Zero Trust megvalósítási irányelvei
Az NSA által publikált Zero Trust Implementation Guidelines egy részletes, többfázisú implementációs keretrendszer, amely gyakorlati szinten ismerteti a Zero Trust Architecture megvalósítását az amerikai védelmi és nemzetbiztonsági környezetben. Az irányelv nem új Zero Trust-modellt definiál, hanem a meglévő National Security Agency, CISA és National Institute of Standards and Technology ajánlásokat fordítja át konkrét implementációs lépésekre.
A program alapja a DoD Zero Trust Framework, amelyet az NSA öt implementációs fázisra bontott. A Discovery szakasz célja a teljes környezeti felderítés, DAAS (Data, Assets, Applications, Services), identitások, endpointok, non-person entity-k, hálózati kapcsolatok és jogosultsági minták feltérképezése. Ez gyakorlatilag egy teljes visibility és asset intelligence réteg kialakítását jelenti.
A Phase One már a secure baseline kialakítására koncentrál. Ebben a szakaszban történik a minimális jogosultság, MFA, device trust, identity governance, mikro-szegmentáció és policy enforcement alaprétegeinek bevezetése. Az NSA itt külön hangsúlyozza, hogy a Zero Trust nem hálózati projekt, hanem identitás-, adat- és policy-központú architektúra.
A Phase Two jelenti az integrált ZT működés kezdetét. Itt jelennek meg a folyamatos policy decision pointok, policy enforcement pointok, dinamikus hozzáférés-ellenőrzések, workload-to-workload trust modellek, automatizált compliance-ellenőrzések és telemetria-alapú adaptív hozzáférési döntések. A dokumentáció több mint 90 Target-level aktivitást és 42 capability-t fed le.
A ZIG egyik legfontosabb eleme a modularitás. Az NSA explicit módon kimondja, hogy a fázisok nem szigorúan szekvenciálisak, a szervezetek saját fenyegetési modelljük, technológiai érettségük és működési környezetük alapján választhatnak capability-ket. Ez különösen fontos OT, ICS, classified network és hybrid cloud környezetekben.
Az irányelv mély technikai hangsúlyt helyeznek a folyamatos hitelesítésre, session-validációra, workload identity kezelésre, machine-to-machine trustre, valamint a telemetria-alapú policy automatizációra. Az NSA szerint a klasszikus login utáni implicit trust modell megszűnt, minden tranzakciót és hozzáférést újra kell értékelni kontextuális attribútumok alapján.
