当前各支柱基线成熟度 | 成熟度评估 | 1–2 周 |
### 阶段 2:快速胜利(3–6 个月)
**重点:** 身份加固与初始分段
| 任务 | 交付物 | 努力 |
|------|--------|------|
| 为所有 SaaS 应用实施 SSO | SSO 集成完成 | 4–8 周 |
| 为远程访问部署 ZTNA(替换或补充 VPN) | 1–2 个应用的 ZTNA 试点 | 4–6 周 |
| 分段关键系统(域控制器、备份、管理) | 网络分段配置 | 3–4 周 |
| 在所有端点与服务器部署 EDR | EDR 覆盖率 100% | 2–4 周 |
| 实现自动账户编排/取消编排 | SCIM 集成 | 3–4 周 |
| 启用条件访问策略(设备合规、位置、风险) | 条件访问生效 | 2–3 周 |
### 阶段 3:扩展(6–12 个月)
**重点:** 应用级控制与微隔离
| 任务 | 交付物 | 努力 |
|------|--------|------|
| 将 ZTNA 扩展至所有应用(不再有直接网络访问) | 完整 ZTNA rollout | 8–12 周 |
| 部署服务器工作负载微隔离 | 微隔离部署 | 6–10 周 |
| 部署数据分类与 DLP | 数据保护生效 | 6–8 周 |
| 实施 PAM(所有特权访问) | PAM 运行中 | 4–6 周 |
| 启用风险自适应认证(敏感操作提升认证) | 风险引擎生效 | 3–4 周 |
| 将 SIEM 与身份、设备、网络遥测集成 | 统一监控 | 4–6 周 |
### 阶段 4:优化(12–24 个月)
**重点:** 自动化、分析与持续改进
| 任务 | 交付物 | 努力 |
|------|--------|------|
| 实施用户与实体行为分析(UEBA) | 建立行为基线 | 6–8 周 |
| 自动执行设备合规性(不合规即隔离) | 自动修复 | 4–6 周 |
| 评估无密码认证 | 无密码试点 | 4–8 周 |
| 实施数据为中心的安全(加密、权限管理) | 端到端数据保护 | 6–8 周 |
| 持续成熟度评估与差距关闭 | 季度成熟度报告 | 持续 |
| 零信任桌面演练(测试策略在攻击场景下的表现) | 演练报告 | 季度 |
## 5. 技术栈对比
### ZTNA / SASE 平台
| 厂商 | 优势 | 注意事项 | 适用场景 |
|------|------|----------|----------|
| **Zscaler**(ZIA + ZPA) | 最大全球云、强大代理架构、成熟 DLP | 部署复杂、成本较高 | 大型企业、云优先 |
| **Palo Alto**(Prisma Access) | 防火墙遗产深厚、集成 CASB、适合混合 | 代理重量级、许可复杂 | 混合环境、PA 生态 |
| **Cloudflare**(Access + Gateway) | 开发者友好、全球网络快、定价透明 | 企业级功能较新 | SMB、开发者导向 |
| **Microsoft**(Entra + Defender) | 与 M365 深度集成、条件访问、包含在 E5 | 微软中心生态、对非 MS 应用较弱 | 微软环境 |
| **CrowdStrike**(Falcon) | 最佳 EDR、身份威胁检测 | 侧重端点/身份、网络能力较弱 | EDR 优先 |
| **Fortinet**(FortiSASE) | 价格实惠、SD-WAN 集成强 | 云足迹较小 | 成本敏感、FortiGate 用户 |
| **Netskope** | 强 CASB 与 DLP、云可见性佳 | 品牌知名度较低、伙伴生态小 | 数据保护导向 |
### 微隔离
| 厂商 | 方法 | 适用场景 |
|------|------|----------|
| **Illumio** | 基于主机的微隔离 | 数据中心、混合云 |
