此内容已使用自动机器翻译服务进行翻译,仅供您参考及阅读便利。其中可能包含错误、遗漏,或与原始英文版本存在理解方面的细微差别。如有疑问,请参考原始英文版本。
几十年来,美国国家标准与技术研究院 (NIST)一直通过其计算机安全资源中心的许多出版物指导行业的努力。从 2020 年发布的《NIST SP 800-207:Zero Trust 架构》开始,NIST 发布了一系列出版物,在 Zero Trust 架构的采用方面发挥了特别重要的作用。
NIST 本系列中的另一个特别出版物 SP 1800-35 ,标题为《实施 Zero Trust 架构(ZTA)》,旨在提供在各种环境中部署 ZTA 的实用步骤和最佳实践。NIST 有关 ZTA 的出版物在行业中极具影响力,但通常内容冗长且过于详细,因此本博客对 NIST 有关 ZTA 的最新指南提供了简短易读的摘要。
因此,我们在本篇博客文章中提到:
我们总结了这个新的 NIST 出版物的关键项目,其中介绍了Zero Trust 架构 (ZTA)的参考架构,以及一系列“构建版本”,用于演示如何组合来自不同供应商的不同产品来构建 ZTA 以便符合参考架构的要求
我们将展示 Cloudflare 的 Zero Trust 产品套件 如何与其他供应商的产品集成,以支持与 NIST 参考架构对应的 Zero Trust 架构。
我们强调 Cloudflare Zero Trust 平台的几个关键功能,这些功能对于寻求遵守 NIST 的 ZTA 参考架构(包括 FedRAMP 和新的后量子密码学标准)的客户特别有价值。
让我们深入了解 NIST 的特别出版物!
SP 1800-35 概述
在SP 1800-35中,NIST 提醒我们:
Zero Trust 架构 (ZTA) 为基于组织定义的访问策略的混合劳动力队伍和合作伙伴实现对资产的安全授权访问,包括资产——机器、应用程序和服务,以及相关的数据和资源——无论是在本地还是在云中。
NIST 使用术语 Subject 来指代实体(即员工、开发人员、设备),以支持各种资源的访问(即计算机、数据库、服务器、应用程序)。SP 1800-35 专注于开发和演示允许主体访问资源的各种 ZTA 实现。具体来说,SP 1800-35 中的参考架构主要着眼于 EIG(“增强身份治理”),这是实现 Zero Trust 架构的一种特定方法,NIST 在 SP 800-207 中定义如下:
对于[EIG]方法,企业资源访问策略基于身份和分配的属性。
来源访问的主要要求取决于授予给定主题的访问权限。使用的设备、资产状态和环境因素等其他因素可能会改变最终的置信度计算……或者以某种方式定制结果,例如根据网络位置仅授予对给定[资源]的部分访问权限。
单个资源或[策略执行点 (PEP)] 必须具备某种方式,对主题转发请求到策略引擎服务或进行身份验证,并在授予访问权限之前批准请求。
虽然原始 NIST SP 800-207 中提到了 ZTA 的其他方法,但由于 SP 1800-35 主要关注 EIG,我们在此省略这些方法。
从 SP 1800-35 开始的 ZTA 参考架构专注于 EIG 方法,作为一组逻辑组件,如下图所示。参考架构中的每个组件不一定直接对应于物理(硬件或软件)组件或由单个供应商销售的产品,而是对应于组件的逻辑功能。
图 1:通用 ZTA 参考架构。来源:NIST,专题出版物 1800-35, "实施 Zero Trust 架构(ZTA)”,2025 年。
参考架构中的逻辑组件都与策略的实施有关。策略对于 ZTA 至关重要,因为 ZTA 的重点是应用策略来确定谁、何时和在什么条件下可以访问什么内容。
该参考架构的核心组成部分如下:
|策略执行点(PEP) | PEP 保护托管企业资源的“信任区域”,并处理启用、监控和最终终止主体和资源之间的连接。您可以将 PEP 视为支持主体对资源访问权限的数据平面。
PDP 基于来自策略信息点 (PIP) 的输入进行操作,这些点是向策略决策点 (PDP) 提供关键数据和策略规则的支持组件。
要么爬,要么跑,但不要走
