implementing-cisa-zero-trust-maturity-model
在身份、设备、网络、应用程序和数据五大支柱上实施 CISA 零信任成熟度模型 v2.0,逐步提升组织零信任成熟度水平。
Best use case
implementing-cisa-zero-trust-maturity-model is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
在身份、设备、网络、应用程序和数据五大支柱上实施 CISA 零信任成熟度模型 v2.0,逐步提升组织零信任成熟度水平。
Teams using implementing-cisa-zero-trust-maturity-model should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-cisa-zero-trust-maturity-model/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-cisa-zero-trust-maturity-model Compares
| Feature / Agent | implementing-cisa-zero-trust-maturity-model | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
在身份、设备、网络、应用程序和数据五大支柱上实施 CISA 零信任成熟度模型 v2.0,逐步提升组织零信任成熟度水平。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 实施 CISA 零信任成熟度模型
## 概述
2023 年 4 月发布的 CISA 零信任成熟度模型(ZTMM)2.0 版,为联邦机构和组织提供了采用零信任架构的结构化路线图。该模型定义了五个核心支柱——身份、设备、网络、应用程序与工作负载,以及数据——每个支柱都经历四个成熟度阶段:传统阶段、初始阶段、高级阶段和最优阶段。三项跨领域能力(可见性与分析、自动化与编排,以及治理)贯穿所有支柱。本技能涵盖所有支柱和成熟度级别的评估、差距分析和渐进式实施。
## 前置条件
- 熟悉 NIST SP 800-207 零信任架构
- 了解联邦网络安全指令(EO 14028、OMB M-22-09)
- 获取组织 IT 资产清单和网络架构文档
- 了解身份和访问管理(IAM)基础知识
- 了解网络分段和微分段概念
## CISA ZTMM 五大支柱
### 支柱 1:身份
身份指唯一描述机构用户或实体的属性,包括非人员实体(NPE),如服务账号和机器身份。
**传统阶段:**
- 基于密码的认证
- 有限的身份验证
- 手动配置和取消配置
**初始阶段:**
- 为特权用户部署 MFA
- 启动身份治理
- 基本身份生命周期管理
**高级阶段:**
- 为所有用户部署抗钓鱼 MFA(FIDO2/WebAuthn)
- 持续身份验证
- 与人力资源系统关联的自动化配置
- 身份威胁检测和响应(ITDR)
**最优阶段:**
- 持续的实时身份验证
- 跨所有系统的无密码认证
- AI 驱动的身份行为异常检测
- 将身份信号完全整合到访问决策中
### 支柱 2:设备
设备包括连接到网络的任何硬件、软件或固件资产——服务器、笔记本电脑、手机、物联网设备和网络设备。
**传统阶段:**
- 有限的设备清单
- 基本端点保护(防病毒)
- 无设备合规检查
**初始阶段:**
- 全面的设备清单
- 部署端点检测与响应(EDR)
- 网络访问前的基本设备健康检查
**高级阶段:**
- 实时设备态势评估
- 自动化合规执行
- 用于机器身份的设备证书
- 将漏洞扫描集成到访问决策中
**最优阶段:**
- 持续设备信任评分
- 对不合规设备的自动化修复
- 完整设备生命周期管理与零信任策略集成
- 固件完整性验证
### 支柱 3:网络
网络涵盖所有通信媒介,包括内部网络、无线网络和互联网。
**传统阶段:**
- 基于边界的安全(防火墙、VPN)
- 扁平内部网络
- 极少的东西向流量检查
**初始阶段:**
- 初始网络分段
- 加密 DNS 和内部流量
- 基本网络监控和日志记录
**高级阶段:**
- 关键资产微分段
- 用于动态策略执行的软件定义网络(SDN)
- 所有内部通信采用完整 TLS 加密
- 网络检测与响应(NDR)
**最优阶段:**
- 完全软件定义、策略驱动的网络
- 零隐式信任区域
- AI 驱动的网络异常检测
- 与网络控制集成的自动化威胁响应
### 支柱 4:应用程序和工作负载
应用程序和工作负载包括在本地、移动设备和云环境中运行的机构系统、程序和服务。
**传统阶段:**
- 边界保护应用程序
- 手动漏洞修补
- 有限的应用层日志记录
**初始阶段:**
- 应用层访问控制
- Web 应用防火墙(WAF)
- 定期漏洞扫描
- 建立应用程序清单
**高级阶段:**
- 持续集成安全测试(SAST/DAST)
- 应用感知微分段
- API 安全网关
- 不可变基础设施模式
**最优阶段:**
- 运行时应用程序自我保护(RASP)
