2022年3月1日,美國(guó)國(guó)家安全局(NSA)發(fā)布了一份《網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》技術(shù)報(bào)告,。這份網(wǎng)絡(luò)安全技術(shù)報(bào)告旨在向所有組織提供最新的保護(hù)IT網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)對(duì)網(wǎng)絡(luò)攻擊的建議,,建議側(cè)重于防止現(xiàn)有網(wǎng)絡(luò)常見漏洞和弱點(diǎn)的設(shè)計(jì)和配置,,用于指導(dǎo)網(wǎng)絡(luò)架構(gòu)師和管理員建立網(wǎng)絡(luò)的最佳實(shí)踐,。該報(bào)告由NSA網(wǎng)絡(luò)安全局編寫,。
一
發(fā)布背景
此前,,NSA曾被指出沒(méi)有相關(guān)網(wǎng)絡(luò)安全機(jī)構(gòu),,原因在于幾乎從未公開發(fā)表相關(guān)信息,。在經(jīng)歷了一系列來(lái)自某些國(guó)家的高調(diào)黑客攻擊和違規(guī)行為后,,該機(jī)構(gòu)認(rèn)為必須提升相關(guān)安全技能,并且同時(shí)設(shè)立相關(guān)組織來(lái)幫助某些私營(yíng)部門,。
2019年,,NSA成立了網(wǎng)絡(luò)安全局,負(fù)責(zé)預(yù)防和消除對(duì)美國(guó)國(guó)家安全系統(tǒng)(NSS)和關(guān)鍵基礎(chǔ)設(shè)施的威脅,,最初的重點(diǎn)是國(guó)防工業(yè)基地及其服務(wù)提供商,。隨后,網(wǎng)絡(luò)安全局利用NSA豐富的信息保障遺產(chǎn),,重新調(diào)整了工作重點(diǎn),,以滿足當(dāng)前和未來(lái)的需求。它將NSA網(wǎng)絡(luò)安全任務(wù)的關(guān)鍵部分,,如威脅情報(bào),、脆弱性分析、密碼技術(shù)和防御行動(dòng)進(jìn)行了整合,,更加公開透明,,旨在提高整個(gè)政府和行業(yè)的網(wǎng)絡(luò)安全門檻,同時(shí)增加美國(guó)對(duì)手的代價(jià),。
網(wǎng)絡(luò)安全局自2019年成立以來(lái),,已經(jīng)發(fā)布了50多份網(wǎng)絡(luò)安全報(bào)告。特別地,,網(wǎng)絡(luò)安全局利用NSA卓越的技術(shù)能力,,針對(duì)不斷演變的網(wǎng)絡(luò)安全威脅制定的建議和緩解措施是其中的重要組成?!毒W(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》技術(shù)報(bào)告,,正是網(wǎng)絡(luò)安全局針對(duì)國(guó)家安全系統(tǒng)、國(guó)防部信息系統(tǒng)和國(guó)防工業(yè)基地的威脅,,制定和發(fā)布的相關(guān)網(wǎng)絡(luò)安全規(guī)范和緩解措施之一,,用于指導(dǎo)網(wǎng)絡(luò)架構(gòu)師和管理員建立網(wǎng)絡(luò)的最佳實(shí)踐。
二
主要內(nèi)容
該技術(shù)報(bào)告介紹了總體網(wǎng)絡(luò)安全和保護(hù)單個(gè)網(wǎng)絡(luò)設(shè)備的最佳做法,,并指導(dǎo)管理員阻止對(duì)手利用其網(wǎng)絡(luò),。該指南是通用的,可以應(yīng)用于多種類型的網(wǎng)絡(luò)設(shè)備,。它提供的建議涵蓋網(wǎng)絡(luò)設(shè)計(jì),、設(shè)備密碼和密碼管理,、遠(yuǎn)程登錄、安全更新,、密鑰交換算法等等,。概括起來(lái),有以下主要內(nèi)容:
