2021年2月25日,,美國國家安全局(NSA)發(fā)布關(guān)于零信任安全模型的指南《擁抱零信任安全模型》(Embracing a Zero Trust Security Model),。這份指南篇幅不長總共7頁,它的發(fā)布更多地是向外界明確傳達(dá)出NSA對(duì)零信任的一種立場(chǎng)和態(tài)度:擁護(hù)零信任,。
一 背 景
零信任早已在美國國防部受到關(guān)注,但零信任方法的實(shí)施,,直到2019年7月才成為一個(gè)具體目標(biāo)被納入《國防部數(shù)字現(xiàn)代化戰(zhàn)略》,。在美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)于2019-2020年連續(xù)發(fā)布多版《零信任架構(gòu)》標(biāo)準(zhǔn)草案并且形成最終版本的同時(shí),美國防部創(chuàng)新委員會(huì)(DIB)在2019年7月9日通過了《通往零信任安全之路》白皮書,,敦促美軍方盡快實(shí)施零信任架構(gòu)(ZTA),。白皮書描述了零信任安全架構(gòu)所涉及的內(nèi)容,對(duì)傳統(tǒng)邊界安全架構(gòu)與零信任安全架構(gòu)進(jìn)行對(duì)比,,探討國防部如何實(shí)施該技術(shù),,并提出一系列問題以了解技術(shù)實(shí)施是否有效,;緊接著,2019年10月24日,,DIB又發(fā)布《零信任架構(gòu)建議》報(bào)告,,其中第一條建議就是:國防部應(yīng)將零信任實(shí)施列為最高優(yōu)先事項(xiàng)。DIB稱,,國防部安全架構(gòu)的現(xiàn)狀是不可持續(xù)的,,國防部應(yīng)將實(shí)施零信任列為最高優(yōu)先事項(xiàng),同時(shí)明確分配實(shí)施和管理責(zé)任,,在整個(gè)國防部內(nèi)迅速采取行動(dòng),。可見,,國防創(chuàng)新委員會(huì)認(rèn)為:零信任架構(gòu)是美國國防部網(wǎng)絡(luò)安全架構(gòu)的必然演進(jìn)方向,。
2020年,美國國防部進(jìn)行了幾個(gè)零信任網(wǎng)絡(luò)試點(diǎn)項(xiàng)目,,并計(jì)劃從這些項(xiàng)目以及遠(yuǎn)程工作相關(guān)數(shù)據(jù)中吸取經(jīng)驗(yàn)教訓(xùn),,以確定零信任網(wǎng)絡(luò)的前進(jìn)道路。其中,,NSA,、美國防信息系統(tǒng)局(DISA)和網(wǎng)絡(luò)司令部聯(lián)合啟動(dòng)了一項(xiàng)針對(duì)“零信任”技術(shù)的試點(diǎn)項(xiàng)目,并總結(jié)試點(diǎn)項(xiàng)目已取得的成果,,探討如何將“零信任”技術(shù)融入到美國防部體系中,。在剛剛過去的幾個(gè)月中,DISA一直在與NSA,、美軍網(wǎng)絡(luò)司令部以及網(wǎng)絡(luò)私營部門之間合作,,共同開發(fā)美國防部的零信任參考體系架構(gòu)。
NSA是美國情報(bào)界的中流砥柱,,是美國國家安全系統(tǒng)的技術(shù)權(quán)威,,是美國網(wǎng)絡(luò)司令部的搖籃。由于NSA的工作側(cè)重于涉密側(cè)和進(jìn)攻側(cè),,敏感程度較高,,所以不像DISA那么開放。這份零信任安全模型指南則是少見的NSA對(duì)于零信任的明確表態(tài),,它與DISA年內(nèi)將要發(fā)布的國防部初始零信任參考體系架構(gòu)在某種程度具有一脈相連的關(guān)系,。對(duì)于其與DISA和美軍網(wǎng)絡(luò)司令部共同開發(fā)的零信任框架,NSA明確表示,,希望利用這套新的網(wǎng)絡(luò)安全體系預(yù)防,、檢測(cè)、響應(yīng)并恢復(fù)針對(duì)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)攻擊活動(dòng),。