| **Akamai Guardicore** | 基于主机的隔离与网络可见性 | 大型企业、复杂环境 |
| **VMware NSX** | 虚拟机监控程序级隔离 | VMware 环境 |
| **Cisco ACI** | 网络 fabric 级隔离 | Cisco 网络生态 |
| **ColorTokens** | 主机 + 无代理混合 | 混合环境 |
### 身份与访问
| 厂商 | 类别 | 适用场景 |
|------|------|----------|
| **Microsoft Entra ID**(Azure AD) | IdP、MFA、条件访问 | M365 环境 |
| **Okta** | IdP、SSO、生命周期管理 | 多云、SaaS 密集 |
| **CyberArk** | PAM、密钥管理 | 特权访问控制 |
| **BeyondTrust** | PAM、端点特权管理 | Windows 密集 |
| **Ping Identity** | 联合、API 安全 | 复杂身份联合 |
## 6. 零信任成熟度模型
使用本模型评估当前状态并规划路线图。对每个支柱从 1(传统)到 4(最优)进行评分。
| 支柱 | 传统(1) | 初始(2) | 高级(3) | 最优(4) | 当前评分 |
|------|----------|----------|----------|----------|----------|
| **身份** | 仅密码 | 远程与管理员启用 MFA | 全局 MFA、风险自适应认证 | 无密码、持续验证 | |
| **设备** | 无编目或合规 | 编目 + 基本端点防护 | 全量 EDR、合规门禁 | 实时风险评分、自动修复 | |
| **网络** | 平坦网络、仅边界 | 基础 VLAN | 微隔离、东西向检查 | 动态策略、全程加密 | |
| **应用** | 直接访问、无控制 | WAF、基础认证 | 全量 ZTNA、API 安全 | 应用不可见、SBOM 跟踪 | |
| **数据** | 无分类、泛访问 | 手动分类、基础 DLP | 自动分类、全链路 DLP | 以数据为中心、实时上下文访问 | |
### 评分说明
| 总分 | 成熟度 | 描述 |
|------|--------|------|
| 5–8 | 传统 | 基于边界的防护,存在显著零信任缺口 |
| 9–12 | 初始 | 部分零信任控制已落地,身份加固起步 |
| 13–16 | 高级 | 大多数支柱具备较强零信任能力,持续监控运行 |
| 17–20 | 最优 | 全面零信任架构,动态、自动化、持续改进 |
## 7. 网络分段策略
### 分段方法
| | 工作原理 | 复杂度 | 适用场景 |
|------|----------|--------|----------|
| **VLAN 基础** | 使用 802.1Q 标签划分广播域 | 低 | 初始分段、小型环境 |
| **基于防火墙** | 内部防火墙隔离段 | 中 | 传统数据中心 |
| **软件定义** | SDN 控制器管理微边界 | 高 | 云与混合环境 |
| **基于主机的微隔离** | 主机级防火墙策略集中管理 | 中–高 | 全环境工作负载保护 |
| **基于身份** | 访问决策依据用户/设备身份而非 IP | 高 | ZTNA、云原生 |
### 推荐分段区域
| 区域 | 内容 | 访问策略 |
|------|------|----------|
| **管理** | 域控制器、SIEM、备份、PAM | 仅管理员访问、需 MFA、会话录制 |
| **用户** | 工作站、BYOD | 通过代理访问互联网,应用访问经由 ZTNA |
| **生产服务器** | 业务应用、数据库 | 仅应用级访问,禁止直接用户访问 |
| **开发服务器** | 开发/测试环境 | 仅开发者访问,隔离于生产 |