接下来,SP 1800-35 介绍了两个更详细的参考架构,即“爬取阶段”和“运行阶段”。“运行阶段”对应于上图所示的参考架构。“爬取阶段”是此参考架构的简化版本,仅保护本地资源,而忽略了云资源。这两个阶段的重点都是我们在上文中定义的 ZTA 的增强身份治理方法。NIST 表示,“我们将跳过 EIG 遍历阶段,直接进入运行阶段”。
SP 1800-35 然后提供了一系列详细说明(称为“构建”),展示如何使用不同供应商提供的产品实施“爬取阶段”和“运行阶段”参考架构。
由于 Cloudflare 的 Zero Trust 平台原生支持对云和本地资源的访问,我们将跳过“爬取阶段”,直接展示 Cloudflare 的 Zero Trust 平台如何用于支持参考架构的“运行阶段”。
使用 Cloudflare 及集成的完整 Zero Trust 架构
NIST SP 1800-35 中的任何内容都不代表对特定供应商技术的认可。相反,该出版物的目的是提供一个通用的架构,无论组织选择部署的技术或供应商如何,这个架构都适用。它还包括使用来自不同供应商的各种技术的一系列“构建”,以允许组织实现 ZTA。本节描述 Cloudflare 如何与 ZTA 契合,使您能够加速 ZTA 部署,从“抓取”直接加速到“运行”。
关于 SP 1800-35 中的“版本”,本部分可以视为以下三个特定版本的聚合:
Enterprise 1 Build 3 (E1B3):以 Cloudflare 作为策略引擎 (PE) 的软件定义边界 (SDP)。
Enterprise 2 Build 4(E2B4):SDP 和 安全访问服务边缘(SASE),采用 Cloudflare 安全 Web 网关、Cloudflare Zero Trust 网络访问(ZTNA) 和 Cloudflare 云访问安全代理作为 PE。
Enterprise 3 Build 5 (E3B5):SDP 和 SASE,使用 Microsoft Entra 条件访问(以前称为 Azure AD 条件访问)和 Cloudflare Zero Trust 作为 PE。
现在,让我们看看如何将 Cloudflare Zero Trust 平台映射到 ZTA 参考架构:
图 2:对应到 Cloudflare Zero Trust 和密钥集成的通用 ZTA 参考架构。来源:NIST,特别出版物 1800-35,“实施 Zero Trust 架构(ZTA)”,2025 年,经 Cloudflare 修改。
Cloudflare 的平台通过我们的全球 anycast 网络提供 PEP,通过我们的软件即服务 (SaaS) 管理控制台(也作为全球统一的控制平面)提供 PDP,从而简化了复杂性。完整的 ZTA 涉及将 Cloudflare 与其他供应商提供的 PIP 集成,如上图所示。
现在我们来看看图中的几个关键点。
图形右下角是资源,它们可能位于本地,私有数据中心或多个云环境中。可以通过 Cloudflare Tunnel(如图所示)或 Magic WAN(未显示)在 Cloudflare 的全球 anycast 网络上安全地访问资源。资源被放置在 Cloudflare Access 和 Cloudflare Gateway 之后,从而避免直接暴露于公共互联网。Cloudflare Access 和 Cloudflare Gateway 是通过向符合策略要求的主体授予访问权限来执行零信任原则的 PEP。
图的左下角是需要访问资源的主体,包括人类和非人类。通过 Cloudflare 的平台,主体可以通过多种方式再次访问资源,包括:
无代理,允许最终用户直接从其 Web 浏览器 访问资源。另外,Cloudflare 的 Magic WAN 可用于支持通过 IPsec 隧道、GRE 隧道 或 Cloudflare Network Interconnect(CNI) 从企业网络直接连接到 Cloudflare 的全球 Anycast 网络。
基于代理的方法使用 Cloudflare 的轻量级WARP 客户端,通过安全、私密地向 Cloudflare 全球网络发送流量来保护企业设备。
