《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 美軍網(wǎng)絡安全:用零信任替代中間層安全?

美軍網(wǎng)絡安全:用零信任替代中間層安全,?

2021-02-01
來源:互聯(lián)網(wǎng)安全內(nèi)參

  DOT&E(作戰(zhàn)試驗和鑒定主任,,The Director, Operational Test & Evaluation)是美軍試驗和鑒定領域的最高主管,由總統(tǒng)任命,,其報告直接提交給國防部長和國會,。

  每年一度的DOT&E年度報告,是非常重量級的國防部報告,。筆者一直關注其每年對JRSS(聯(lián)合區(qū)域安全棧)項目的評估結論。

  JRSS(聯(lián)合區(qū)域安全棧)是美國國防部聯(lián)合信息環(huán)境(JIE)的最重要的創(chuàng)新之舉,,是一種標準化的中間層安全設備,。既備受頌揚,又屢遭指責,,爭議不斷,。自2017年被列入DOT&E年度報告以來,幾乎每年都遭到批評,。盡管如此,,JRSS的預算卻屢屢增加。批評反倒成為改進的動力,。

  在2021年1月6日最新發(fā)布的2020財年DOT&E年度報告中,,關于JRSS的論調(diào)仍然與以往相似,。但不同的是,這次不是干說,,而是真做——直接關停涉密版JRSS(并沒有關停非密版JRSS),。更重要的是,報告強烈地期待零信任架構能夠替代JRSS,。由于JRSS本質(zhì)上起到了中間層安全的作用,,所以DOT&E報告是希望零信任架構能夠承擔起國防部網(wǎng)絡的中間層安全的重任。

  回顧發(fā)展歷程,,筆者推斷:盡管以往每年都批評JRSS不行,,但國防部也找不到更好的替代品,只好繼續(xù)改進它,;而從2020年開始,,國防部終于發(fā)現(xiàn)零信任架構有可能成功替代JRSS,并且避免JRSS的弊端,,所以開始真刀真槍地要關停JRSS了,。

  筆者當然希望,零信任架構能夠不辱使命,。而對于JRSS的歷史地位,,筆者也還堅持肯定的態(tài)度。因為JRSS開創(chuàng)了美軍網(wǎng)絡中間層安全(即區(qū)域安全架構)的先河,。當然可以說,,它只是增加了一層網(wǎng)絡防御的縱深,沒有什么了不起,;但也可以說,,它是Gartner在2019年提出的SASE(安全訪問服務邊緣)思想的早期實現(xiàn),也是想把安全推向子網(wǎng)/用戶的接入邊緣,。請記住,,國防部是在2012年提出JRSS的設計思想的。那時候,,它的實現(xiàn)方式當然是硬件,、靜態(tài)、性能不足的,。而一旦Gartner說要用零信任,、SDP、SD-WAN等新一代技術去實現(xiàn)的時候,,瞬間又包裝出一個高大上的SASE概念,。

  筆者認同JRSS,自然也不會反對SASE,。JRSS和SASE之間,,當然不只差一個零信任,。但如果零信任技術不過關,SASE也只能是空中樓閣,。

  目錄

  1. JRSS創(chuàng)造的中間層安全

  2. DOT&E報告中的主要結論

  3. DOT&E報告中的主要建議

  01

  JRSS創(chuàng)造的中間層安全

  本節(jié)內(nèi)容為筆者便于讀者理解而添加,,非DOT&E年度報告內(nèi)容。關于JRSS的更多信息,,請參見本公眾號《美軍網(wǎng)絡安全 | 第3篇:JIE聯(lián)合區(qū)域安全棧JRSS》,。

