国防部应将零信任实施列为最高优先事项

美国国防创新委员会(DIB)于2019年10月24日发布报告《零信任架构(ZTA)建议》(Zero Trust Architecture (ZTA) Recommendations)。本报告主要提供了关于国防部零信任实施层面的建议。

国防创新委员会的职责是向国防部长提供独立建议。

本文将给出该报告的完整译文(见正文第二章),同时给出我们对该报告的解读(见第一章)。

一、报告解读

1)实施零信任的紧迫性

本报告的第一条建议就是:国防部应将零信任实施列为最高优先事项,并在整个国防部内迅速采取行动,因为国防部目前的安全架构是不可持续的(参考建议1.1)。

可见,国防创新委员会认为:零信任架构是美国国防部网络安全架构的必然演进方向

2)零信任架构的影响范围

关于零信任架构的影响范围,国防创新委员会明确建议:非密网(NIPRNET,非机密互联网协议路由器网络)和机密网(SIPRNET,机密互联网协议路由器网络)都要向零信任安全架构迈进。简单的说,就是全网统一零信任架构,无论涉密网还是非密网。

国防创新委员会建议国防部探索将NIPRNet和SIPRNet融合到同一网络上的可能性,依靠零信任原则来保护访问,并将用户许可级别作为访问的核心属性。NIPRNet和SIPRNet均应采用SIPRNet的边界安全措施,以保持更高的边界安全水平,作为进入的初始屏障。(参见建议2.4)这个建议令人惊讶!我们一直认为,将NIPRNet作为SIPRNet与互联网之间的屏障,是美军的一大创举和特色,可以作为我们调整网络结构的重要参考。没想到,国防创新委员会认为,零信任架构可以融合这两张不同密级的网络,化繁为简。暂不论两网融合的可行性,这种观点至少充分反映出国防创新委员会对零信任架构安全性和先进性的极其认可。

3)零信任的推进主体

国防部零信任架构的实施,需要指定一个单独实体,即“零信任管理者”,来协调各种正在进行的零信任工作。零信任管理者应该制定明确包括零信任原则的网络安全战略。(参见建议1.2)

这些论点同样适用于国内军队和大型政企客户。如果没有具有足够权威的单独实体负责整体推进,零信任的实施将会困难重重。这对于了解IT团队与安全团队之间不和谐现状的人而言并不难理解。

考虑到零信任架构与网络、应用和数据的密切联系(源于零信任架构的内生安全属性),建议军政企客户在规划未来的整体战略(企业战略)和网络安全战略中,都应明确提出零信任原则。

考虑到零信任架构的系统性和整体性,建议军政企客户在选择零信任安全集成商时,应充分考虑其对零信任架构的理解和积累,而不能只从网络、应用、云平台单方面考虑,在没有整体安全架构视野的情况下,零散拼凑零信任解决方案和产品,导致零信任的实施难以落地,效果难以达成。

4)零信任的分阶段实施策略

零信任的实施是一个分阶段不断迭代的过程。无需采取“全部或全无”的方式,来实现零信任。(参见建议1.3)

“全部或全无”是很多零信任反对者的观点,他们认为:由于某些零信任要素还不健全或成熟度不够,就不应该在现阶段考虑实施零信任策略。

我们都知道:安全是个迭代演进的过程,零信任安全同样如此。

至于零信任的实施是从关键网络资源还是非关键网络资源开始,我们认为比较合理的方式是:先从个别非关键网络资源进行试点(确保不影响业务可用性),一旦成功后就尽快对关键网络资源实施零信任访问控制,然后再逐渐过渡到所有应该覆盖的网络资源。

5)零信任终极状态

构成国防部网络零信任最终状态的关键词包括:网络边界安全、最低权限访问模型、基于角色和属性的访问控制模型(RBAC/ABAC)、多因素认证(MFA)、设备安全配置管理(SCM)。(参见第二章实施建议)

