网络安全架构|《零信任架构》NIST标准草案（下）

一、前言

本文介绍的是2019年9月发布的NIST《零信任架构》标准草案（《NIST.SP.800-207-draft-Zero Trust Architecture》）。其公开评论的时间是2019年9月23日至2019年11月22日。本文档的价值，不言而喻。

其目录如下：

• 摘要
• 1.介绍
• 2.零信任网络架构
• 3.零信任体系架构的逻辑组件
• 4.部署场景/用例
• 5.与零信任架构相关的威胁（下篇自此开始）
• 6.零信任架构与现有联邦指南
• 7.迁移到零信任架构
• 附录A：缩略语
• 附录B：识别ZTA当前技术水平的差距（下篇到此结束）

笔者仍然按照顺序进行介绍，分为三篇（每篇控制在一万字内）：

• 上篇参见《网络安全架构|《零信任架构》NIST标准草案（上）》；
• 中篇参见《网络安全架构|《零信任架构》NIST标准草案（中）》；
• 这是下篇。

与零信任密切相关的其它重要资料包括：

• 2019年4月，ACT-IAC（美国技术委员会-工业咨询委员会）发布的《零信任网络安全当前趋势》（《Zero Trust Cybersecurity Current Trends》），参见《网络安全架构|零信任网络安全当前趋势（下）》。上、中、下的整合版可参见：“互联网安全内参”《深度剖析：零信任网络安全当前趋势》，或者“信息安全与通信保密杂志社”《网络安全架构：零信任网络安全当前趋势》。
• 2019年7月，美国国防部国防创新委员会（DIB，Defense Innovation Board）发布的DIB零信任架构白皮书（DIB Zero Trust White Paper）《零信任安全之路》（The Road to Zero Trust (Security)），参见《网络安全架构 | 零信任架构正在标准化》的第四节。

笔者有个想法：在腾出精力的时候，对上述资料进行一次整体性概述。

二、与零信任架构相关的威胁

任何企业都不能完全消除网络安全风险。当与现有的网络安全政策和指南、身份和访问管理、持续监测、一般的网络卫生共用时，ZTA可以减少整体风险暴露和保护共同威胁。不过，ZTA也存在一些独特的威胁风险。

1）ZTA决策过程的受损

在ZTA中，PE和PA组件是整个企业的关键组件。企业资源之间不会发生连接，除非经过PE和PA批准和可能的配置。这意味着必须正确配置和维护这些组件。任何具有PE规则的配置访问权限的企业管理员，都可以执行未经批准的更改（或误操作），这些更改可能会中断企业运行。同样，失陷的PA可能允许访问未经批准的资源（例如，受损的个人拥有设备）。

要缓解相关风险，必须正确配置和监控PE和PA组件，并且必须记录任何配置更改并接受审计。

2）拒绝服务或网络中断

在ZTA中，PA是资源访问的关键组件。未经PA的许可和可能的配置操作，企业资源不能相互连接。如果攻击者中断或拒绝对PEP或PA的访问（即拒绝服务攻击），则可能对企业操作造成不利影响。

大多数企业可通过将策略强制驻留在云中或按照网络弹性指南在多个位置备份，来缓解此威胁。

3）内部威胁

正确实施ZTA策略、信息安全和弹性策略、最佳实践，可以降低内部攻击的风险。ZTA确实可以防止失陷的账户或系统，访问其正常权限之外或正常访问模式之外的资源。为网络访问实施MFA还可以降低从失陷账户访问的风险。但是，与传统企业一样，具有有效凭证的攻击者（或恶意内部人员）可能仍然能够访问已授予账户访问权限的资源。

ZTA增强了对该攻击的抵抗力，并防止任何失陷的账户或系统在整个网络中横向移动。此外，上下文TA比传统网络更容易检测到此类攻击并快速响应。上下文TA可以检测出超出正常行为的访问模式，并拒绝失陷账户（或内部威胁）访问敏感资源。

4）网络可见性

ZTA需要检查并记录网络上的所有流量，并对其进行分析，以识别和应对针对企业的潜在攻击。然而，如前所述，企业网络上的一些（可能是大多数）流量对于网络分析工具来说可能是不透明的。此流量可能来自非企业所有的系统（例如，使用企业基础设施访问Internet的外包服务）或抗被动监视的应用程序。企业无法执行DPI或检查加密的通信，必须使用其他方法评估网络上可能的攻击者。

