2021年2月25日,美國(guó)國(guó)家安全局(NSA)發(fā)布關(guān)于零信任安全模型的指南《擁抱零信任安全模型》(Embracing a Zero Trust Security Model),。這份指南篇幅不長(zhǎng)總共7頁(yè),,它的發(fā)布更多地是向外界明確傳達(dá)出NSA對(duì)零信任的一種立場(chǎng)和態(tài)度:擁護(hù)零信任。
一 背 景
零信任早已在美國(guó)國(guó)防部受到關(guān)注,但零信任方法的實(shí)施,,直到2019年7月才成為一個(gè)具體目標(biāo)被納入《國(guó)防部數(shù)字現(xiàn)代化戰(zhàn)略》,。在美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)于2019-2020年連續(xù)發(fā)布多版《零信任架構(gòu)》標(biāo)準(zhǔn)草案并且形成最終版本的同時(shí),美國(guó)防部創(chuàng)新委員會(huì)(DIB)在2019年7月9日通過(guò)了《通往零信任安全之路》白皮書(shū),,敦促美軍方盡快實(shí)施零信任架構(gòu)(ZTA),。白皮書(shū)描述了零信任安全架構(gòu)所涉及的內(nèi)容,對(duì)傳統(tǒng)邊界安全架構(gòu)與零信任安全架構(gòu)進(jìn)行對(duì)比,,探討國(guó)防部如何實(shí)施該技術(shù),,并提出一系列問(wèn)題以了解技術(shù)實(shí)施是否有效;緊接著,,2019年10月24日,,DIB又發(fā)布《零信任架構(gòu)建議》報(bào)告,其中第一條建議就是:國(guó)防部應(yīng)將零信任實(shí)施列為最高優(yōu)先事項(xiàng),。DIB稱(chēng),,國(guó)防部安全架構(gòu)的現(xiàn)狀是不可持續(xù)的,國(guó)防部應(yīng)將實(shí)施零信任列為最高優(yōu)先事項(xiàng),,同時(shí)明確分配實(shí)施和管理責(zé)任,,在整個(gè)國(guó)防部?jī)?nèi)迅速采取行動(dòng)??梢?jiàn),,國(guó)防創(chuàng)新委員會(huì)認(rèn)為:零信任架構(gòu)是美國(guó)國(guó)防部網(wǎng)絡(luò)安全架構(gòu)的必然演進(jìn)方向。
2020年,,美國(guó)國(guó)防部進(jìn)行了幾個(gè)零信任網(wǎng)絡(luò)試點(diǎn)項(xiàng)目,,并計(jì)劃從這些項(xiàng)目以及遠(yuǎn)程工作相關(guān)數(shù)據(jù)中吸取經(jīng)驗(yàn)教訓(xùn),以確定零信任網(wǎng)絡(luò)的前進(jìn)道路,。其中,,NSA、美國(guó)防信息系統(tǒng)局(DISA)和網(wǎng)絡(luò)司令部聯(lián)合啟動(dòng)了一項(xiàng)針對(duì)“零信任”技術(shù)的試點(diǎn)項(xiàng)目,,并總結(jié)試點(diǎn)項(xiàng)目已取得的成果,,探討如何將“零信任”技術(shù)融入到美國(guó)防部體系中。在剛剛過(guò)去的幾個(gè)月中,,DISA一直在與NSA,、美軍網(wǎng)絡(luò)司令部以及網(wǎng)絡(luò)私營(yíng)部門(mén)之間合作,共同開(kāi)發(fā)美國(guó)防部的零信任參考體系架構(gòu),。
NSA是美國(guó)情報(bào)界的中流砥柱,,是美國(guó)國(guó)家安全系統(tǒng)的技術(shù)權(quán)威,是美國(guó)網(wǎng)絡(luò)司令部的搖籃,。由于NSA的工作側(cè)重于涉密側(cè)和進(jìn)攻側(cè),,敏感程度較高,,所以不像DISA那么開(kāi)放。這份零信任安全模型指南則是少見(jiàn)的NSA對(duì)于零信任的明確表態(tài),,它與DISA年內(nèi)將要發(fā)布的國(guó)防部初始零信任參考體系架構(gòu)在某種程度具有一脈相連的關(guān)系,。對(duì)于其與DISA和美軍網(wǎng)絡(luò)司令部共同開(kāi)發(fā)的零信任框架,NSA明確表示,,希望利用這套新的網(wǎng)絡(luò)安全體系預(yù)防,、檢測(cè)、響應(yīng)并恢復(fù)針對(duì)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)攻擊活動(dòng),。
