美國國家安全局 (NSA) 上週發布了零信任實施指南 (ZIG) 的兩個階段，旨在概述實現美國戰爭部 (DoW) 定義的零信任 (ZT) 目標成熟度所需的各項活動。這些指南借鑒了美國國家標準與技術研究院 (NIST) 和美國戰爭部發布的指導意見，以幫助美國戰爭部、國防工業基地 (DIB)、國家安全局 (NSS) 及其附屬機構將零信任原則融入其流程，從而實現零信任目標成熟度。

目前的零信任指導原則（ZIG）包括一份入門指南和三份零信任技術（ZT）實施指南（探索階段、第一階段和第二階段），以在幫助熟練的從業人員採用和整合零信任技術目標級能力（42）和目標級活動（91）。第三階段和第四階段的零信任指導原則可能會在稍後制定。這些指南提供了一個模組化結構，遵循美國能源部零信任技術框架的支柱、能力和活動，並以美國國家標準與技術研究院（NIST）SP 800-207為指導。

這些文件旨在為正在規劃或已實施零信任架構的組織提供支持，同時闡明根據美國國防部首席資訊長零信任框架達到目標零信任成熟度所需的能力。第一階段詳細介紹了組織可用於建置或進一步完善其環境的 36 項活動，以建立一個安全的基礎，從而支援該階段特有的 30 項零信任能力；第二階段詳細介紹了啟動核心零信任解決方案在組件環境中整合的 41 項活動，這些活動支持該階段特有的 34 項能力。

這兩個階段旨在透過規劃與活動相關的各項活動、需求、前置活動和後續活動，推動組織從探索階段過渡到目標階段的實施。 ZIG 的分階段設計具有模組化和高度可自訂性，可根據需要實施基礎性和進階性活動，並能夠根據獨特的目標和限制條件調整 ZIG。

美國國家安全局 (NSA) 指出，這份長達 368 頁的第一階段零信任指導文件 (ZIG) 旨在概述並直接關聯國防部 (DoD)、網路安全和基礎設施安全局 (CISA) 以及國家標準與技術研究院 (NIST) 的總體指導，以實現目標級零信任架構，尤其側重於第一階段已定義的活動和信任能力。第一階段 ZIG 概述了實施國防部零信任框架中定義的目標級零信任能力、活動和預期成果所需的方向、步驟、技術和流程。

發現階段零信任指南 (ZIG) 著重於收集元件環境的詳細信息，包括資料、資產、應用程式、服務、使用者和端點。在此基礎上，第一階段 ZIG 將進一步完善和強化這些環境，以建立支援零信任功能所需的安全基準，第二階段標誌著開始在元件環境中整合不同的零信任基礎解決方案。

該機構闡述了國防部零信任架構如何與零信任實施指南在零信任的各個階段（探索階段、第一階段至第四階段）、成熟度等級（目標層級和高階）以及各文件中涉及的能力和活動保持一致。雖然零信任實施指南所使用的框架與美國國家安全局 (NSA) 先前發布的零信任網路安全資訊表 (CSI) 並不完全一致，但其基本原則仍然相同。 NSA 已意識到這一差距，並計劃在 2026 年更新 CSI，以更好地與零信任實施指南保持一致。

涵蓋高級成熟度等級（包括第三階段和第四階段）的指南可能會在稍後階段製定。

第一階段零信任實施指南（ZIG）細化並落實了美國國防部零信任框架中關於零信任架構實施的指導原則。它緊密遵循框架的結構，從支柱層面入手，並將已定義的能力和相關活動進一步分解為每個活動的清晰實施步驟。 ZIG 方法論將活動層面視為最低執行單元，為經驗豐富的實踐者提供了一個建構和客製化零信任實施方案的實用藍圖。每個活動都被分解為若干獨立的任務，這些任務又進一步轉化為與活動預期結果一致的推薦流程和行動。

在國防部零信任框架中，支柱和能力定義了零信任採用的“內容”和“原因”，而活動則解釋了該能力的重要性及其實施方式。零信任指南有意包含一些重複內容，以便每項能力和活動都能獨立成篇，成為完整的參考資料。所有縮寫均採用全稱拼寫，活動名稱則使用斜體，以提高清晰度、可見性和易用性。

這份長達416頁的第二階段零信任指導文件（ZIG）旨在概述並直接聯繫美國國防部、網路安全和基礎設施安全局（CISA）以及國家標準與技術研究院（NIST）關於實現目標級零信任架構的總體指導，特別是針對第二階段已定義的活動和能力。第二階段ZIG提供了切實可行的方向和指導，概述了實施相關技術和流程所需的步驟，這些技術和流程能夠實現美國國防部零信任框架中定義的目標級零信任能力、活動和預期成果。

前兩個階段的ZIG（探索階段和第一階段）旨在培養熟練的從業人員，以便實施和整合第二階段引入的各項活動。探索階段的ZIG著重於收集有關組織環境的信息，包括DAAS、使用者、PE（潛在事件）和非PE（非潛在事件）。

第一階段的活動建立在這些環境的基礎上，並對其進行完善，以建立支持零信任能力的安全基礎，第二階段的活動標誌著向在元件環境中整合不同的零信任基礎解決方案的過渡。該機構還闡述了國防部零信任框架與零信任指南在各個零信任階段（探索階段至第四階段）、成熟度等級（目標級和高級）以及各文件中涉及的能力和活動之間的一致性。

第二階段零信任指南（ZIG）完善了美國戰爭部零信任架構（Defense of War ZT Framework）為零信任技術應用（ZTA）實施所提供的指導。它緊密遵循陶氏零信任框架的結構，從支柱層面開始。陶氏零信任架構定義了能力及其相關活動，並將這些能力和活動進一步細分為每個活動的實施流程。 ZIG 方法論以框架的活動層面為最低層級，指導經驗豐富的從業人員建構和調整其實施方法。每個活動都由若干個獨立的任務組成，這些任務又進一步分解為建議的流程和行動，以實現該活動的目標。

資料來源：https://industrialcyber.co/zero-trust/nsa-publishes-zero-trust-implementation-phases-to-guide-target-level-maturity-aligned-with-dod-nist-guidance/