这并不意味着企业无法分析它在网络上看到的加密流量。企业可以收集有关加密流量的元数据，并使用这些元数据检测网络上可能存在的恶意软件通信或活动攻击者。机器学习技术可用于分析无法解密和检查的流量。采用这种类型的机器学习，将允许企业将流量分类为有效的，或可能恶意并需要补救的。在ZTA部署中，只需要检查来自非企业所有系统的流量，因为所有企业流量都经过了PA（通过PEP）的分析。

5）网络信息的存储

网络流量分析的一个相关威胁是分析组件本身。如果存储网络流量和元数据以进行进一步分析，则该数据将成为攻击者的目标。与网络拓扑、配置文件和其他各种网络架构文档一样，这些资源也应该受到保护。如果攻击者能够成功地访问存储的流量信息，则他们可能能够深入了解网络架构并识别资产以进行进一步的侦察和攻击。

ZT网络上攻击者的另一个侦察信息来源是用于编码访问策略的管理工具。与存储的通信流量一样，此组件包含对资源的访问策略，可以向攻击者提供最有价值的账户信息（例如，可以访问所需数据资源的账户）。

与所有有价值的企业数据一样，应提供足够的保护，以防止未经授权的访问和访问尝试。由于这些资源对安全至关重要，因此它们应该具有最严格的访问策略，并且只能从指定（或专用）管理员账户进行访问。

6）对专有数据格式的依赖

ZTA依赖多个不同的数据源来做出访问决策，包括关于请求用户的信息、使用的系统、企业和外部情报、威胁分析等。通常，用于存储和处理这些信息的系统在如何交互和交换信息方面没有一个通用的、开放的标准。与DoS攻击一样，这种风险并非ZTA独有，但由于ZTA严重依赖信息的动态访问（企业和服务提供商双方），中断可能会影响企业的核心业务功能。

为降低相关风险，企业应综合考虑供应商安全控制、企业转换成本、供应链风险管理等因素，对服务提供商进行评估。

7）ZTA管理中非个人实体（NPE）的使用

人工智能（AI）和其他基于软件的代理正在部署，以管理企业网络上的安全问题。这些组件需要与ZTA的管理组件（例如，PE、PA等）交互，有时代替了人工管理员。在实施ZTA策略的企业中，这些组件如何对自己进行身份验证是一个开放性问题。假设大多数自动化技术系统在使用到资源组件的一个API时，将使用某种方式进行身份验证。

相关的风险是，攻击者将能够诱导或强制NPE代理执行某些攻击者无权执行的任务。与人类用户相比，软件代理可能具有较低的认证标准（例如，API密钥与MFA），以执行管理或安全相关任务。还有一个潜在的风险是，攻击者可以在执行任务时访问到软件代理的凭证并模拟该代理。

三、零信任架构与现有联邦指南

有一些现有的联邦政策和指南，与ZTA战略的规划、部署和运行相交叉。当与现有的网络安全政策和指南、身份凭证和访问管理（ICAM）、持续监测、通用的网络卫生结合时，ZTA可以加强组织的安全姿态并防护共同威胁。

笔者说明：由于此节内容所涉及到的美国各种政策指南，具有美国政府的特定性，且与理解零信任关系不大，故只摘录简要内容。

1）ZTA和NIST风险管理框架

ZTA部署涉及围绕指定任务或业务流程的可接受风险，制定访问策略。必须识别、评估和缓解与执行给定任务相关的风险。为此，NIST制定了风险管理框架（RMF）。

ZTA的规划和实施可能会改变企业定义的授权边界。这是由于添加了新组件（例如，PE、PA和PEP）以及减少了对网络外围防御的依赖。RMF中描述的过程不会改变ZTA的网络安全策略。

2）ZTA和NIST隐私框架

隐私和数据保护包括在FISMA和HIPAA等合规计划中。而ZTA的核心要求之一是，企业应检查并记录其网络上的所有流量。这包括尽可能对通信量进行解密以启用检查。某些流量可能包含私人信息或具有相关的隐私风险。NIST隐私框架有助于开发一个正式的流程，以识别和缓解ZTA网络的任何隐私相关风险。

3）ZTA和联邦身份、凭证和访问管理架构（FICAM）

用户配置是ZTA的关键组成部分。如果PE没有足够的信息来标识关联的用户和资源，则PE无法决策尝试的连接是否应被授权连接到资源。在迁移到更为零信任的部署之前，需要制定强大的用户配置和身份验证策略。企业需要有一组清晰的用户属性和策略，PE可以使用这些属性和策略来评估访问请求。