二 指南主要內(nèi)容
1.概述實(shí)施零信任的好處
該指南指出,,基于當(dāng)前的威脅環(huán)境,,傳統(tǒng)的基于邊界的網(wǎng)絡(luò)防御安全技術(shù)已證明無法滿足網(wǎng)絡(luò)安全需求。而采用零信任這種現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略,,可以從多個(gè)有利位置來整合可見性,,做出具有風(fēng)險(xiǎn)意識(shí)的訪問決策,并自動(dòng)執(zhí)行檢測(cè)和響應(yīng)操作,,網(wǎng)絡(luò)防御者將能夠更好地保護(hù)敏感數(shù)據(jù),、系統(tǒng)、應(yīng)用程序和服務(wù),。NSA強(qiáng)烈建議國家安全系統(tǒng)(NSS)內(nèi)的所有關(guān)鍵網(wǎng)絡(luò),、國防部(DoD)的關(guān)鍵網(wǎng)絡(luò)、國防工業(yè)基礎(chǔ)(DIB)關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型,。
2.定義零信任的概念與內(nèi)涵
該指南將零信任定義為一種安全模型,、一套系統(tǒng)設(shè)計(jì)原則以及基于承認(rèn)傳統(tǒng)網(wǎng)絡(luò)邊界內(nèi)外都存在威脅的協(xié)調(diào)網(wǎng)絡(luò)安全和系統(tǒng)的管理策略。指南進(jìn)一步解釋指出,,零信任安全模型消除了對(duì)任何一個(gè)元素,、節(jié)點(diǎn)或服務(wù)的隱式信任,它是通過從多個(gè)來源反饋的實(shí)時(shí)信息來連續(xù)驗(yàn)證操作情況,,以確定訪問和其他系統(tǒng)響應(yīng),。零信任嵌入了全面的安全監(jiān)控,是基于風(fēng)險(xiǎn)的細(xì)粒度訪問控制和系統(tǒng)安全自動(dòng)化,,可以在動(dòng)態(tài)威脅環(huán)境中實(shí)時(shí)保護(hù)關(guān)鍵資產(chǎn)(數(shù)據(jù)),。這種以數(shù)據(jù)為中心的安全模型允許對(duì)每個(gè)訪問決策應(yīng)用最低特權(quán)訪問的概念,允許或拒絕基于幾個(gè)上下文因素的組合來訪問資源,。
3.示例零信任的應(yīng)用場(chǎng)景
該指南著筆最多的一個(gè)部分就是對(duì)幾種使用中的零信任場(chǎng)景進(jìn)行示例,,這幾種零信任應(yīng)用分別是:泄露的用戶憑據(jù),、遠(yuǎn)程利用或內(nèi)部威脅,、供應(yīng)鏈?zhǔn)軗p。指南通過示例表明,,一個(gè)成熟的零信任實(shí)現(xiàn)可以比傳統(tǒng)架構(gòu)更好地檢測(cè)惡意活動(dòng),。