【技术跟踪】CISA发布了零信任成熟度模型第2版，关键改进对比抢先看

4月11日，美国网络安全和基础设施安全局（CISA）发布了零信任成熟度模型第2版，纳入了公众意见征询期的建议，并进一步推动了联邦政府在网络安全零信任方法方面的持续进展，以支持国家网络安全战略。虽然零信任成熟度模型专门针对联邦机构，但所有组织都应查看本指南，并采取措施推进其向零信任模型的进展。

零信任是一种对数据、网络和基础设施的访问保持在最低要求范围内的方法，并且必须不断验证该访问的合法性。认识到组织从不同的起点开始其零信任体系结构之旅，零信任成熟度模型的更新包括一个名为“初始”的新成熟度阶段，可用作识别每个支柱成熟度的指南。在成熟度的所有四个阶段（传统、初始、高级和最佳），CISA 还添加了几个新功能并更新了现有功能，以便在组织规划和决策零信任架构实施时考虑。

“CISA一直专注于指导处于不同阶段的机构，因为他们实施零信任架构，”CISA网络安全技术总监Chris Butera说。“作为众多路线图之一，更新后的模型将引导机构通过有条不紊的过程，并过渡到更高的零信任成熟度。虽然适用于联邦民事机构，但所有组织都会发现这种模型有利于审查和使用来实施自己的架构。

更新的成熟度模型提供了跨五个不同支柱的实施梯度，以促进实施，允许机构随着时间的推移在优化零信任架构方面取得微小进展。零信任成熟度模型的五个支柱是：身份、设备、网络、应用程序和负载以及数据。

相关文件的下载地址：

零信任成熟度模型（2.0版） Zero Trust Maturity Model Version 2.0 (cisa.gov)

零信任程度模型草案（1.0版）CISA Zero Trust Maturity Model

零信任成熟度模型意见响应Zero Trust Maturity Model Response to Comments (cisa.gov)

初步的对比分析：

CISA将零信任成熟模式主要围绕零信任的5大支柱（即：身份、设备、网络、应用程序和负载以及数据）展开。

对比分析1.0版本和2.0版本，整体结构修改不大，最主要的修改是1.0版中，根据技术成熟度分为传统、先进和最佳三个等级。在2.0版中，将成熟度分为传统、初始、高级和最佳4个等级，并且添加和更新了相应的功能。

下图是1.0版本中的每个成熟的阶段达到的能力水平。

下图是2.0版本中的每个成熟的阶段达到的能力水平，从图中可以看出来，不但分成了4个阶段，每个支柱的功能小项也做了较大的改动。