由于ZTA严重依赖于精确的身份管理，任何ZTA的努力都需要与机构的ICAM政策相结合。

4）ZTA和可信Internet连接（TIC）

TIC是由OMB、DHS和总务管理局（GSA）联合管理的一项联邦网络安全计划，旨在建立整个联邦政府的网络安全基线。

TIC 3.0专注于基于网络的安全保护，而ZTA则是一个更具包容性的架构，用于解决应用程序、用户和数据保护问题。随着TIC 3.0用例的发展，很可能会开发一个ZTA TIC用例，来定义将在ZTA强制实施点部署的网络保护。

5）ZTA和EINSTEIN（NCPS-国家网络安全保护系统）

NCPS（又名EINSTEN（爱因斯坦））是一个集成的体系，提供入侵检测、高级分析、信息共享和入侵防御能力，以保护联邦政府免受网络威胁。NCPS的目标与零信任的首要目标一致，是管理网络风险，改进网络保护，并授权合作伙伴保护网络空间。

NCPS传感器的部署基于联邦政府的周界网络防御，而零信任架构使保护更接近数据和资源。如果整个联邦政府都采用ZTA，则NCPS的实施需要改进，或者需要部署新的能力来实现NCPS目标。

6）ZTA和持续诊断和缓解（CDM）计划

国土安全部CDM计划是一项旨在改善联邦机构IT安全状况的努力。这种态势的关键是，机构要洞察机构内的系统、配置和用户。

有一个强大的CDM计划是ZTA成功的关键。国土安全部CDM计划已经启动了几项工作，以建立联邦机构内所需的能力，从而转向ZTA战略。

7）ZTA、云智能和联邦数据战略

云智能6战略、更新的数据中心优化计划政策、联邦数据战略7等政策，要求机构清点和评估它们如何收集、存储和访问本地和云中的数据。

该清单对于确定哪些业务流程和资源将从实施ZTA中受益至关重要。主要基于云或主要由远程工作者使用的数据资源和应用程序，是ZTA方法的良好候选，因为用户和资源都位于企业网络周界之外。

四、迁移到零信任架构

实施ZTA战略是一个旅程，而非对基础设施或流程的大规模替换。组织应该逐步实现零信任原则、流程变更、保护其最高价值数据资产的技术解决方案。

企业如何迁移到ZTA战略，取决于其当前的网络安全态势和运行情况。企业应该达到一个能力基线，包括为企业识别和编目资产、用户和业务流程。企业在开发一系列ZTA候选业务流程和参与此流程的用户/系统之前，需要此信息。

1）纯零信任架构

可以从头开始构建一个零信任架构网络。假设企业知道所需使用的应用程序和工作流，那么它可以为这些工作流生成基于零信任策略原则的架构。一旦确定了工作流，企业就可以缩小所需组件的范围，并开始映射各个组件的交互方式。从这一点上讲，它是一个构建网络基础设施和配置组件的工程实践。

当然，组织的网络通常不会是新建的。然而，有时一个组织可能会被要求履行一项新的职责，这将需要建立它自己的网络基础设施。在这种情况下，有可能在某种程度上引入ZT概念。例如，一个机构可能被赋予一项新的职责，即建立一个新的应用程序和数据库。该机构可以围绕ZT原则，设计新需要的基础设施，例如在授予访问权限之前评估用户的信任，在新资源周围部署微周界等。

2）混合ZTA和传统架构

ZTA工作流与传统企业架构的共存，可能会有一段时间。企业向ZTA方法的迁移，可以采取一次迁移一个业务流程的方式。企业需要确保公共元素（例如ID管理、设备管理、事件日志等）足够灵活，以在ZTA和遗留混合安全架构中运行。企业架构师也可能希望将ZTA候选解决方案，限制为那些可以与现有组件接口连接的解决方案。

3）将ZTA引入传统架构网络的步骤

笔者说明：此小节内容是本篇中的关键，详述了在传统架构网络中采取渐进方式逐步引入零信任架构的“七步走”部署策略。

迁移到ZTA，需要组织对其资产（物理和虚拟）、用户、业务流程有详细的了解。当评估资源请求时，PE可以访问这些知识。不完整的知识，通常会导致业务流程失败，即PE由于信息不足而拒绝请求。