现在我们来看看策略执行点 (PEP),它是我们 ZTA 的数据平面。Cloudflare Access 是一个现代化的Zero Trust 网络访问解决方案,可充当动态 PEP,基于身份、设备态势、上下文和其他因素来执行用户特定的应用程序访问策略。Cloudflare Gateway 是一个安全的 Web Gateway,用于过滤和检查发送到公共互联网的流量,作为动态 PEP,提供 DNS、HTTP 和网络流量过滤、DNS 解析器策略和出口 IP 策略。
Cloudflare Access 和 Cloudflare Gateway 都依赖于 Cloudflare 的控制平面,后者充当提供策略引擎 (PE) 和策略管理员 (PA) 的 PDP。该 PDP 从与其他 ICAM、端点安全和安全分析供应商集成提供的 PIP 中获取输入。让我们深入了解其中一些集成。
ICAM:Cloudflare 的控制平面与许多提供单点登录(SSO)和多因素身份验证(MFA)的 ICAM 提供商集成。ICAM 提供者使用安全断言标记语言 (SAML)或OpenID Connect (OIDC)集成,对人类主题进行身份验证,并将有关已验证用户和群组的信息传递回 Cloudflare 的控制平面。Cloudflare 的 ICAM 集成还支持 AI/ML 支持的基于行为的用户风险评分、交换和重新评估。在上图中,我们将 Okta 描述为 ICAM 提供商,但 Cloudflare 支持许多其他 ICAM 供应商(例如Microsoft Entra,Jumpcloud,GitHub SSO,PingOne)。对于非人类主体——如服务账户、物联网 (IoT) 设备或机器身份——可以通过证书、服务令牌或其他加密方法来执行身份验证。
端点安全:Cloudflare 的控制平面与许多端点安全提供商集成以交换信号,例如设备态势检查和用户风险级别。Cloudflare 通过与端点检测和响应 EDR/EPP 解决方案(例如 CrowdStrike、Microsoft、SentinelOne 和 more 等)集成来实现这一点。当启用这些供应商之一(例如 Microsoft)的态势检查后,设备状态更改(“不合规”)可以发送到 Cloudflare Zero Trust,自动限制对资源的访问。此外,Cloudflare Zero Trust 能够同步Microsoft Entra ID 风险用户列表,并对风险较高的用户应用更严格的 Zero Trust 策略。
安全分析: Cloudflare 的控制平面集成了实时日志记录与分析,以实现持续监控。Cloudflare 自己的分析和日志记录功能监控访问请求和安全事件。也可以选择使用 Cloudflare 的 Logpush 集成,将这些事件发送到安全信息和事件管理 (SIEM) 解决方案,例如 CrowdStrike、Datadog、IBM QRadar、Microsoft Sentinel、New Relic、Splunk 等。Cloudflare 的用户风险评分系统是基于OpenID 共享信号框架(SSF)规范构建的,该规范允许与支持该标准的现有和未来提供商进行集成。SSF 专注于安全事件令牌(SET)的交换,这是一种特殊的 JSON 网络令牌(JWT)。通过使用 SET,服务提供商可以共享用户风险信息,从而创建一个实时、共享的安全情报网络。在 NIST 的 Zero Trust 架构中,该系统充当 PIP,负责收集有关主体及其上下文的信息,例如风险分数、设备态势或威胁情报。这些信息随后会提供给 PDP,PDP 会评估访问请求并确定适当的策略操作。PEP 利用这些决策允许或拒绝访问,完成安全动态访问控制的循环。