其中明确指出:网络边界安全防护仍然是有必要的,是零信任架构的组成部分。

另外需要特别提醒的是,设备安全配置管理(SCM)包含了资产、配置、漏洞、补丁等诸多基础性工作内容,是安全工作的基础之基础。虽然美国国防部在安全配置管理(SCM)方面持续努力了十多年,但直到今天仍然在强调设备安全配置管理的重要性。而我国国内在安全配置管理方面一直发展缓慢且不受重视,因为它是苦活、脏活、不出彩的活,很难成为安全负责人的关注焦点。无论是考虑到零信任架构的有效实施,还是网络安全的应有之义,安全配置管理都应当成为十四五时期安全工作的重中之重

6)零信任实施的重点领域

零信任架构在应用和服务级别的三个重点领域是:用户身份认证+设备身份认证+“最低权限访问”授权。这三个重点领域都应该逐步增加用户、设备、数据和应用程序的属性的粒度,以实现更精细的访问控制。(参见第二章实施建议)

这表明,(用户、设备、数据、应用)属性的粒度也是可以逐步细化和扩展的,没有必要也不太可能一次到位。

7)关于用户身份认证

国防注册资格报告系统(DEERS数据库是国防部的权威用户身份来源,用于跟踪所有国防部用户,包括美国服役人员、军队退休人员、残疾退伍军人、家属、国防部活跃承包商等人员。

身份联合有助于跨网络同步身份认证。通过将认证责任交给联合身份供应商/管理者,可以减轻本地网络和网络资源的认证负担。然而,当前的实际情况是:国防部的活动目录并没有联合到森林中。其原因在于国防部的网络飞地之间缺乏信任,导致活动目录的联合遇到阻碍。如果各个飞地采取更积极的零信任策略,来构建细粒度的身份属性并强制设备合规性,则联合认证反而可能会更容易被接受。(参见建议2.2)反观国内,军政企客户当前也没有实现很好的身份联合,其原因也包含上面提到的跨单位/部门间缺乏信任。对于这种现实困境,零信任反而给出了比较好的解决方案。

关于用户的属性,国防部范围的属性管理系统需要跨不同网络为每个用户维护最新的属性集。本地网络可以开发用户属性,但用户属性必须同步到属性管理系统。而这些工作都是零信任管理者的重要职责。(参见建议2.1)可见,对于大型企业级客户而言,属性的开发、管理、同步不是一件容易的事,需要零信任推进主体重点考虑。

通过将零信任原则作为用户和设备的基线,可以将非国防部用户(如国防承包商、盟国和没有CAC的合作伙伴)整合到国防部网络生态中。(参见建议2.5)这表明,零信任原则不仅仅影响到国防部的内部用户,也可以对外部用户(包括没有美国公民身份的盟国和伙伴)施加访问控制。而且,正是因为零信任具有令人信服的访问控制能力,才使得国防部网络敢于向更广泛的外部用户开放访问。

8)关于设备认证

国防部的零信任架构需要一个全面的设备清单,跟踪连接到NIPRNet和SIPRNet的所有设备。必须一致地扫描NIPRNet和SIPRNet,以发现连接到每个网络的所有设备。必须确保对所有接入NIPRNet和SIPRNET的设备,使用标准化的健康合规检查。(参见建议3.1)这些建议表明,设备清单、资产发现、准入控制、健康检查是零信任设备管理的基础。

针对便携式设备(移动电话、笔记本电脑等),需要构建“以便携为中心”的设备管理,强制要求满足健康和配置合规性要求。并鼓励国防部网络减少对封闭物理位置的依赖,而应更广泛地应用“便携性”模型(参见建议3.3)我们很早就注意到,国防部高度重视和发展商用移动设备的访问管理,甚至将移动访问平台与传统通信平台视为权重相当的两种通信传输方式。本报告进一步增强了我们的这一看法。