在努力把ZTA带到企业之前，应该对资产和用户进行调查。这是在ZTA部署之前应该达到的基础状态。这些调查可以并行进行，但都与对组织业务流程的检查有关。这些步骤可以映射到风险管理框架（RMF）中的步骤，因为向ZTA的任何转移，都可以看作是降低机构业务职能风险的过程。通往ZTA的路径如图12所示。

图12:ZTA部署周期

创建初始库存清单后，将会有定期的维护和更新周期。此更新可能会更改业务流程或不产生任何影响，但应进行业务流程评估。例如，数字证书提供商中的变更，可能看起来没有重大影响，但可能涉及证书根存储管理、证书透明日志监视和其他起初不大明显的因素。

3.1）识别企业中的参与者

为了ZTA网络的运行，PE必须具备企业主体的知识。“主体”包括人和可能的非人实体（NPE），例如与资源交互的服务账户。

具有特殊权限的用户（如开发人员或系统管理员），在被分配属性或角色时需要特别考虑。在传统的安全架构中，这些账户可能具有访问所有企业资源的总体权限。ZTA应该允许开发人员和管理员有足够的灵活性，来满足他们的业务需求，但同时要记录和审核行为。

3.2）识别企业拥有的资产

ZTA的关键要求之一是识别和管理企业自有设备的能力。ZTA还要求能够识别和监控可能在企业拥有的网络基础设施上或访问企业资源的非企业拥有的设备。管理企业资产的能力是ZTA成功部署的关键。这包括硬件组件（例如笔记本电脑、电话、物联网设备等）和数字化构件（例如用户账户、应用程序、数字证书等）。

这不仅仅是对企业资产数据库进行编目和维护。这还包括配置管理和监视。观察系统当前状态的能力，是评估访问请求过程的一部分。这意味着企业必须能够配置、调查和更新企业系统，包括虚拟系统、容器等。这还包括其物理位置（最佳估计）和网络位置。此信息应在做出资源访问决策时通知给PE。

非企业所有的资产也应尽可能地分类。这可能包括企业可见的任何内容（例如，MAC地址、网络位置），并通过管理员数据输入进行扩充。这些信息不仅用于访问决策（因为合作者和BOYD系统可能需要联系PEP），还用于企业的监控。

许多联邦机构已经开始了识别企业资产的任务。已经建立了CDM能力如硬件资产管理（HWAM）和软件资产管理（SWAM）的机构，在制定ZTA战略时有一套丰富的数据可供参考。各机构还可能有一份涉及高价值资产的ZTA候选流程清单，这些流程已被确定为机构任务的关键。

3.3）识别关键流程并评估与执行流程相关的风险

一个机构应该进行的第三项清查，是识别和排列该机构的业务流程（即任务）。业务流程应通知在何种情况下授予和拒绝资源访问请求。企业在第一次过渡到ZTA时可能希望从低风险的业务流程开始，因为中断可能不会对整个组织产生负面影响。一旦获得了足够的经验，就可以选择更关键的业务流程。

利用基于云的资源或由远程工作人员使用的业务流程，通常是ZTA的良好候选。这是因为客户端和资源不在企业范围内，这是ZTA相对于传统企业网络架构的主要优势之一。企业客户端可以直接请求云服务，而不是通过虚拟专用网（VPN）将企业边界投射到云中或将客户端带入企业网络。企业的PEP确保在将资源访问权授予客户机之前遵循企业策略。

3.4）为ZTA候选制定策略

识别候选应用程序或业务工作流的过程，取决于以下几个因素：流程对组织的重要性、受影响的用户组、工作流所用资源的当前状态。基于资产或工作流风险的资产或工作流的价值，可以使用NIST风险管理框架进行评估。

识别资产或工作流后，下一步是识别将受影响的用户集。这可能会影响作为第一次迁移到ZTA的候选者的选择。由企业用户的已识别子集（例如，采购系统）所使用的应用程序，可以优先于对企业的整个用户群至关重要的应用程序（例如，电子邮件）。

然后，企业管理员需要为候选业务流程中使用的资源，确定一组准则（如果使用基于准则的TA）或信任分数权重（如果使用基于分数的TA）。管理员可能需要在优化阶段对这些条件或值进行调整。这些调整是必要的，以确保策略有效，但又不妨碍对资源的必要访问。

3.5）确定候选解决方案

一旦开发了一系列候选业务流程，企业架构师就可以编写一系列候选解决方案。一些部署模型更适合于特定的工作流和当前的企业生态系统。而一些供应商解决方案比其他解决方案更适合于特定的用例。需要考虑的因素有：