二 指南主要內(nèi)容
1.概述實(shí)施零信任的好處
該指南指出,,基于當(dāng)前的威脅環(huán)境,傳統(tǒng)的基于邊界的網(wǎng)絡(luò)防御安全技術(shù)已證明無(wú)法滿(mǎn)足網(wǎng)絡(luò)安全需求,。而采用零信任這種現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略,,可以從多個(gè)有利位置來(lái)整合可見(jiàn)性,做出具有風(fēng)險(xiǎn)意識(shí)的訪(fǎng)問(wèn)決策,,并自動(dòng)執(zhí)行檢測(cè)和響應(yīng)操作,,網(wǎng)絡(luò)防御者將能夠更好地保護(hù)敏感數(shù)據(jù)、系統(tǒng),、應(yīng)用程序和服務(wù),。NSA強(qiáng)烈建議國(guó)家安全系統(tǒng)(NSS)內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國(guó)防部(DoD)的關(guān)鍵網(wǎng)絡(luò),、國(guó)防工業(yè)基礎(chǔ)(DIB)關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型,。
2.定義零信任的概念與內(nèi)涵
該指南將零信任定義為一種安全模型、一套系統(tǒng)設(shè)計(jì)原則以及基于承認(rèn)傳統(tǒng)網(wǎng)絡(luò)邊界內(nèi)外都存在威脅的協(xié)調(diào)網(wǎng)絡(luò)安全和系統(tǒng)的管理策略,。指南進(jìn)一步解釋指出,,零信任安全模型消除了對(duì)任何一個(gè)元素、節(jié)點(diǎn)或服務(wù)的隱式信任,,它是通過(guò)從多個(gè)來(lái)源反饋的實(shí)時(shí)信息來(lái)連續(xù)驗(yàn)證操作情況,,以確定訪(fǎng)問(wèn)和其他系統(tǒng)響應(yīng)。零信任嵌入了全面的安全監(jiān)控,,是基于風(fēng)險(xiǎn)的細(xì)粒度訪(fǎng)問(wèn)控制和系統(tǒng)安全自動(dòng)化,可以在動(dòng)態(tài)威脅環(huán)境中實(shí)時(shí)保護(hù)關(guān)鍵資產(chǎn)(數(shù)據(jù)),。這種以數(shù)據(jù)為中心的安全模型允許對(duì)每個(gè)訪(fǎng)問(wèn)決策應(yīng)用最低特權(quán)訪(fǎng)問(wèn)的概念,,允許或拒絕基于幾個(gè)上下文因素的組合來(lái)訪(fǎng)問(wèn)資源。
3.示例零信任的應(yīng)用場(chǎng)景
該指南著筆最多的一個(gè)部分就是對(duì)幾種使用中的零信任場(chǎng)景進(jìn)行示例,,這幾種零信任應(yīng)用分別是:泄露的用戶(hù)憑據(jù),、遠(yuǎn)程利用或內(nèi)部威脅、供應(yīng)鏈?zhǔn)軗p,。指南通過(guò)示例表明,,一個(gè)成熟的零信任實(shí)現(xiàn)可以比傳統(tǒng)架構(gòu)更好地檢測(cè)惡意活動(dòng),。