1.網(wǎng)絡(luò)體系架構(gòu)與設(shè)計(jì)采用多層防御
報(bào)告認(rèn)為,,實(shí)現(xiàn)多層防御的安全網(wǎng)絡(luò)設(shè)計(jì)對(duì)于抵御威脅和保護(hù)網(wǎng)絡(luò)中的資源至關(guān)重要,。無(wú)論網(wǎng)絡(luò)外設(shè)還是內(nèi)部設(shè)備,其設(shè)計(jì)均應(yīng)該遵循安全最佳實(shí)踐和典型零信任原則,。對(duì)此,,報(bào)告建議:(1)在網(wǎng)絡(luò)周邊配置和安裝安全設(shè)備;(2)將網(wǎng)絡(luò)中的類似系統(tǒng)邏輯組合在一起,,以防止其他類型系統(tǒng)的對(duì)抗性橫向移動(dòng),;(3)取消所有后門網(wǎng)絡(luò)連接,并在使用多個(gè)網(wǎng)絡(luò)接口連接設(shè)備時(shí)謹(jǐn)慎使用,;(4)采用嚴(yán)格的外設(shè)訪問(wèn)控制策略,;(5)實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制(NAC)解決方案,以識(shí)別和驗(yàn)證連接到網(wǎng)絡(luò)的唯一設(shè)備,;(6)限制和加密虛擬專用網(wǎng)(VPN),。
2.定期進(jìn)行安全維護(hù)
報(bào)告認(rèn)為,過(guò)時(shí)的硬件和軟件可能包含已知的漏洞,,并為對(duì)手利用網(wǎng)絡(luò)提供了一種簡(jiǎn)單的機(jī)制,。通過(guò)定期將硬件和軟件升級(jí)到供應(yīng)商支持的更新版本,可以緩解這些漏洞,。對(duì)此,,報(bào)告建議:(1)驗(yàn)證軟件和配置的完整性;(2)維護(hù)正確的文件系統(tǒng)和引導(dǎo)管理,;(3)維護(hù)軟件和操作系統(tǒng)的及時(shí)升級(jí)更新,;(4)對(duì)開發(fā)商提供的過(guò)時(shí)或不受支持的硬件設(shè)備應(yīng)立即升級(jí)或更換,以確保網(wǎng)絡(luò)服務(wù)和安全支持的可用性,。
3.采用認(rèn)證,、授權(quán)和審計(jì)來(lái)實(shí)施訪問(wèn)控制并減少維護(hù)
報(bào)告認(rèn)為,集中式認(rèn)證,、授權(quán)和審計(jì)(AAA)服務(wù)器可提高訪問(wèn)控制的一致性,減少配置維護(hù),,降低管理成本,。對(duì)此,報(bào)告建議:(1)實(shí)現(xiàn)集中式服務(wù)器,;(2)配置集中式的認(rèn)證,、授權(quán)和審計(jì)(AAA),;(3)運(yùn)用最小特權(quán)原則;(4)限制身份驗(yàn)證嘗試的次數(shù),。
4.創(chuàng)建具有復(fù)雜口令的唯一本地賬戶
報(bào)告認(rèn)為,,本地賬戶對(duì)于網(wǎng)絡(luò)設(shè)備的管理至關(guān)重要。對(duì)此,,報(bào)告建議:(1)使用唯一的用戶名和賬戶設(shè)置,;(2)更改默認(rèn)口令;(3)刪除不必要的賬戶,;(4)采用個(gè)人賬戶,;(5)使用最安全的算法存儲(chǔ)設(shè)備上的所有口令;(6)為所有級(jí)別的訪問(wèn)(包括用戶訪問(wèn)和特權(quán)級(jí)別訪問(wèn))分配唯一和復(fù)雜的口令,;(7)為每個(gè)設(shè)備上的每個(gè)賬戶和特權(quán)級(jí)別分配唯一,、復(fù)雜和安全口令;(8)根據(jù)需要更改口令,。
5.實(shí)施遠(yuǎn)程記錄和監(jiān)控
