2021年2月25日,美國國家安全局(NSA)發布關于零信任安全模型的指南《擁抱零信任安全模型》(Embracing a Zero Trust Security Model)。這份指南篇幅不長總共7頁,它的發布更多地是向外界明確傳達出NSA對零信任的一種立場和態度:擁護零信任。
一 背 景
零信任早已在美國國防部受到關注,但零信任方法的實施,直到2019年7月才成為一個具體目標被納入《國防部數字現代化戰略》。在美國國家標準技術研究所(NIST)于2019-2020年連續發布多版《零信任架構》標準草案并且形成最終版本的同時,美國防部創新委員會(DIB)在2019年7月9日通過了《通往零信任安全之路》白皮書,敦促美軍方盡快實施零信任架構(ZTA)。白皮書描述了零信任安全架構所涉及的內容,對傳統邊界安全架構與零信任安全架構進行對比,探討國防部如何實施該技術,并提出一系列問題以了解技術實施是否有效;緊接著,2019年10月24日,DIB又發布《零信任架構建議》報告,其中第一條建議就是:國防部應將零信任實施列為最高優先事項。DIB稱,國防部安全架構的現狀是不可持續的,國防部應將實施零信任列為最高優先事項,同時明確分配實施和管理責任,在整個國防部內迅速采取行動。可見,國防創新委員會認為:零信任架構是美國國防部網絡安全架構的必然演進方向。
2020年,美國國防部進行了幾個零信任網絡試點項目,并計劃從這些項目以及遠程工作相關數據中吸取經驗教訓,以確定零信任網絡的前進道路。其中,NSA、美國防信息系統局(DISA)和網絡司令部聯合啟動了一項針對“零信任”技術的試點項目,并總結試點項目已取得的成果,探討如何將“零信任”技術融入到美國防部體系中。在剛剛過去的幾個月中,DISA一直在與NSA、美軍網絡司令部以及網絡私營部門之間合作,共同開發美國防部的零信任參考體系架構。
NSA是美國情報界的中流砥柱,是美國國家安全系統的技術權威,是美國網絡司令部的搖籃。由于NSA的工作側重于涉密側和進攻側,敏感程度較高,所以不像DISA那么開放。這份零信任安全模型指南則是少見的NSA對于零信任的明確表態,它與DISA年內將要發布的國防部初始零信任參考體系架構在某種程度具有一脈相連的關系。對于其與DISA和美軍網絡司令部共同開發的零信任框架,NSA明確表示,希望利用這套新的網絡安全體系預防、檢測、響應并恢復針對關鍵系統的網絡攻擊活動。
二 指南主要內容
1.概述實施零信任的好處
該指南指出,基于當前的威脅環境,傳統的基于邊界的網絡防御安全技術已證明無法滿足網絡安全需求。而采用零信任這種現代網絡安全戰略,可以從多個有利位置來整合可見性,做出具有風險意識的訪問決策,并自動執行檢測和響應操作,網絡防御者將能夠更好地保護敏感數據、系統、應用程序和服務。NSA強烈建議國家安全系統(NSS)內的所有關鍵網絡、國防部(DoD)的關鍵網絡、國防工業基礎(DIB)關鍵網絡和系統考慮零信任安全模型。
2.定義零信任的概念與內涵
該指南將零信任定義為一種安全模型、一套系統設計原則以及基于承認傳統網絡邊界內外都存在威脅的協調網絡安全和系統的管理策略。指南進一步解釋指出,零信任安全模型消除了對任何一個元素、節點或服務的隱式信任,它是通過從多個來源反饋的實時信息來連續驗證操作情況,以確定訪問和其他系統響應。零信任嵌入了全面的安全監控,是基于風險的細粒度訪問控制和系統安全自動化,可以在動態威脅環境中實時保護關鍵資產(數據)。這種以數據為中心的安全模型允許對每個訪問決策應用最低特權訪問的概念,允許或拒絕基于幾個上下文因素的組合來訪問資源。
3.示例零信任的應用場景
該指南著筆最多的一個部分就是對幾種使用中的零信任場景進行示例,這幾種零信任應用分別是:泄露的用戶憑據、遠程利用或內部威脅、供應鏈受損。指南通過示例表明,一個成熟的零信任實現可以比傳統架構更好地檢測惡意活動。比如,在泄露的用戶憑據示例場景中,指南建議在零信任環境中使用強多因素用戶身份驗證,從而使竊取用戶的憑據變得更加困難;在遠程利用或內部威脅示例場景中,指南指出成熟的零信任環境可以限制對已被泄露的用戶憑證和設備進行枚舉和橫向移動的機會,且數據加密和數字權限管理可以通過限制哪些數據可以訪問以及即使允許訪問也可以對敏感數據采取的操作來提供額外的保護;在供應鏈受損場景中,零信任架構的成熟實現可以讓設備或應用程序本身獲得真正的防御網絡安全優勢,其特權和對數據的訪問將被嚴格控制、最小化和監控,分割(宏觀和微觀)將通過政策來實施,等等。