比如,在泄露的用戶(hù)憑據(jù)示例場(chǎng)景中,,指南建議在零信任環(huán)境中使用強(qiáng)多因素用戶(hù)身份驗(yàn)證,,從而使竊取用戶(hù)的憑據(jù)變得更加困難;在遠(yuǎn)程利用或內(nèi)部威脅示例場(chǎng)景中,,指南指出成熟的零信任環(huán)境可以限制對(duì)已被泄露的用戶(hù)憑證和設(shè)備進(jìn)行枚舉和橫向移動(dòng)的機(jī)會(huì),,且數(shù)據(jù)加密和數(shù)字權(quán)限管理可以通過(guò)限制哪些數(shù)據(jù)可以訪(fǎng)問(wèn)以及即使允許訪(fǎng)問(wèn)也可以對(duì)敏感數(shù)據(jù)采取的操作來(lái)提供額外的保護(hù);在供應(yīng)鏈?zhǔn)軗p場(chǎng)景中,,零信任架構(gòu)的成熟實(shí)現(xiàn)可以讓設(shè)備或應(yīng)用程序本身獲得真正的防御網(wǎng)絡(luò)安全優(yōu)勢(shì),,其特權(quán)和對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)將被嚴(yán)格控制、最小化和監(jiān)控,,分割(宏觀(guān)和微觀(guān))將通過(guò)政策來(lái)實(shí)施,,等等。
4.規(guī)劃零信任架構(gòu)成熟的路線(xiàn)圖
NSA指南強(qiáng)調(diào),,零信任的實(shí)施需要時(shí)間和精力,,沒(méi)有必要一次性過(guò)渡到成熟的零信任架構(gòu)。指南建議將零信任架構(gòu)規(guī)劃成從初始準(zhǔn)備階段到基本,、中級(jí),、高級(jí)階段這樣一個(gè)逐步成熟的過(guò)程,逐漸增強(qiáng)其可見(jiàn)性和自動(dòng)化響應(yīng),,將使防御者能夠跟上威脅的步伐,,同時(shí)將零信任功能作為戰(zhàn)略計(jì)劃的一部分逐步整合,可以降低每一步的風(fēng)險(xiǎn),。
三 幾點(diǎn)啟示
1.美軍方已對(duì)零信任架構(gòu)的推行達(dá)成全面共識(shí)
NSA,、DISA、美國(guó)網(wǎng)絡(luò)司令部(USCYBERCOM),、聯(lián)合部隊(duì)總部國(guó)防部信息網(wǎng)絡(luò)部(JFHQ-DODIN)是美國(guó)軍方在網(wǎng)絡(luò)空間作戰(zhàn)領(lǐng)域的四只主要力量,,而這四個(gè)機(jī)構(gòu)之間又具有雙帽關(guān)系。所以,,NSA和DISA的態(tài)度可以視為代表美軍方的態(tài)度,。如果說(shuō)美軍之前對(duì)采用零信任架構(gòu)還持某種謹(jǐn)慎或者懷疑態(tài)度的話(huà),那么,,從這份關(guān)于零信任安全模型的指南中所傳達(dá)出來(lái)的NSA的態(tài)度,,再結(jié)合近期DISA領(lǐng)導(dǎo)層在多個(gè)重要場(chǎng)合下的表態(tài),可以看出美軍在全軍范圍內(nèi)推行零信任架構(gòu)這一點(diǎn)上已達(dá)成多方共識(shí),,2021年全面推行零信任架構(gòu)已成為美國(guó)防部的重要計(jì)劃目標(biāo),。
2.美軍將探索涉密網(wǎng)和非密網(wǎng)統(tǒng)一的零信任架構(gòu)
NSA在指南中強(qiáng)烈建議國(guó)家安全系統(tǒng)(NSS)內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國(guó)防部(DoD)的關(guān)鍵網(wǎng)絡(luò),、國(guó)防工業(yè)基礎(chǔ)(DIB)關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型,。NSA負(fù)責(zé)保護(hù)國(guó)家安全系統(tǒng)(NSS),,即敏感程度較高的網(wǎng)絡(luò)和系統(tǒng),如涉密信息系統(tǒng),。所以,,這條建議對(duì)于高敏感網(wǎng)絡(luò)在應(yīng)用零信任理念方面,具有很強(qiáng)的權(quán)威性,。