微信圖片_20210201153357.png  

  圖1-聯(lián)合區(qū)域安全棧的整體概念圖

  從整體上看,JRSS的目的是要將全局性態(tài)勢感知下沉到區(qū)域一級,。因為在沒有JRSS之前,,國防部只能通過CSAAC(網(wǎng)絡態(tài)勢感知分析云)形成國防部一級(即總部一級)的態(tài)勢感知,并看不到區(qū)域一級(或者說是分支一級),。所以,,JRSS成為國防部的一個重要抓手,使得國防部能夠將態(tài)勢感知下探到區(qū)域一級,,形成更加全面完整的可見性,。從這個角度上講:

  CSAAC(網(wǎng)絡態(tài)勢感知分析云)可以類比于云端安全大腦,統(tǒng)管全局,。

  JRSS(聯(lián)合區(qū)域安全棧)可以類比于區(qū)域安全大腦,,統(tǒng)管區(qū)域。國防部在全球按地域分為二十多個區(qū)域,,每個區(qū)域部署一套JRSS設備(非密版,、涉密版各一套)。JRSS并不只是傳感器,,具有很強的本地安全分析能力,。

  總之,JRSS旨在形成集中化和標準化的區(qū)域安全架構,,而非之前在美軍各個軍事基地構建的各自為政,、成熟度各不相同的本地化、非標準化架構,。

  從觀念上看,,JRSS的想法很先進,只可惜其實現(xiàn)方式太老舊,,難以達成其安全和性能目的。所以,,屢遭非議,。

  何謂中間層(mid-tier)安全?下圖展示得比較清楚:

微信圖片_20210201153440.png

  圖2-JRSS部署在中間層

  通過增加JRSS,,國防部網(wǎng)絡共形成三層縱深防御:1)邊界(外部邊界,,如互聯(lián)網(wǎng)邊界,、商業(yè)云邊界等);2)中間段(JRSS),;3)飛地/端點(局域網(wǎng)),。

  02

  DOT&E報告中的主要結論

  2020財年DOT&E年度報告的主要結論如下:

  1)對涉密網(wǎng)JRSS的評估效果很差。

  2020年2月,,DOT&E高級網(wǎng)絡作戰(zhàn)(ACO)團隊和國防信息系統(tǒng)局(DISA)紅隊,,與聯(lián)合區(qū)域安全棧(JRSS)項目管理辦公室(PMO)一起,開展了一項重要評估活動,。

  本次活動旨在評估SIPRNET-JRSS(S-JRSS),、SIPRNET聯(lián)合管理網(wǎng)絡(S-JMN)和SIPRNET聯(lián)合管理系統(tǒng)(S-JMS)的網(wǎng)絡態(tài)勢。這次檢查了四個已部署,、但未實際運行的S-JRSS堆棧的網(wǎng)絡安全狀況,。

  本次評估活動得到了糟糕的網(wǎng)絡安全調(diào)查結果,這導致項目管理辦公室(PMO)關閉了現(xiàn)有的S-JRSS,,而數(shù)字現(xiàn)代化基礎設施執(zhí)行委員會(DMI EXCOM)也將未來的S-JRSS部署推遲到FY23,。2020年8月,DMI執(zhí)行委員會(前聯(lián)合信息環(huán)境執(zhí)行委員會)批準了2022財年的縮減開支計劃,,將S-JRSS工作推遲到2023財年,。在此期間,國防部將考慮替代的中間層(mid-tier)防御網(wǎng)絡安全解決方案,。

  注:JRSS目前僅在NIPRNET(N-JRSS)上運行,。原計劃在2016年安裝一個SIPRNET(S-JRSS)版本,其中有幾個正在安裝,,但尚未投入運行,。

  2)對非密網(wǎng)JRSS的評估結果一直不佳。

  向N-JRSS的遷移仍在繼續(xù),,并不取決于運行測試結果,。盡管DOT&E建議暫停遷移,直到安全棧在運行測試中顯示有效為止,。自2016年以來,,N-JRSS作戰(zhàn)評估不斷顯示,N-JRSS無法幫助網(wǎng)絡防御者保護國防部組成部門的網(wǎng)絡免受實際網(wǎng)絡攻擊,。