報(bào)告認(rèn)為,,日志記錄是記錄設(shè)備活動(dòng)和跟蹤網(wǎng)絡(luò)安全事件的重要機(jī)制,為管理員提供了檢查可疑活動(dòng)日志和調(diào)查事件的能力,。對(duì)此,,報(bào)告建議:?jiǎn)⒂萌罩荆辽俳蓚€(gè)遠(yuǎn)程集中日志服務(wù)器,,以確保設(shè)備日志消息的監(jiān)視,、冗余和可用性;將每個(gè)設(shè)備上的陷阱和緩沖區(qū)日志級(jí)別至少設(shè)置系統(tǒng)日志的“信息”級(jí)別,,以收集所有必要的信息,;每個(gè)設(shè)備和遠(yuǎn)程日志服務(wù)器至少使用兩個(gè)可信賴和可靠的時(shí)間服務(wù)器,以確保信息的準(zhǔn)確性和可用性,,等等,。
6.實(shí)施遠(yuǎn)程管理和網(wǎng)絡(luò)業(yè)務(wù)
報(bào)告認(rèn)為,管理員可通過(guò)SSH,、HTTP,、SNMP和FTP等各種業(yè)務(wù)對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施遠(yuǎn)程管理,而這些業(yè)務(wù)也是對(duì)手利用和獲得對(duì)設(shè)備的特權(quán)級(jí)別訪問(wèn)的攻擊目標(biāo),。為此,,報(bào)告建議:使用加密業(yè)務(wù)保護(hù)網(wǎng)絡(luò)通信,并禁用所有明文管理業(yè)務(wù),;確保足夠的加密強(qiáng)度,;使用最新版本的協(xié)議,并適當(dāng)啟用安全設(shè)置;限制對(duì)業(yè)務(wù)的訪問(wèn),;設(shè)置可接受的超時(shí)時(shí)間,;使傳輸控制協(xié)議保持可用狀態(tài);禁用出站連接,;禁用每個(gè)設(shè)備上的所有不必要的業(yè)務(wù),,禁用特定接口上的發(fā)現(xiàn)協(xié)議,等等,。
7.配置網(wǎng)絡(luò)應(yīng)用路由器以對(duì)抗惡意濫用
報(bào)告認(rèn)為,,如果路由器本身或動(dòng)態(tài)選路協(xié)議配置不當(dāng),則可能讓對(duì)手將數(shù)據(jù)包重定向到不同的目的地,,從而使敏感數(shù)據(jù)被收集,、操縱或丟棄,這將違反機(jī)密性,、完整性或可用性,。對(duì)此,報(bào)告建議:禁用所有設(shè)備上的IP源路由,;在外圍路由器的外部接口上啟用單播反向路徑轉(zhuǎn)發(fā)(URPF),;啟用路由認(rèn)證,等等,。
8.正確配置接口端口
報(bào)告認(rèn)為,,正確配置的接口端口可以防止對(duì)手對(duì)網(wǎng)絡(luò)實(shí)施攻擊嘗試。對(duì)此,,報(bào)告建議:禁用動(dòng)態(tài)中繼,;啟用端口安全;禁用默認(rèn)VLAN ,;禁用未使用的端口,;禁用端口監(jiān)視;禁用代理地址解析協(xié)議(ARP),,等等,。
三
幾點(diǎn)分析
該技術(shù)報(bào)告有以下幾個(gè)特點(diǎn):
1.建議詳盡且具有可操作性
該份技術(shù)報(bào)告從多個(gè)不同維度對(duì)網(wǎng)絡(luò)架構(gòu)師和管理員給出指導(dǎo),每個(gè)維度下均有具體的細(xì)分建議,。本報(bào)告中的指導(dǎo)建議對(duì)于客戶評(píng)估其網(wǎng)絡(luò)和即時(shí)加固網(wǎng)絡(luò)設(shè)備,,無(wú)論是從深度和廣度上均具有充分性。管理員除了必要的維護(hù)功能外,,還在防御網(wǎng)絡(luò)對(duì)抗敵對(duì)威脅方面發(fā)揮著關(guān)鍵作用,。遵循這一指導(dǎo)意見將有助于這些網(wǎng)絡(luò)維護(hù)者將網(wǎng)絡(luò)安全最佳做法付諸行動(dòng),降低受到損害的風(fēng)險(xiǎn),,并確保網(wǎng)絡(luò)更加安全和得到更好的保護(hù),。這些建議是NSA網(wǎng)絡(luò)專家對(duì)于網(wǎng)絡(luò)設(shè)計(jì)配置給出的最佳實(shí)踐指南,,具有很強(qiáng)的可操作性。