比如,在泄露的用戶憑據(jù)示例場(chǎng)景中,,指南建議在零信任環(huán)境中使用強(qiáng)多因素用戶身份驗(yàn)證,,從而使竊取用戶的憑據(jù)變得更加困難;在遠(yuǎn)程利用或內(nèi)部威脅示例場(chǎng)景中,,指南指出成熟的零信任環(huán)境可以限制對(duì)已被泄露的用戶憑證和設(shè)備進(jìn)行枚舉和橫向移動(dòng)的機(jī)會(huì),,且數(shù)據(jù)加密和數(shù)字權(quán)限管理可以通過限制哪些數(shù)據(jù)可以訪問以及即使允許訪問也可以對(duì)敏感數(shù)據(jù)采取的操作來提供額外的保護(hù);在供應(yīng)鏈?zhǔn)軗p場(chǎng)景中,,零信任架構(gòu)的成熟實(shí)現(xiàn)可以讓設(shè)備或應(yīng)用程序本身獲得真正的防御網(wǎng)絡(luò)安全優(yōu)勢(shì),,其特權(quán)和對(duì)數(shù)據(jù)的訪問將被嚴(yán)格控制,、最小化和監(jiān)控,分割(宏觀和微觀)將通過政策來實(shí)施,,等等,。
4.規(guī)劃零信任架構(gòu)成熟的路線圖
NSA指南強(qiáng)調(diào),零信任的實(shí)施需要時(shí)間和精力,,沒有必要一次性過渡到成熟的零信任架構(gòu),。指南建議將零信任架構(gòu)規(guī)劃成從初始準(zhǔn)備階段到基本、中級(jí),、高級(jí)階段這樣一個(gè)逐步成熟的過程,,逐漸增強(qiáng)其可見性和自動(dòng)化響應(yīng),將使防御者能夠跟上威脅的步伐,,同時(shí)將零信任功能作為戰(zhàn)略計(jì)劃的一部分逐步整合,,可以降低每一步的風(fēng)險(xiǎn)。
三 幾點(diǎn)啟示
1.美軍方已對(duì)零信任架構(gòu)的推行達(dá)成全面共識(shí)
NSA,、DISA,、美國網(wǎng)絡(luò)司令部(USCYBERCOM)、聯(lián)合部隊(duì)總部國防部信息網(wǎng)絡(luò)部(JFHQ-DODIN)是美國軍方在網(wǎng)絡(luò)空間作戰(zhàn)領(lǐng)域的四只主要力量,,而這四個(gè)機(jī)構(gòu)之間又具有雙帽關(guān)系,。所以,NSA和DISA的態(tài)度可以視為代表美軍方的態(tài)度,。如果說美軍之前對(duì)采用零信任架構(gòu)還持某種謹(jǐn)慎或者懷疑態(tài)度的話,,那么,從這份關(guān)于零信任安全模型的指南中所傳達(dá)出來的NSA的態(tài)度,,再結(jié)合近期DISA領(lǐng)導(dǎo)層在多個(gè)重要場(chǎng)合下的表態(tài),,可以看出美軍在全軍范圍內(nèi)推行零信任架構(gòu)這一點(diǎn)上已達(dá)成多方共識(shí),2021年全面推行零信任架構(gòu)已成為美國防部的重要計(jì)劃目標(biāo),。
2.美軍將探索涉密網(wǎng)和非密網(wǎng)統(tǒng)一的零信任架構(gòu)
NSA在指南中強(qiáng)烈建議國家安全系統(tǒng)(NSS)內(nèi)的所有關(guān)鍵網(wǎng)絡(luò),、國防部(DoD)的關(guān)鍵網(wǎng)絡(luò)、國防工業(yè)基礎(chǔ)(DIB)關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型,。NSA負(fù)責(zé)保護(hù)國家安全系統(tǒng)(NSS),,即敏感程度較高的網(wǎng)絡(luò)和系統(tǒng),如涉密信息系統(tǒng),。所以,,這條建議對(duì)于高敏感網(wǎng)絡(luò)在應(yīng)用零信任理念方面,具有很強(qiáng)的權(quán)威性,。再結(jié)合之前國防創(chuàng)新委員會(huì)的建議,,可以預(yù)測(cè),未來美軍非密網(wǎng)(NIPRNet)和機(jī)密網(wǎng)(SIPRNet)都要向零信任安全架構(gòu)邁進(jìn),。