- 自动化应用程序安全编排
- 完整 DevSecOps 流水线集成
- 应用程序访问的零常设特权
### 支柱 5:数据
数据涵盖所有结构化和非结构化信息,包括静态、传输中和使用中的数据。
**传统阶段:**
- 静态数据基本加密
- 有限的数据分类
- 无数据丢失防护
**初始阶段:**
- 实施数据分类方案
- 敏感数据的 DLP 策略
- 传输数据加密(TLS 1.2+)
- 基本数据清单
**高级阶段:**
- 自动化数据分类
- 精细化数据访问控制
- 数据活动监控
- 敏感文档的权限管理
**最优阶段:**
- 实时数据流分析
- AI 驱动的数据分类和保护
- 对数据泄露尝试的自动化响应
- 基于零信任原则的完整数据生命周期治理
## 跨领域能力
### 可见性与分析
```
成熟度进展:
传统阶段 -> 手动日志审查,有限的 SIEM
初始阶段 -> 集中式日志记录,基本 SIEM 关联
高级阶段 -> UEBA,自动化威胁检测,数据湖分析
最优阶段 -> AI/ML 驱动的持续监控,预测分析
```
### 自动化与编排
```
成熟度进展:
传统阶段 -> 手动事件响应,临时脚本
初始阶段 -> 基本 SOAR 剧本,自动化告警
高级阶段 -> 集成多支柱编排的 SOAR
最优阶段 -> 完全自主响应,自愈基础设施
```
### 治理
```
成熟度进展:
传统阶段 -> 临时策略,手动合规检查
初始阶段 -> 记录零信任战略,基本策略框架
高级阶段 -> 策略即代码,持续合规监控
最优阶段 -> 动态策略引擎,实时治理决策
```
## 实施流程
### 第 1 阶段:评估和基线
1. **清点五大支柱的所有资产**
2. **将当前能力映射到 ZTMM 成熟度阶段**
3. **对当前状态和目标状态进行差距分析**
4. **识别从传统阶段快速迁移到初始阶段的捷径**
5. **记录支柱间的依赖关系**
```python
# 示例:CISA ZTMM 成熟度评估评分
class ZTMMAssessment:
PILLARS = ['Identity', 'Devices', 'Networks', 'Applications', 'Data']
STAGES = ['Traditional', 'Initial', 'Advanced', 'Optimal']
CROSS_CUTTING = ['Visibility_Analytics', 'Automation_Orchestration', 'Governance']
def __init__(self):
self.scores = {}
def assess_pillar(self, pillar, capabilities):
"""
根据 ZTMM 标准评估支柱。
capabilities: dict,键为能力名称,值为成熟度阶段
"""
stage_values = {stage: i for i, stage in enumerate(self.STAGES)}
scores = [stage_values.get(stage, 0) for stage in capabilities.values()]
avg_score = sum(scores) / len(scores) if scores else 0
overall_stage = self.STAGES[int(avg_score)]
self.scores[pillar] = {
'capabilities': capabilities,
'average_score': avg_score,
'overall_stage': overall_stage
}
return self.scores[pillar]
def generate_roadmap(self):
"""生成优先级改进路线图。"""
roadmap = []
for pillar, data in self.scores.items():
for capability, stage in data['capabilities'].items():
stage_idx = self.STAGES.index(stage)
if stage_idx < 3: # 尚未达到最优阶段
next_stage = self.STAGES[stage_idx + 1]
roadmap.append({
'pillar': pillar,
'capability': capability,
'current': stage,
'target': next_stage,
'priority': 3 - stage_idx # 成熟度越低优先级越高
})
return sorted(roadmap, key=lambda x: x['priority'], reverse=True)
```
### 第 2 阶段:身份基础
1. 部署抗钓鱼 MFA(FIDO2/WebAuthn)
2. 实施身份治理和管理(IGA)
3. 建立持续身份验证
4. 将身份提供商与所有应用程序集成
5. 部署身份威胁检测和响应
### 第 3 阶段:设备信任
1. 通过自动化发现完成资产清单
2. 在所有端点部署 EDR