  2020年1月至3月,,JRSS項目管理辦公室在美國大陸內(nèi)的兩個N-JRSS生產(chǎn)堆棧上,對選定的加密流量進行了中斷和檢查(B&I)能力的試點,。2020年9月,,JRSS高級咨詢小組投票決定暫緩實施JRSS B&I,直到對該能力以及如何在國防部使用該能力進行進一步分析,。

  2020年6月,,空軍停止資助第346測試中隊參與JRSS試驗,。這導致測試人員無法深入了解空軍的方法、優(yōu)先級和拓撲結構,,從而降低了對空軍JRSS使用的評估效率,。

  3)期待用零信任架構取代JRSS。

  國防部正在評估國防部采用以數(shù)據(jù)為中心的安全模式,,而不是傳統(tǒng)的以網(wǎng)絡為中心的安全模式,。

  美國網(wǎng)絡司令部(USCC)在DOT&E評估支持下,正在幫助軍種試點實施零信任架構,,因為國防部需要評估一個更加以數(shù)據(jù)為中心的安全模型,。這種新模式比JRSS目前提供的邊界防御系統(tǒng)保證了更有效的網(wǎng)絡安全。

  2020年9月,,DOT&E開始了一系列驗證活動,,以支持軍種對USCC零信任試點進行的網(wǎng)絡安全評估。DOT&E正在通過一系列驗證活動幫助評估網(wǎng)絡安全,,USCC零信任試點的結果將用于指導未來中間層安全(mid-tier security)的發(fā)展方向,。

  在國防部將用戶遷移到零信任環(huán)境(通常通過軟件定義邊界(SDP)能力實現(xiàn))之前,需要修改N-JRSS的概念,、設計和使用,,以有效、適當?shù)刂С趾图傻椒烙W(wǎng)絡任務中,。

  03

  DOT&E報告中的主要建議

  1)國防部首席信息官(CIO)和國防部組成部門應:

  繼續(xù)開發(fā)更加有效的網(wǎng)絡安全替代方案以替代JRSS,,例如軍種正在進行的實施零信任架構的試點工作,并更加注重發(fā)展和維持一支訓練有素的防御性網(wǎng)絡工作隊伍,。

  如果零信任架構被證明是可行的,,那么應該完全放棄S-JRSS運行。

  停止將新用戶遷移到JRSS,,直到該系統(tǒng)證明其能夠幫助網(wǎng)絡防御者檢測和應對現(xiàn)實運行的網(wǎng)絡攻擊,,直到USCC、國防部CIO,、國防部首席網(wǎng)絡顧問和外部顧問的中間層網(wǎng)絡安全分析,,能夠告知未來方向。

  在USCC和DOD CIO分析如何在DODIN中最佳利用和實施流量檢查能力時,,重新評估N-JRSS B&I的功能需求,。

  優(yōu)先考慮培訓、系統(tǒng)可用性和操作員熟練程度,,而不是滿足遷移時間表的最后期限,。

  2)JRSS PMO、DISA Global、國防部組成部門應:

  繼續(xù)關注培訓和SOP開發(fā),。

  操作員培訓是任務成功的一個重要因素,作為COVID-19響應的一部分,,最近的最低人員配置變化使得操作員的能力更加重要,。

  3)DISA和國防部組成部門應:

  驗證JRSS操作員的能力和培訓,以便在新用戶遷移之前正確配置和使用JRSS服務,。

  4)DISA(JRSS PMO),、國防部組成部門和JITC應:

  與軍種網(wǎng)絡司令部和作戰(zhàn)部隊協(xié)調(diào),確定真實世界的測試指標和數(shù)據(jù)源,,以支持遠程評估和補充作戰(zhàn)測試數(shù)據(jù),。

  5)空軍應:

  考慮恢復346測試中隊的JRSS測試資金,以代表空軍繼續(xù)進行JRSS性能評估,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]