• 解决方案是否要求在客户端系统上安装组件？这可能会对那些使用了非企业拥有系统（如BYOD或跨机构协作）的业务流程产生限制。
• 解决方案是否用于业务流程资源完全存在于企业内部的场景？一些解决方案假设请求的资源将驻留在云中（所谓的“南北”流量），而不是企业范围内（“东西”流量）。候选业务流程资源的位置，将影响到该流程的候选解决方案和ZTA。

一种解决方案是将现有业务流程建模为试点计划，而不仅仅是替换。这个试点计划可以通用化，以应用于多个业务流程或特定于一个用例。

3.6）初始部署和监测

一旦选择了候选工作流和ZTA组件，就可以开始初始部署。企业管理员必须使用选定的组件来实现已开发的策略，但首先可能希望使它们更为宽松。很少有企业策略集在第一次迭代中就是完整的：重要的用户账户（例如，管理员账户）可能被拒绝访问他们需要的资源，也可能不需要他们分配的所有访问特权。

新的ZT业务工作流可以在“仅报告模式”下运行一段时间，以确保策略的有效性和可操作性。“仅报告”意味着应为大多数请求授予访问权限，并且应将连接的日志和踪迹与最初制定的策略进行比较。基本策略，如拒绝掉MFA失败的请求或出现在已知黑名单IP地址中的请求，都应该强制执行并记录，但是在初始部署之后，访问策略应该更宽松些，以收集ZT工作流实际交互的数据。如果无法以更宽松的方式运行，企业网络运行人员应密切监视日志，并准备根据运行经验修改访问策略。

3.7）扩展ZTA

在工作流策略集获得足够的信任后，企业进入了稳定的运行阶段。在此阶段，企业管理员可以开始规划ZT部署的下一阶段。与上一次发布一样，需要确定候选工作流和解决方案集，并开发初始策略。

但是，如果工作流发生变更，则需要重新评估正在运行的ZT架构。对系统的重大变更，如新设备、软件（特别是ZT逻辑组件）的重大更新、组织结构的变化，都可能导致工作流或策略的变更。例如，购买了新设备，但没有创建新的用户账户，因此需要更新设备资源清单。

附录A：缩略语

（略）

附录B：识别ZTA当前技术水平的差距

对于零信任组件和解决方案的当前成熟度，在本文档的背景研究期间进行了调查。以下是ZTA生态系统和需要进一步调查的区域中识别出的差距的总结。

B.1 技术调查

多个供应商受邀展示了他们关于零信任的产品和观点。本次调查的目的是找出那些阻碍机构现在迁移到ZTA基础设施或维护现有ZTA部署的遗漏部分。这些差距可分类为即时部署（即时或短期）、影响维护或运行的系统性差距（短期或中期）、知识缺失（未来研究领域）。表B-1总结了这些内容：

表B-1：识别的差距汇总

B.2 阻碍立即转移至ZTA的差距

这些都是目前阻碍ZTA战略采用的问题。这些问题被归类为“立即的”问题，并没有考虑今后的维护或迁移。

1）缺乏ZTA设计、规划和采购的通用术语

业界还没有一套术语或概念来描述ZTA的组件和运行。这使得组织（如联邦机构）很难为设计ZTA基础设施和采购组件制定一致的要求和政策。

2）关于ZTA与现有联邦网络安全政策冲突的认知

有一种误解，ZTA是一个单一框架，带有一套解决方案，且与现有的网络安全观并不兼容。而实际上，零信任应该被视为当前网络安全战略的演变，因为许多概念和想法已经流传了很长时间。联邦机构已经被鼓励，通过现有的指南，采取更加零信任的方法，来解决网络安全问题。如果一个机构拥有成熟的ID管理系统和强大的CDM能力，那么它已经在通往ZTA战略的路上。这一差距其实是源于对ZTA的误解以及它是如何从以前的网络安全范式演变而来的。

B.3 影响ZTA的系统性差距

这些差距影响了ZTA战略的实施和部署，以及持续运营/成熟度。系统的差距是开放标准（由标准开发组织（SDO）或行业联盟制定）可以发挥助力的领域。

1）组件间接口的标准化

组件内部的互操作性问题，不仅发生在采购的时候，而且会随着时间推移。在更广泛的零信任生态系统（ZTE）中，组件的范围非常广泛，许多产品专注于ZTE内部的单个市场，并依赖于其他产品来向另一个组件提供数据或某些服务（例如，为资源访问而集成多因素认证（MFA））。