2.支持零信任模式
該報(bào)告同時(shí)提到了零信任架構(gòu),,這是一種假設(shè)網(wǎng)絡(luò)內(nèi)外都存在威脅并持續(xù)驗(yàn)證用戶、設(shè)備和數(shù)據(jù)的安全模型,。利用零信任原則,,系統(tǒng)管理員可以控制用戶、進(jìn)程和設(shè)備如何使用數(shù)據(jù),。這些原則可以防止濫用受損的用戶憑據(jù),、遠(yuǎn)程利用或內(nèi)部威脅,甚至可以減輕供應(yīng)鏈攻擊的影響,。白宮的指導(dǎo)規(guī)定,,所有聯(lián)邦機(jī)構(gòu)都必須采用這種安全模式,并將其放在首位,。NSA表示完全支持零信任安全模式,,但隨著系統(tǒng)所有者引入新的網(wǎng)絡(luò)設(shè)計(jì)以實(shí)現(xiàn)更成熟的零信任原則,報(bào)告中的指導(dǎo)可能需要修改,。
3.與相關(guān)技術(shù)指南和管理政策保持高度一致性
該份技術(shù)報(bào)告里面涉及的相關(guān)內(nèi)容與CISA 2022年發(fā)布的“通過(guò)分段分層網(wǎng)絡(luò)安全”,、NSA 2019年發(fā)布的“分部網(wǎng)絡(luò)和部署應(yīng)用程序感知防御”、NSA 2021年發(fā)布的“選擇和強(qiáng)化遠(yuǎn)程訪問(wèn)VPN解決方案”,、NSA 2020年發(fā)布的“配置IPsec虛擬專用網(wǎng)絡(luò)”,、NSA 2019年發(fā)布的“緩解最近VPN漏洞”、管理和預(yù)算辦公室2021年發(fā)布的“提高聯(lián)邦政府對(duì)網(wǎng)絡(luò)安全事件的調(diào)查和補(bǔ)救能力”等技術(shù)指南具有相關(guān)繼承性,;同時(shí),,該技術(shù)報(bào)告遵循了拜登政府2021年發(fā)布的行政命令14028“改善國(guó)家的網(wǎng)絡(luò)安全”、DISA和NSA 2021年發(fā)布的“國(guó)防部零信任參考體系架構(gòu)”以及NSA 2021年發(fā)布的“擁抱零信任安全模式”等相關(guān)政策和戰(zhàn)略思想,??梢钥闯觯琋SA在制定和實(shí)施改善國(guó)家網(wǎng)絡(luò)安全的行政命令方面發(fā)揮了重要作用,。
四
結(jié) 語(yǔ)
目前,,NSA已經(jīng)轉(zhuǎn)型為網(wǎng)絡(luò)安全界的一個(gè)開放型領(lǐng)導(dǎo)機(jī)構(gòu)。2021年,,NSA發(fā)起了多個(gè)合作論壇,,在非密、秘密和絕密級(jí)別與NSS,、關(guān)鍵基礎(chǔ)設(shè)施和重要資源機(jī)構(gòu)分享威脅,、脆弱性和緩解措施。
在過(guò)去一年中,,針對(duì)對(duì)手當(dāng)前使用的戰(zhàn)術(shù)和技術(shù),,NSA總共發(fā)布了23份報(bào)告,,其中有12份報(bào)告是與一個(gè)或多個(gè)合作伙伴共同完成。通過(guò)與美國(guó)政府和私營(yíng)部門的合作,,NSA和合作伙伴能夠分享更全面的威脅理解和最頂層的防御行動(dòng),。2022年,NSA已發(fā)布了多份報(bào)告及技術(shù)指南,,《網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》是其中一份建議,;未來(lái),NSA將會(huì)發(fā)布更多的指南,、實(shí)踐與政策,,值得持續(xù)關(guān)注。