4.規劃零信任架構成熟的路線圖
NSA指南強調,零信任的實施需要時間和精力,沒有必要一次性過渡到成熟的零信任架構。指南建議將零信任架構規劃成從初始準備階段到基本、中級、高級階段這樣一個逐步成熟的過程,逐漸增強其可見性和自動化響應,將使防御者能夠跟上威脅的步伐,同時將零信任功能作為戰略計劃的一部分逐步整合,可以降低每一步的風險。
三 幾點啟示
1.美軍方已對零信任架構的推行達成全面共識
NSA、DISA、美國網絡司令部(USCYBERCOM)、聯合部隊總部國防部信息網絡部(JFHQ-DODIN)是美國軍方在網絡空間作戰領域的四只主要力量,而這四個機構之間又具有雙帽關系。所以,NSA和DISA的態度可以視為代表美軍方的態度。如果說美軍之前對采用零信任架構還持某種謹慎或者懷疑態度的話,那么,從這份關于零信任安全模型的指南中所傳達出來的NSA的態度,再結合近期DISA領導層在多個重要場合下的表態,可以看出美軍在全軍范圍內推行零信任架構這一點上已達成多方共識,2021年全面推行零信任架構已成為美國防部的重要計劃目標。
2.美軍將探索涉密網和非密網統一的零信任架構
NSA在指南中強烈建議國家安全系統(NSS)內的所有關鍵網絡、國防部(DoD)的關鍵網絡、國防工業基礎(DIB)關鍵網絡和系統考慮零信任安全模型。NSA負責保護國家安全系統(NSS),即敏感程度較高的網絡和系統,如涉密信息系統。所以,這條建議對于高敏感網絡在應用零信任理念方面,具有很強的權威性。再結合之前國防創新委員會的建議,可以預測,未來美軍非密網(NIPRNet)和機密網(SIPRNet)都要向零信任安全架構邁進。簡單的說,就是全網統一零信任架構,無論涉密網還是非密網。國防部將探索將NIPRNet和SIPRNet融合到同一網絡上的可能性,依靠零信任原則來保護訪問,并將用戶許可級別作為訪問的核心屬性。NIPRNet和SIPRNet均采用SIPRNet的邊界安全措施,以保持更高的邊界安全水平,作為進入的初始屏障。美軍認為,零信任架構可以融合這兩張不同密級的網絡,化繁為簡。當前暫不論兩網融合的可行性,這種觀點至少充分反映出美軍對零信任架構安全性和先進性的極其認可。
3.美軍零信任架構的實施仍面臨眾多挑戰
NSA指南同時指出,美軍實施零信任解決方案還存在眾多潛在挑戰。這些挑戰來自于管理和技術二個層面。管理層面的挑戰,比如有,缺乏來自從領導層、管理員或用戶層面的整個企業的全面支持,以及存在阻礙零信任策略采用的專業知識的缺乏,為了使系統正常運行或確保外圍安全,需要正確的策略以及思維方式的轉變,才能從基于隱性信任模式過渡到顯性驗證模式,即不信任任何人,等等。技術層面的挑戰,比如,在新的零信任環境下,如何重新搭建一個高性能可橫向擴展的權限引擎,處理更復雜更細粒度的訪問策略,包括國防部統一的身份管理目錄、密鑰管理系統(KMS)(或公鑰基礎設施PKI)、風險評估、SIEM與日志審計等都必須利用更成熟的技術、更先進的科技、更安全的算法,突破舊的安全瓶頸,才能將國防部網絡的安全水平提升到全新的級別。為了應對實施零信任解決方案的潛在挑戰,NSA正在制定并將在未來幾個月發布額外的指南。
四 結 語
零信任架構將于2021年落地美國國防部,這個架構指南將為國防機構和IT部門提供了一個藍圖,使網絡過渡到這樣一個模型,使每個用戶都具有相同的高安全級別。從本質上講,網絡對用戶的信任為零。這個架構指南以及NSA下一步將發布的實施指南,都代表著國防部網絡架構的全面轉變。值得注意的是,此次在美全軍范圍內推行的零信任架構將與其他以往需要大規模推廣的計劃有所不同,零信任將不是孤立的計劃,而是國防部網絡架構的一次大規模轉型,架構指南將為國防部提供一種正確使用現有工具的全新思路,將會結合美軍網絡的現實情況在零信任的實施層面,提出更加具體的建設思路、落地指導、應用示例,值得密切關注。