应记录网络流量和所有设备的使用日志,以检测指定设备上的用户行为模式,并标记行为中的异常以供管理员监控。网络流量和网络上用户/设备行为的日志和监控,应在国防部范围内标准化。(参见建议3.2)可见,网络流量、主机日志、(用户/设备)行为日志,都是零信任设备管理所需的源数据,至少应在企业级范围内标准化,这自然也引出了流量分析、日志分析、行为分析等安全综合分析技术的强需求。

9)关于授权

国防部应该维护单一的联合授权源。可通过现有商业解决方案,将本地身份属性转换到联合授权源中。并以更精细的粒度标记数据和资源。将授权与(用户/设备的)位置进行解耦,使授权更多地依赖于身份属性。(参见建议4.1~4.3)这里强调了单一联合授权、网络资源的细粒度标记、身份属性的重要性。

二、《零信任架构(ZTA)建议》译文

实施建议

基于现有国防部(DoD)的网络脆弱性和未来的网络需求,国防创新委员会(DIB)建议国防部开始朝着非机密互联网协议路由器网络(NIPRNET)和机密互联网协议路由器网络(SIPRNET)的零信任安全架构模型迈进。虽然零信任的实施将是一个跨不同国防部网络的迭代过程,但国防部的所有零信任工作都应努力实现以下网络生态系统最终状态

  • 继续在网络周边使用边界安全措施,但承认可能会发生网络失陷。

  • 在“最低权限访问模型”下运行,默认情况下网络用户无法访问网络中的任何应用程序或服务。即使未经授权的用户闯入网络,该用户也不能访问任何敏感数据或服务。

  • 根据用户的角色,在(角色)粒度级别授予访问权限(属性包括但不限于组织、项目和许可级别)。这些属性应跨国防部网络进行共享,以实现高效、有针对性的访问管理。

  • 始终利用多因素认证(MFA)验证网络边界和每个网络资源的身份和访问。

  • 监控接入国防部网络的任何设备的健康状况,以阻止失陷设备的访问,并推动设备配置最佳实践

为了实现这些长期目标,DIB已制定了近期的实施建议。ZTA要求从DevSecOps到任务系统软件管理的网络安全的整体视角,但在本文中,DIB的重点是国防部的认证、授权和加密方法。这些建议的目的是作为一个共同的基准,供组织之间同步他们的零信任工作,并避免每个组织开发多个彼此不兼容的安全架构的风险。这些建议是对“国防部数字现代化战略”的补充,在该战略中,国防部首席信息官制定了一个路线图,通过云、人工智能、指挥、控制和通信以及网络安全等方面支持国防战略的实施。特别是,这些建议可用于支持数字现代化战略的第三个目标,即“使网络安全朝着灵活和弹性的防御态势发展”。此外,这些建议与国防部2018年网络战略相一致,该战略侧重于私营部门的伙伴关系和网络弹性。

DIB先前在一份名为“通往零信任(安全)之路”的白皮书中描述了零信任架构(ZTA)。该白皮书旨在供国防部内外的技术和非技术网络安全干系人使用,以提供对ZTA原则和术语的共同理解,以下建议旨在使决策者与国防部的技术领导协同工作。

DIB的白皮书列出了ZTA在网络中的应用和服务级别的三个重点领域:

  1. 用户身份认证

  2. 设备身份认证

  3. “最低权限访问”授权

对于用户身份认证,国防部人员目前使用通用访问卡(CAC),通过硬件支持的MFA,在边界处获得NIPRnet的访问权限。通过从通用数据库(国防注册资格报告系统,Defense Enrollment Eligibility Reporting System,简称DEERS)中提取数据,CAC在整个国防部网络中得到识别。该数据库包括基本的相关属性,例如人员类别(例如,联系人、现役人员、文职人员等)和高层级组织(例如,驱逐舰研发(OUSD R&E)、驱逐舰A&S(OUSD A&S)、陆军中队等)。SIPRNet同样依赖于使用SIPR令牌的硬件支持的MFA;与CAC一样,SIPR令牌在SIPRNet的边界处,使用基本属性(如用户名和高层级组织)授予访问权限。NIPRNet和SIPRNet都依赖域控制器来处理身份认证请求,但是很少有域控制器被联合到一个可以为域森林提供身份认证的公共系统中。零信任用户身份认证系统可以利用任意数量的身份识别/标识机制,无论是CAC、SIPR令牌还是其他。不论机制如何,这些属性最终都应该在国防部网络中共享,以便在更精细的层次上创建用户身份和相关属性的通用图片。