| **DMZ** | Web 服务器、邮件网关、VPN | 有限入站,禁止直接内网访问 |
| **IoT/OT** | 打印机、摄像头、楼宇系统 | 严格限制、监控、无互联网 |
| **访客** | 访客 Wi-Fi | 仅互联网,完全隔离内部 |
| **备份** | 备份服务器、存储 | 仅备份服务账户,隔离或不可变 |
### 东西向流量规则
在零信任网络中,东西向(跨段)流量需显式控制:
1. **默认拒绝**:除非明确允许,否则禁止段间通信。
2. **应用感知规则**:仅允许所需端口与协议。
3. **全程记录**:所有跨段流量均记录以供分析。
4. **加密**:使用 TLS/mTLS 保护所有跨段通信。
5. **身份感知**:规则基于服务账户或工作负载身份,而非仅 IP。
## 8. 身份与访问控制
### 认证层级(由弱到强)
| 层级 | 方法 | 零信任适用性 |
|------|------|--------------|
| 1 | 仅密码 | 不适用于零信任 |
| 2 | 密码 + SMS OTP | 最低(短信可被钓鱼) |
| 3 | 密码 + 认证器应用(TOTP) | 可接受用于标准用户 |
| 4 | 密码 + 推送通知(数字匹配) | 良好(标准用户) |
| 5 | 密码 + FIDO2 硬件密钥 | 强(特权用户) |
| 6 | 无密码(FIDO2 / 通行密钥) | 最优——彻底消除凭证钓鱼 |
### 条件访问策略框架
| 条件 | 低风险响应 | 中风险响应 | 高风险响应 |
|------|------------|------------|------------|
| 已知设备 + 已知位置 | 允许访问 | 允许访问 | 需 MFA |
| 已知设备 + 未知位置 | 允许访问 | 需 MFA | 需 MFA + 设备合规检查 |
| 未知设备 + 已知位置 | 需 MFA | 限制会话 | 阻断或 MFA + 限制访问 |
| 未知设备 + 未知位置 | 需 MFA | 阻断或限制会话 | 阻断 |
| 检测到不可能旅行 | 需 MFA | 阻断 + 告警 | 阻断 + 告警 + 调查 |
| 检测到受损凭证 | 阻断 + 强制重置 | 阻断 + 强制重置 | 阻断 + 强制重置 + 调查 |
### 特权访问最佳实践
1. **分离管理员账户**:管理员使用专用账户执行管理任务,避免使用日常账户。
2. **即时访问(JIT)**:特权权限仅在有限时间窗口内授予,随后自动撤销。
3. **最小权限(JEA)**:管理员仅拥有执行特定任务所需的最小权限。
4. **会话录制**:所有特权会话均被记录并可供审计。
5. **应急账户(Break-glass)**:紧急访问账户需安全存储并严格监控使用。
6. **无永久特权**:最优状态下无人拥有永久管理员权限,所有访问均请求并有时限。
## 9. 设备信任与合规
### 设备合规要求
定义设备访问资源前必须满足的最低要求:
| 要求 | 标准用户 | 特权用户 |
|------|----------|----------|
| 操作系统版本 | 在 2 个主要版本内 | 当前主要版本 |
| 操作系统补丁 | 30 天内应用 | 14 天内应用 |
| EDR 代理 | 已安装并上报 | 已安装、报告且无活跃威胁 |
| 磁盘加密 | 启用(BitLocker/FileVault) | 启用并托管恢复密钥 |
| 防火墙 | 已启用 | 已启用且规则受限 |
| 屏幕锁定 | 15 分钟 | 5 分钟 |
| Root/越狱 | 不允许 | 不允许 |
| 企业证书 | 必需 | 必需 |
### 设备信任决策流程
```
Device requests access
|
Is device enrolled in UEM/MDM?
/ \
YES NO
| |
Is device Is resource
compliant? low-sensitivity?
