2024年4月11日，美国网络安全与基础设施安全局（CISA）发布第二版《零信任成熟度模型》，对跨多个关键支柱（身份、设备、网络、应用和工作负载、数据）的联邦机构实施指南进行了更新，以协助联邦机构制定零信任战略和实施计划。该模型通过跨网络检查点持续验证用户凭证，防止对政府数据及服务的未经授权或危险访问。

CISA根据前期向社会征求的意见，在新版《零信任成熟度模型》中添加了“初始”阶段成熟度，将成熟度阶段共分为传统、初始、高级、最佳四个阶段。新的版本不再是一个临时解决方案，可持续支持联邦机构设计和实施其零信任计划，并与白宫管理与预算办公室的“推动美国政府走向零信任网络安全原则”保持了一致。

新版《零信任成熟度模型》包含五大支柱，分别为身份、设备、网络、应用和工作负载、数据。CISA针对五大支柱的具体要求进行了修改，并对各大支柱进行了扩充。

（1）身份：在身份认证中增加了“抗网络钓鱼多因素身份认证（MFA）”的额外细节；增强了身份存储的灵活性，强调了跨自我管理和托管身份存储的集成；以及为特定访问增加新的访问管理功能。

（2）设备：更新了策略执行和合规功能，以解决软件和配置管理；修订了自动化、编排和管理，以实现设备停用或措施不完善时的补救；增加了设备威胁防护功能，实现集中安全管理。

（3）网络：修改网络分段功能，提倡基于应用的微隔离；增加网络流量管理功能和网络弹性功能；进一步修订支柱，将原始威胁防护功能的元素纳入可见性和分析；扩展了流量加密功能。

（4）应用和工作负载：更新了应用访问功能，以合并上下文信息、强制过期条件并拥护最小特权原则；修订了应用威胁防护和应用安全测试，将保护集成到应用工作流中，以便在整个软件开发生命周期中开展实时可见性和安全性测试；合并了新的安全应用开发和部署工作流功能，以规范代码部署，限制对生产环境的访问，并促进向不可变工作负载的迁移；重新命名和修订了应用辅助功能，以便在公共网络上将应用提供给授权用户时，符合白宫管理与预算办公室的规定。

（5）数据：扩展数据加密功能，支持跨企业数据加密，使密钥管理策略正规化；修改了数据目录管理，增加了数据分类功能，以解决目录和可理解的数据类型的成熟度；增加数据可用性功能，优化可用性，强调对历史数据的访问。

信息来源：

https://www.cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model

https://www.cisa.gov/sites/default/files/2023-04/CISA_Zero_Trust_Maturity_Model_Version_2_508c.pdf

https://mp.weixin.qq.com/s/yyRTGz19IzUCD8lhFYYC8w