簡單的說,,就是全網(wǎng)統(tǒng)一零信任架構(gòu),,無論涉密網(wǎng)還是非密網(wǎng)。國防部將探索將NIPRNet和SIPRNet融合到同一網(wǎng)絡(luò)上的可能性,,依靠零信任原則來保護(hù)訪問,,并將用戶許可級(jí)別作為訪問的核心屬性。NIPRNet和SIPRNet均采用SIPRNet的邊界安全措施,,以保持更高的邊界安全水平,,作為進(jìn)入的初始屏障。美軍認(rèn)為,,零信任架構(gòu)可以融合這兩張不同密級(jí)的網(wǎng)絡(luò),,化繁為簡。當(dāng)前暫不論兩網(wǎng)融合的可行性,,這種觀點(diǎn)至少充分反映出美軍對(duì)零信任架構(gòu)安全性和先進(jìn)性的極其認(rèn)可,。
3.美軍零信任架構(gòu)的實(shí)施仍面臨眾多挑戰(zhàn)
NSA指南同時(shí)指出,美軍實(shí)施零信任解決方案還存在眾多潛在挑戰(zhàn),。這些挑戰(zhàn)來自于管理和技術(shù)二個(gè)層面,。管理層面的挑戰(zhàn),比如有,,缺乏來自從領(lǐng)導(dǎo)層,、管理員或用戶層面的整個(gè)企業(yè)的全面支持,以及存在阻礙零信任策略采用的專業(yè)知識(shí)的缺乏,,為了使系統(tǒng)正常運(yùn)行或確保外圍安全,,需要正確的策略以及思維方式的轉(zhuǎn)變,才能從基于隱性信任模式過渡到顯性驗(yàn)證模式,,即不信任任何人,,等等。技術(shù)層面的挑戰(zhàn),,比如,,在新的零信任環(huán)境下,如何重新搭建一個(gè)高性能可橫向擴(kuò)展的權(quán)限引擎,,處理更復(fù)雜更細(xì)粒度的訪問策略,,包括國防部統(tǒng)一的身份管理目錄,、密鑰管理系統(tǒng)(KMS)(或公鑰基礎(chǔ)設(shè)施PKI),、風(fēng)險(xiǎn)評(píng)估、SIEM與日志審計(jì)等都必須利用更成熟的技術(shù),、更先進(jìn)的科技,、更安全的算法,突破舊的安全瓶頸,,才能將國防部網(wǎng)絡(luò)的安全水平提升到全新的級(jí)別,。為了應(yīng)對(duì)實(shí)施零信任解決方案的潛在挑戰(zhàn),,NSA正在制定并將在未來幾個(gè)月發(fā)布額外的指南。
四 結(jié) 語
零信任架構(gòu)將于2021年落地美國國防部,,這個(gè)架構(gòu)指南將為國防機(jī)構(gòu)和IT部門提供了一個(gè)藍(lán)圖,,使網(wǎng)絡(luò)過渡到這樣一個(gè)模型,使每個(gè)用戶都具有相同的高安全級(jí)別,。從本質(zhì)上講,,網(wǎng)絡(luò)對(duì)用戶的信任為零。這個(gè)架構(gòu)指南以及NSA下一步將發(fā)布的實(shí)施指南,,都代表著國防部網(wǎng)絡(luò)架構(gòu)的全面轉(zhuǎn)變,。值得注意的是,此次在美全軍范圍內(nèi)推行的零信任架構(gòu)將與其他以往需要大規(guī)模推廣的計(jì)劃有所不同,,零信任將不是孤立的計(jì)劃,,而是國防部網(wǎng)絡(luò)架構(gòu)的一次大規(guī)模轉(zhuǎn)型,架構(gòu)指南將為國防部提供一種正確使用現(xiàn)有工具的全新思路,,將會(huì)結(jié)合美軍網(wǎng)絡(luò)的現(xiàn)實(shí)情況在零信任的實(shí)施層面,,提出更加具體的建設(shè)思路,、落地指導(dǎo),、應(yīng)用示例,值得密切關(guān)注,。