/ \ / \
Y N Y N
| | | |
Grant Quarantine Allow Block +
access + remediate limited require
auto access enrollment
```
## 10. 数据保护在零信任中
### 数据分类框架
| 级别 | 标签 | 示例 | 控制 |
|------|------|------|------|
| **公开** | 无限制 | 宣传资料、公共网站内容 | 无特殊控制 |
| **内部** | 内部使用 | 内部备忘录、非敏感业务数据 | 传输加密、访问日志 |
| **机密** | 机密 | 财务数据、HR 记录、客户 PII | 加密(静态+传输)、DLP、访问控制、审计日志 |
| **受限** | 高度受限 | CUI、PHI、PCI 数据、贸易秘密、法律存档 | 全程加密、严格访问控制、DLP、监控、保留策略 |
### 按分类的数据保护控制
| 控制 | 内部 | 机密 | 受限 |
|------|------|------|------|
| 静态加密 | 建议 | 必需 | 必需(FIPS 140-3) |
| 传输加密 | 必需 | 必需 | 必需(FIPS 140-3) |
| DLP 监控 | 可选 | 必需 | 必需 |
| 访问日志 | 必需 | 必需 | 必需 + 告警 |
| 数据脱敏 | 可选 | 建议 | 生产环境外必需 |
| 备份加密 | 必需 | 必需 | 必需 + 分离密钥 |
| 保留策略 | 明确 | 执行 | 执行 + 法律保留 |
| 外部共享限制 | 禁止未经批准 | 仅指定个人 | 禁止外部共享 |
## 11. 供应商评估框架
使用本评分卡对零信任技术供应商进行评估,每项 1–5 分。
| 类别 | 标准 | 权重 | 供应商 A | 供应商 B | 供应商 C |
|------|------|------|----------|----------|----------|
| **架构** | 云原生(非拼凑) | 10% | | | |
| **架构** | API 优先设计 | 5% | | | |
| **架构** | 支持混合(云 + 本地) | 10% | | | |
| **身份** | 与现有 IdP 集成 | 10% | | | |
| **身份** | 支持 FIDO2/无密码 | 5% | | | |
| **策略** | 细粒度、上下文感知策略 | 10% | | | |
| **策略** | 动态策略评估(非静态) | 5% | | | |
| **可见性** | 完整日志与分析 | 10% | | | |
| **可见性** | SIEM/SOAR 集成 | 5% | | | |
| **规模** | 在您的规模下性能良好 | 10% | | | |
| **规模** | 全球 PoP 覆盖(如有远程用户) | 5% | | | |
| **运维** | 部署复杂度 | 5% | | | |
| **运维** | 日常管理开销 | 5% | | | |
| **成本** | 3 年总拥有成本 | 5% | | | |
| **加权总分** | | 100% | | | |
### 向每个供应商提问的问题
. 在与云控制平面断开连接时,您的解决方案如何处理访问决策?
2. 典型工作流的用户体验延迟与额外步骤是多少?
3. 如何处理未管理设备(承包商、BYOD)?
4. 策略能否在本地、云和 SaaS 资源之间一致应用?
5. 迁移现有解决方案的路径是什么?能否并行运行?
6. 策略如何进行版本控制、测试与回滚?
7. 您持有哪些认证(SOC 2、FedRAMP、ISO 27001)?