再結(jié)合之前國(guó)防創(chuàng)新委員會(huì)的建議,,可以預(yù)測(cè),未來(lái)美軍非密網(wǎng)(NIPRNet)和機(jī)密網(wǎng)(SIPRNet)都要向零信任安全架構(gòu)邁進(jìn),。簡(jiǎn)單的說(shuō),,就是全網(wǎng)統(tǒng)一零信任架構(gòu),無(wú)論涉密網(wǎng)還是非密網(wǎng),。國(guó)防部將探索將NIPRNet和SIPRNet融合到同一網(wǎng)絡(luò)上的可能性,,依靠零信任原則來(lái)保護(hù)訪(fǎng)問(wèn),并將用戶(hù)許可級(jí)別作為訪(fǎng)問(wèn)的核心屬性,。NIPRNet和SIPRNet均采用SIPRNet的邊界安全措施,,以保持更高的邊界安全水平,作為進(jìn)入的初始屏障,。美軍認(rèn)為,,零信任架構(gòu)可以融合這兩張不同密級(jí)的網(wǎng)絡(luò),化繁為簡(jiǎn),。當(dāng)前暫不論兩網(wǎng)融合的可行性,,這種觀(guān)點(diǎn)至少充分反映出美軍對(duì)零信任架構(gòu)安全性和先進(jìn)性的極其認(rèn)可。
3.美軍零信任架構(gòu)的實(shí)施仍面臨眾多挑戰(zhàn)
NSA指南同時(shí)指出,,美軍實(shí)施零信任解決方案還存在眾多潛在挑戰(zhàn),。這些挑戰(zhàn)來(lái)自于管理和技術(shù)二個(gè)層面。管理層面的挑戰(zhàn),,比如有,,缺乏來(lái)自從領(lǐng)導(dǎo)層、管理員或用戶(hù)層面的整個(gè)企業(yè)的全面支持,,以及存在阻礙零信任策略采用的專(zhuān)業(yè)知識(shí)的缺乏,,為了使系統(tǒng)正常運(yùn)行或確保外圍安全,需要正確的策略以及思維方式的轉(zhuǎn)變,,才能從基于隱性信任模式過(guò)渡到顯性驗(yàn)證模式,,即不信任任何人,等等,。技術(shù)層面的挑戰(zhàn),比如,,在新的零信任環(huán)境下,,如何重新搭建一個(gè)高性能可橫向擴(kuò)展的權(quán)限引擎,,處理更復(fù)雜更細(xì)粒度的訪(fǎng)問(wèn)策略,包括國(guó)防部統(tǒng)一的身份管理目錄,、密鑰管理系統(tǒng)(KMS)(或公鑰基礎(chǔ)設(shè)施PKI),、風(fēng)險(xiǎn)評(píng)估、SIEM與日志審計(jì)等都必須利用更成熟的技術(shù),、更先進(jìn)的科技,、更安全的算法,突破舊的安全瓶頸,,才能將國(guó)防部網(wǎng)絡(luò)的安全水平提升到全新的級(jí)別,。為了應(yīng)對(duì)實(shí)施零信任解決方案的潛在挑戰(zhàn),NSA正在制定并將在未來(lái)幾個(gè)月發(fā)布額外的指南,。
四 結(jié) 語(yǔ)
零信任架構(gòu)將于2021年落地美國(guó)國(guó)防部,,這個(gè)架構(gòu)指南將為國(guó)防機(jī)構(gòu)和IT部門(mén)提供了一個(gè)藍(lán)圖,使網(wǎng)絡(luò)過(guò)渡到這樣一個(gè)模型,,使每個(gè)用戶(hù)都具有相同的高安全級(jí)別,。從本質(zhì)上講,網(wǎng)絡(luò)對(duì)用戶(hù)的信任為零,。這個(gè)架構(gòu)指南以及NSA下一步將發(fā)布的實(shí)施指南,,都代表著國(guó)防部網(wǎng)絡(luò)架構(gòu)的全面轉(zhuǎn)變。值得注意的是,,此次在美全軍范圍內(nèi)推行的零信任架構(gòu)將與其他以往需要大規(guī)模推廣的計(jì)劃有所不同,,零信任將不是孤立的計(jì)劃,而是國(guó)防部網(wǎng)絡(luò)架構(gòu)的一次大規(guī)模轉(zhuǎn)型,,架構(gòu)指南將為國(guó)防部提供一種正確使用現(xiàn)有工具的全新思路,,將會(huì)結(jié)合美軍網(wǎng)絡(luò)的現(xiàn)實(shí)情況在零信任的實(shí)施層面,提出更加具體的建設(shè)思路,、落地指導(dǎo),、應(yīng)用示例,值得密切關(guān)注,。