3. 实施设备合规检查
4. 建立设备证书基础设施
5. 创建设备信任评分机制
### 第 4 阶段:网络转型
1. 实施网络分段策略
2. 对关键资产部署微分段
3. 启用加密 DNS(DoH/DoT)
4. 为所有内部通信强制执行 TLS 1.3
5. 部署 NDR 能力
### 第 5 阶段:应用程序安全
1. 实施应用层访问控制
2. 部署 WAF 和 API 安全网关
3. 将安全测试集成到 CI/CD 流水线
4. 建立应用程序清单和分类
5. 实施运行时保护
### 第 6 阶段:数据保护
1. 实施数据分类框架
2. 在端点和网络上部署 DLP
3. 启用数据活动监控
4. 实施权限管理
5. 建立数据生命周期治理
## 合规映射
| CISA ZTMM 支柱 | OMB M-22-09 要求 | NIST 800-207 章节 |
|---|---|---|
| 身份 | 机构员工的 MFA | 3.1.1 |
| 设备 | 联邦端点的 EDR | 3.1.2 |
| 网络 | 加密 DNS 流量 | 3.1.3 |
| 应用程序 | 应用程序安全测试 | 3.1.4 |
| 数据 | 数据分类 | 3.1.5 |
## 指标和 KPI
- **身份支柱**:使用抗钓鱼 MFA 的用户百分比
- **设备支柱**:具有实时态势评估的设备百分比
- **网络支柱**:已微分段的网络段百分比
- **应用程序支柱**:具有零信任访问控制的应用程序百分比
- **数据支柱**:已分类和保护的敏感数据百分比
- **总体**:每个支柱达到的 ZTMM 阶段(目标:至少高级阶段)
## 参考资料
- [CISA 零信任成熟度模型 v2.0](https://www.cisa.gov/zero-trust-maturity-model)
- [CISA ZTMM v2.0 PDF](https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf)
- [NIST SP 800-207 零信任架构](https://csrc.nist.gov/publications/detail/sp/800-207/final)
- [OMB 备忘录 M-22-09](https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf)
- [NSA 零信任支柱指南](https://media.defense.gov/2024/Apr/09/2003434442/-1/-1/0/CSI_DATA_PILLAR_ZT.PDF)
- [微软 CISA ZTMM 指南](https://www.microsoft.com/en-us/security/blog/2024/12/19/new-microsoft-guidance-for-the-cisa-zero-trust-maturity-model/)Related Skills
performing-threat-modeling-with-owasp-threat-dragon
使用 OWASP Threat Dragon 创建数据流图,运用 STRIDE 和 LINDDUN 方法论识别威胁,并生成威胁模型报告用于安全设计审查。
performing-nist-csf-maturity-assessment
NIST 网络安全框架(CSF)2.0 于 2024 年 2 月发布,通过六个核心功能提供管理网络安全风险的综合分类体系:治理、识别、保护、检测、响应和恢复。本技能涵盖对 CSF 进行成熟度评估。
performing-active-directory-forest-trust-attack
使用 impacket 枚举和审计 Active Directory 林信任关系,进行 SID 过滤分析、信任密钥提取、跨林 SID 历史滥用检测和跨域 Kerberos 票据评估。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
implementing-zero-trust-in-cloud
本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。
implementing-zero-trust-for-saas-applications
使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。
implementing-zero-trust-dns-with-nextdns
将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。
implementing-zero-standing-privilege-with-cyberark
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
implementing-zero-knowledge-proof-for-authentication
零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。