## 12. 常见错误
### 1. 将零信任视为产品采购
零信任是一种架构策略,而非单一 SKU。购买“零信任盒子”而不解决身份、分割和数据保护,只能得到昂贵的 VPN 替代品。
### 2. 试图一口吃成胖子
同时实施所有五大支柱会导致项目停滞。应从身份(最高 ROI)开始,逐步扩展。
### 3. 忽视用户体验
如果零信任显著增加用户摩擦,他们会寻找绕过方式(影子 IT、共享凭证)。设计时应尽量减少摩擦。
### 4. 忽略服务账户
组织对所有人启用 MFA,但服务账户仍使用静态密码和过度权限。服务账户也需要零信任:工作负载身份、基于证书的身份认证和即时访问。
### 5. 在实施控制前缺乏可见性
在能够对资源实施控制之前,必须先发现它们。资产发现、数据流映射和流量基线是策略执行的前提。
### 6. 认为上云即等于零信任
迁移到云端并不会自动带来零信任。云环境仍需身份控制、分割、数据保护和监控。
### 7. 忽视运营技术(OT)
许多零信任计划止步于 IT 边界。若存在 OT/ICS 系统(制造、楼宇管理、医疗设备),它们也需要分割与监控。
## 13. 衡量成功
### 关键绩效指标(KPI)
| KPI | 测量方式 | 目标 |
|------|----------|------|
| MFA 覆盖率 | 启用 MFA 的账户比例 | 100% |
| 平均检测时间(MTTD) | 从妥协到检测的平均时间 | < 24 小时 |
| 平均响应时间(MTTC) | 从检测到遏制的时间 | < 4 小时 |
| 横向移动成功率 | 红队/渗透测试指标 | 0%(攻击者无法在段间移动) |
| 钓鱼点击率 | 模拟钓鱼演练 | < 3% |
| 未注册设备访问 | 来自非注册设备的访问占比 | < 5% |
| 补丁合规率 | 在 SLA 内打补丁的系统比例 | > 95% |
| 特权会话录制率 | 已录制管理的会话比例 | 100% |
| 数据分类覆盖率 | 已分类的数据存储比例 | > 90% |
| 策略例外数 | 零信任策略的例外数量 | 呈下降趋势 |
### 季度审查清单
- [ ] 更新所有五个支柱的成熟度评分
- [ ] 审查并减少策略例外
- [ ] 验证 MFA 覆盖率(含新应用与用户)
- [ ] 通过桌面演练测试条件访问策略
- [ ] 审查访问日志中的异常
- [ ] 更新资产清单
- [ ] 验证分段规则(通过网络扫描)
- [ ] 测试应急账户流程
- [ ] 审查供应商路线图与新能力
## 专业 IT 安全服务
需要专业支持来实施零信任架构?**Petronella Technology Group** 提供:
- [托管 IT 服务](https://petronellatech.com/managed-it-services/) — 24/7 监控与管理
- [网络安全评估](https://petronellatech.com/cybersecurity-assessment/) — 综合安全审计
- [网络安全](https://petronellatech.com/cybersecurity/network-security/) — 防火墙、IDS/IPS、分段
- [AI 驱动安全](https://petronellatech.com/ai/ai-services/) — 下一代威胁检测
**Petronella Technology Group** 是位于北卡罗来纳州罗利的 CMMC-RP 认证网络安全公司。[联系我们](https://petronellatech.com/contact-us/) 或致电 (919) 348-4912。
## 关于
由 [Petronella Technology Group](https://petronellatech.com) 创建,这是一家位于北卡罗来纳州罗利的网络安全与托管 IT 服务公司。我们为各规模企业设计并实施零信任架构,涵盖从初始评估到全面部署的全过程。
CMMC-RP 认证 | 自 2003 年起 BBB A+ | 23 年以上网络安全经验
联系:**(919) 348-4912** | [petronellatech.com/contact-us](https://petronellatech.com/contact-us/)
### 相关资源
- [CMMC 合规指南](https://petronellatech.com/compliance/cmmc-compliance-guide/)
- [网络安全服务](https://petronellatech.com/cyber-security/)
- [虚拟 CISO](https://petronellatech.com/solutions/vciso/)
- [紧急 IT 支持](https://petronellatech.com/contact-us/emergency-room/)
- [免费安全评估](https://petronellatech.com/contact-us/)
## 许可证
MIT License — 详见 [LICENSE](LICENSE)。
标签:IT安全指南, NIST SP 800-207, SEO, Streamlit, 云迁移安全, 传统边界安全, 供应商评估框架, 供应链攻击防护, 城堡与护城河, 子域枚举, 安全架构策略, 微分段, 持续验证, 横向移动防护, 网络分段, 联邦政府零信任, 设备认证, 访问控制, 身份安全, 远程办公安全, 零信任原则, 零信任安全, 零信任实施指南, 零信任成熟度模型, 零信任架构