对于设备认证,国防部必须确保使用标准化的健康合规要求,在国防部网络生态系统中对接入NIPRNet的设备进行一致的扫描和监测。如果没有这些措施,将很难在整个网络上运行健康检查,也将为恶意行为体提供访问网络和网络资源的机会。这也会为零信任的实施制造屏障,因为它要求对寻求访问的设备进行映射,以便在这些设备上运行健康检查。由于与网络连接的设备数量较少,SIPRNet目前比NIPRNet具有更好的网络设备感知,但SIPRNet和NIPRNet都应继续努力在国防部网络生态系统中实现一致的设备管理标准

国防部授权目前仅在本地网络级别运行,没有与一个联合授权源同步。同时,数据和资源没有以允许更精确授权的粒度级别进行标记,因此,某些网络和网络飞地的访问固有地包括了混杂的权限。这一挑战并非国防部独有:一些大公司拥有类似的本地管理授权结构,但通过应用商业软件解决方案,将每个本地网络的属性输入“翻译”成一种公认的语言,成功地同步了每个本地网络中的信息。类似地,拥有大量网络资源的商业公司(如Google)实现更细粒度的数据标记,以实现更精确的授权。

这三个重点领域都应该积极寻求,随着时间的推移,增加分配给用户、设备、数据和应用程序的属性的粒度。此详细信息将允许在网络资源中进行更有针对性和目的性的数据传输、管理和使用,允许创建上下文检查以确保用户、设备、数据和应用程序被正确的相互映射。

每一步都有独特的实施挑战。以下建议为零信任领导和在整个国防部应用零信任原则提供了指导,使用了有针对性但可扩展的方法。

1)零信任:同步工作

建议1.1:国防部部长办公室应优先考虑零信任安全架构,并支持国防部实施零信任。

  • 国防部安全架构的现状是不可持续的。正在进行的安全演习已显示出明显的漏洞,这些漏洞只会随着网络攻击面的扩大而继续增长。然而,如果国防部不能及时做出反应,它就有陷入自身惰性的风险。

  • 国防部部长办公室可以通过明确和一致地将零信任实施列为最高优先事项,同时明确分配实施和管理责任,在整个国防部内迅速采取行动。

建议1.2:国防部部长办公室应在国防部内指定零信任网络管理(“零信任管理者”)的具体职责。

  • 如果没有一个单独的实体,协调各种正在进行的零信任工作,国防部将可能继续在松散地遵守零信任原则但不同步且无法利用通用访问规则的口袋中运作。

  • 零信任管理者还应制定并阐明国防部网络安全战略,以包括零信任原则。基于这一战略,国防部可以识别并获得符合该战略的商业产品,而不是在没有更广泛架构视野的情况下拼凑商业产品。这将使国防部能够通过创建一个安全产品获取和实施框架,最大限度地降低成本,并提高网络安全的有效性。

  • 为了支持网络安全战略,国防部应制定一份记分卡,其中包含可以比较国防部内(各网络)相对网络安全性的指标。这些指标可以包括以下项目:运行防病毒软件的网络设备的百分比、使用MFA的资源的百分比、持久管理帐户和服务帐户的数量等。

建议1.3:在扩展到其他网络资源之前,先从关键网络资源开始,在这些接入点建立零信任原则。

  • 无需采取“全部或全无”的方式来实现零信任。采取分阶段的方式,可以鼓励更多的组织开始实施零信任,但这些组织最终需要零信任管理者的支持和协调,以帮助他们确定零信任的优先级,快速地实施零信任,并与国防部其他零信任工作保持一致。