供应商常常依赖合作伙伴公司提供的专有API，而不是标准化的、独立于供应商的API来实现这种集成。这种方法的问题在于，这些API是专有的，由单个供应商控制。一旦供应商改变API的行为，将导致集成商需要更新他们的产品来响应。这进一步增加了供应商和消费者的负担：供应商需要花费资源对其产品进行变更，当一个供应商对其专有API进行变更时，消费者需要对多个产品应用更新。

2）解决过度依赖专有API的新兴标准

目前，有多种模式和解决方案，试图建立ZTA的领导权威。这表明有机会开发一套开放的、标准化的协议（或框架），以帮助组织迁移到ZTA战略。标准开发组织（SDO）如Internet工程任务组（IETF）已经指定了在交换威胁信息时可能有用的协议。云安全联盟（CSA）已经为软件定义边界（SDP）开发了一个框架，该框架可能在ZTA中也很有用。

B.4 ZTA的知识差距与未来研究方向

此节列出的差距，并不妨碍组织为其企业采用ZTA战略。这些是关于运行ZTA环境的知识的灰色区域。它们是未来研究人员的工作领域。

1）攻击者对ZTA的反击

对一个企业来说，一个正确实施的ZTA战略相对于传统的基于网络边界的安全而言，将改善其网络安全态势。ZTA的宗旨是减少对攻击者的资源暴露，并在主机系统失陷时最小化（或防止）企业内部的横向移动。

然而，坚定的攻击者不会坐视不管，而是会改变面对ZTA的行为。开放性的问题是攻击将如何演变。一种可能性是，由于ZTA的主要原则之一是在访问资源之前进行频繁的身份验证，因此旨在窃取凭证的攻击（例如网络钓鱼、社会工程）可能会变得更加普遍。另一种可能性是，在混合型ZTA/遗留企业中，攻击者将重点关注尚未应用ZTA原则的业务流程（即遵循传统的基于网络边界的安全）——实际上，目标是最容易摘到的果子，试图在ZTA业务流程中获得一些立足点。

随着ZTA的更加成熟，实现了更多的部署，并获得了经验，ZTA相对于基于网络边界安全的旧方法的有效性将会变得显而易见。此外，还需要制定ZTA相对于较老网络安全策略的“成功”指标。

2）ZTA环境中的用户体验

对于最终用户在使用ZTA战略的企业中表现得如何，还没有进行严格的审查。已有研究表明，用户对MFA和其他安全操作的反应，被视为ZTA企业战略的一部分。这项工作可以成为在企业中使用ZTA工作流时预测最终用户体验和行为的基础。

可以预测ZTA如何影响最终用户体验的一组研究，是MFA在企业中的使用和“安全疲劳”。安全疲劳是指最终用户面对如此多的安全策略和挑战，开始以负面方式影响其生产力的现象。一些用户很容易接受MFA，如果这个过程是流畅的，并且涉及到他们习惯于使用或拥有的设备（例如，智能手机上的应用程序）。然而，有些用户讨厌在业务流程中使用个人拥有的设备，或者感到他们经常被监视以防对IT策略的可能触犯。

3）ZTA对企业和网络中断的适应能力

对ZTA供应商生态系统的调查，显示了企业部署ZTA战略需要考虑的广泛基础设施。大多数被调查的产品和服务，都依赖于云的存在以提供健壮性，但众所周知即使是云服务也会在在遭遇攻击或简单错误时变得不可用。当这种情况发生时，用于做出访问决策的关键组件，可能无法访问或无法与其他组件通信。例如，位于云中的PE和PA组件，可能在分布式拒绝服务（DDoS）攻击期间可访问，但可能无法访问所有位于资源中的PEP。需要研究如何发现ZTA部署模型的可能“瓶颈”以及ZTA组件不可访问或可访问性有限时对网络运行的影响。

在采用ZTA战略时，企业的运行连续性（COOP）计划可能需要修订。ZTA战略使许多COOP因素变得更容易，因为远程工作者可能与他们在本地拥有相同的资源访问权限。然而，如果用户没有得到适当培训而缺乏经验，像MFA这样的策略也可能产生负面影响。用户可能会在突发情况下忘记（或无法访问）令牌和企业设备，这将影响企业业务流程的速度和效率。

（全篇完）