数据安全:Cloudflare 的 Zero Trust 解决方案为传输中数据、使用中数据和静态数据提供强大的数据安全能力。其数据丢失防护 (DLP)通过检查和阻止未经授权的数据移动来保护传输中的敏感信息。远程浏览器隔离(RBI)通过防止恶意软件、网络钓鱼和未经授权的泄露,在实现安全的 Web 访问的同时,保护使用中的数据。同时,云访问安全代理(CASB)通过对 SaaS 应用程序实施精细化控制来防止未经授权的访问和数据泄漏,从而确保静态数据的安全性。这些功能共同为在云优先环境中运营的现代企业提供全面的保护。
通过利用 Cloudflare 的 Zero Trust 平台,企业可以简化和增强其 ZTA 实施,保护各种环境和端点,同时确保可扩展性和易于部署。这种方法确保所有访问请求(无论主体或资源位于何处)都遵守强大的安全策略,从而降低风险并改善对现代安全标准的合规性。
为迈向 Zero Trust 架构的机构和企业提供支持
Cloudflare 与多家企业以及依赖 NIST 指南来保护其网络的联邦和州机构合作。因此,我们绕个弯路,描述 Cloudflare Zero Trust 平台的一些我们发现对这些企业有价值的独特功能。
数据中心。许多政府机构和商业企业都有 FedRAMP 要求,Cloudflare 能够很好地支持他们。FedRAMP 的要求有时要求组织在自己的网络边界内自行托管软件和服务,这可能导致延迟增加、性能下降和成本增加。Cloudflare 采取不同的方法。组织可以受益于 Cloudflare 的全球网络和无与伦比的性能,同时保持 Fedramp 合规性。为了支持 FedRAMP 客户,Cloudflare 的数据平面(也称为我们的 PEP 或策略执行点)由遍布 330 多个城市的数据中心和 32 个 FedRAMP 数据中心组成,当需要进行敏感的数据平面操作时(例如,TLS 检查)。这种架构意味着我们的客户不需要自行托管 PEP 并避免遭受相关成本、延迟和性能下降。
后量子加密技术。NIST 宣布,到 2030 年,必须弃用所有传统加密技术(RSA 和 ECDSA)并升级为后量子加密技术。但是,升级加密技术并非易事,需要时间,因此 Cloudflare 的目标是为我们的客户管理加密升级。正因如此,组织可以通过 Cloudflare 的 Zero Trust 平台为其企业网络流量提供隧道传输,保护其免受量子对手的攻击,而无需逐一升级每个企业应用、系统或网络连接。端到端量子安全性可通过 Web 浏览器(目前)或 Cloudflare 的 WARP 设备客户端(2025 年中)从最终用户设备的通信获得,保护与 Cloudflare Tunnel 连接的应用程序。
使用 Cloudflare 实现 Zero Trust 架构
NIST 的最新出版物 SP 1800-35 提供了一种结构化的方法来实施 Zero Trust,强调了策略实施、持续身份验证和安全访问管理的重要性。Cloudflare 的 Zero Trust 平台简化了这一复杂的框架,提供可扩展的全球分布式解决方案,该解决方案符合 FedRAMP 标准,并与 Okta、Microsoft、Ping、CrowdStrike 和 SentinelOne 等行业领先的提供商集成,确保提供全面保护。
Cloudflare Zero Trust 解决方案的一个关键优势是我们的全球 anycast 网络,这是世界上规模最大、互连程度最高的网络之一。该网络覆盖 120+ 国家/地区的 330+ 城市,为 Zero Trust 策略执行提供无与伦比的性能、韧性和可扩展性,不会对最终用户体验产生负面影响。通过利用 Cloudflare 的网络级安全控制执行,组织可以确保访问控制、数据保护和安全分析以互联网的速度运行,无需通过集中式阻塞点回传流量。这种架构支持低延迟、高可用性的安全策略执行,使企业能够跨本地、云和混合环境无缝保护用户、设备和应用。
我们立即采取行动。利用符合 NIST 参考架构的 Cloudflare 平台,您今天就可以开始实施 Zero Trust。无论是开始 Zero Trust 之旅,还是增强现有框架,Cloudflare 都能提供工具、网络和集成,帮助您取得成功。注册 Cloudflare Zero Trust,探索我们的集成,通过现代、全球分布式的网络安全方法保护您的组织。