  • 关键资源可以被封锁,通过使用代理来过滤用户和设备访问,而将遗留系统逐渐变成零信任遵从性。

建议1.4:100%加密在设备之间传输的数据(“传输数据”)或在大容量存储器中存储的数据(“静止数据”),并促进利用现有标准(例如,CNSSP 15)进行的跨国防部的互操作加密。

  • 数据加密将需要组织范围内的稳健和安全的加密密钥管理策略

  • 加密是零信任安全的一个关键组件,因为它假定网络本身不可信任,网络上的任何数据都必须相应地受到保护。今后,国防部还应考虑与过程/处理中数据相关的风险,并鼓励对该阶段的数据管理进行加密,此外还应考虑传输或静止的数据。

2)用户认证

建议2.1:使用基于CAC和SIPR令牌的方法,探索和测试更细粒度的用户属性(例如,工作组合和项目)的使用。

  • 本地网络可以开发细粒度属性,但这些属性最终必须同步并更新到国防部范围的管理系统。

  • 零信任管理者必须一致地为每个参与组织,实施属性更新和同步标准,以确保属性管理系统跨不同网络为每个用户维护最新的属性集

  • 对更细粒度属性的访问可以是有时间限制的,这取决于用户对该资源或数据的参与所需的时间长度,系统管理员应能够在分配的时间内的任何时候,根据需要快速切断访问。

  • 但仅当授权访问的组织流程是及时的,时间限制才是有效的。如果用户的访问被阻止,并且重新应用和重新获得访问的时间被禁止,用户就不会被激励去构建能够提供更高访问保真度的粒度属性。

  • 用户认证应该是“白痴校对”,以允许不可避免的人为错误(例如,不需要长而复杂的密码,因为人类将不可避免地写下来,留在一目了然的地方)。从长远来看,国防部应该考虑像生物认证这样的解决方案来降低这种风险。

建议2.2:通过将责任交给联合身份供应商/管理者,减轻单个本地网络和网络资源的认证负担。

  • 国防部的活动目录(AD)当前没有联合到森林中,而联合有助于跨网络同步身份认证。此功能可由第三方身份管理供应商进行管理(对于此类管理者,商业部门有多种选择)。

  • 由于网络飞地之间缺乏信任,AD联合有时会遇到犹豫(既在国防部,又在商业部门)。有些人认为联合是一个漏洞,因为网络访问经常伴随着对某些网络资源的自动访问,这种考虑导致每个组织都不愿意与不需要直接访问其网络的新用户和设备连接。一旦单个飞地采取更主动的步骤来构建细粒度的身份属性并强制设备合规性,则AD联合可能会更容易接受。网络访问不应与网络内的任何自动资源访问相关联,这将降低感知到的联合风险。

建议2.3:将常设管理职权改为临时的、依赖任务的管理职权。

  • 任何用户都不应被授予“超级用户”的广泛、持续访问权限。用户应在必要时接收选择性访问,然后在用户完成其管理任务后将其删除。

建议2.4:投资于“分类作为属性”的研发和探路者,其中用户许可级别可被用作一种检查以授予对网络资源内特定数据的访问权限。

  • 国防部应探索将NIPRNet和SIPRNet融合到同一网络上的可能性,依靠零信任原则来保护访问,并将用户许可级别作为访问的核心属性。NIPRNet和SIPRNet均应采用SIPRNet的边界安全措施,以保持更高的边界安全水平,作为进入的初始屏障。

建议2.5:在国防部各组织之间制定一项共同战略,将非国防部用户(如国防承包商、盟国和没有CAC的合作伙伴)整合到网络生态系统中,将零信任原则作为用户和设备的基线。

  • 国防部已经在研究和寻求更好地将非国防部用户集成到国防部网络中的方案,同时保持零信任安全标准(如国防部企业DevSecOps计划)。国防部应继续寻找在整个国防工业基地被一致应用的CAC替代方案,依靠零信任最佳实践(例如,MFA,可根据需要快速删除访问的有时间限制的访问)。

  • 国防部还应继续研究更好地将没有美国公民身份的盟国和伙伴纳入作战行动的方法,可以根据需要提供狭窄的、有针对性的网络访问。

3)设备认证

建议3.1:一致地扫描NIPRNet和SIPRNet,以发现连接到每个网络的所有设备。

  • 国防部的零信任架构需要一个全面的设备清单,跟踪连接到NIPRNet和SIPRNet的所有设备,类似于DEERS数据库跟踪所有国防部用户的方式。

  • 设备扫描/管理过程可以(也应该)跨网络分阶段进行,而非试图一次性地在整个国防部实施。组织应识别其网络上的高价值资产,并专注于扫描/管理连接到这些资产的设备。

  • 扫描和监控连接到网络的设备,以识别不健康/不合规的设备,然后切断其访问或完全移除设备。

建议3.2:确保一致和健壮的跨网络和网络飞地的设备使用日志记录,以检测特定设备上的用户行为模式,并标记行为中的异常以供管理员监控。

  • 网络流量和网络上用户/设备行为的日志和监控,应在国防部范围内标准化。这将提供对网络映射的更好理解,并使识别可能指示对网络资源的未经许可访问的异常行为变得更加容易。

建议3.3:以SIPRNet为基础,构建“以便携为中心”的设备管理(专注于移动电话、笔记本电脑等)。应要求便携式网络设备满足健康和配置合规性要求,这些标准最终也应适用于非便携式设备。

  • 目前与SIPRNet网络相关的便携式设备数量有限。这提供了一个“空白板”,以对添加到网络中的任何新便携式设备强制要求合规性,同时也鼓励整个网络减少对作为安全源头的封闭物理位置的依赖。作为这项工作的一部分,所有的便携式设备都应该被要求对静止和传输中的数据进行加密。

  • 国防部最终应更广泛地应用该“便携性”模型,以便所有设备(如台式机)具有相同的合规性要求,无论是否便携。

建议3.4:确保国防部在其整个网络中定期和一致地进行设备健康检查,利用现有的商业解决方案来监控设备的合规性,并在未符合合规性的情况下驱动设备重新配置。

  • 各种各样的商业解决方案可以解决这个挑战,例如杀毒软件。国防部应该能够以最小化改动来应用商业解决方案。

  • 商业解决方案将有助于识别不健康/不合规的设备。这些设备要么在合规之前被切断,要么被完全移除。这种“遵从连接”(C2C,Comply to Connect)的方法已经在国防部范围进行了探索,但需要强制实施,以提供网络安全的基线。

  • 除了在接收到访问请求时检查设备健康状况外,网络还应定期运行设备健康检查,以维持安全基线。检查的速度越快越好。

4)“最小权限访问”授权

建议4.1:部署现有的商业解决方案,以将本地网络属性输入转换为单一联合授权源。

建议4.2:在国防部网络中以更精细的级别标记数据和资源,以便对请求访问的用户和设备进行更精确的授权,从而限制杂乱的权限。

  • 国防数字服务(DDS,Defense Digital Service)目前正在设计零信任“包装器”( wrappers),可以放置在网络资源周围,以更有针对性的方式运行身份认证和授权。零信任管理者应与DDS协调,以验证这一概念,并考虑在国防部范围广泛部署的实施步骤。

建议4.3:将用户和设备的位置与授权解耦。连接点不应驱动访问(例如,五角大楼的连接不应提供超出基本互联网连接以外的任何自动访问)。

  • 相反,除了对设备配置合规性和加密标准进行基本检查外,访问应在很大程度上取决于用户和设备的身份属性。

声明:本文来自奇安信战略咨询规划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。