为加速对零信任架构的推进工作,在联邦首席信息官(CIO)委员会的要求下,NIST之前已经发布了《零信任架构》标准草案第2版,公开评论已经结束。
为配合上述标准的推进工作,本月(2020年3月)NIST下属单位NCCoE发布《实现零信任架构》(草案)项目说明书,征求公开评论。该项目说明书瞄准的是零信任架构的落地实践,希望实现安全性与用户体验的兼得。
我们的观点:作为一项系统工程,安全一点都不简单,不论是传统边界模型,还是零信任模型。零信任的本质是身份与属性管理体系与动态安全策略对IT基础设施和应用系统的深度结合与全面覆盖。在向零信任架构迈进时,请务必夯实安全基础。
一、背景
背景1:NCCoE是NIST下属单位
2020年3月,国家标准与技术研究所(NIST)下属的NCCoE(国家网络安全卓越中心,National Cybersecurity Center of Excellence),发布《实现零信任架构》项目说明书(草案),寻求意见反馈。公开评论期现已开放,将于2020年4月14日结束。
国家网络安全卓越中心(NCCoE)是NIST的一部分,是一个协作中心,在此行业组织、政府机构、学术机构共同应对企业最紧迫的网络安全挑战。通过这种合作,NCCoE开发了模块化、易于调整的网络安全解决方案示例,演示如何使用商用技术来应用安全标准和最佳实践。
背景2:联邦首席信息官委员会的努力
近年来,包括2015年人事管理办公室(OPM)数据泄露在内的几起备受瞩目的网络攻击,都破坏了传统的基于边界的模式。此外,由于云计算的增长、移动性、现代劳动力的变化等因素,边界变得更加模糊和动态。
正是在这种背景下,联邦首席信息官(CIO)委员会在2018年与NIST NCCoE接洽,帮助联邦机构围绕ZTA的定义达成一致,并了解零信任架构的好处和局限性。联邦机构间的合作,导致了NIST SP 800-207《零信任架构》(草案)的出版。
2019年11月,NCCoE和联邦CIO委员会共同举办了一次零信任架构技术交流会议,来自政府和行业的零信任供应商和从业人员聚集一堂,分享在联邦政府和商业部门实施零信任方面的成功经验、最佳做法和经验教训。
NCCoE项目将建立在这方面的知识基础之上,试图建立并记录一个与NIST SP 800-207中的概念和原则相一致并使用商用产品的零信任架构示例。
二、摘要
云计算、移动设备使用、物联网的普及已经模糊了传统的网络边界。企业必须不断发展,为用户提供从任何位置和设备对公司资源的安全访问,保护与业务伙伴的交互,保护客户机-服务器以及服务器之间的通信。
零信任的网络安全方法消除了用户和网络的信任假设。它专注于以安全的方式访问资源,而不考虑网络位置、用户和设备,实施严格的访问控制,并不断检查、监视和记录网络流量。这需要数据级的保护、健壮的身份架构、战略性的微分段,以围绕组织的数字资源创建细粒度信任区。零信任在开放连接的时间段内,实时评估访问请求和网络流量行为,同时持续不断地重新校准对组织资源的访问。
该NCCoE项目将展示一个基于标准的零信任架构的实现。本项目说明书的发布将开始一个过程,该过程将进一步确定项目需求和范围,以及在实验室环境中使用的硬件和软件组件。在实验室中,NCCoE将构建一个模块化、端到端的示例零信任架构,该架构将解决一系列与NIST网络安全框架一致的网络安全挑战。该项目将产生一份免费的NIST网络安全实践指南。
本说明书定义了国家网络安全卓越中心(NCCoE)项目,以帮助组织设计零信任。该项目将产生一个ZTA的示例实现,该ZTA是根据NIST SP 800-207中记录的概念和原则设计和部署的。更具体地说,本项目的主要目标是演示一种拟议的网络拓扑结构,该拓扑结构使得分布在场内和云环境中的不同企业资源(如数据源、计算服务和物联网设备)可以发挥作用,并继承ZTA解决方案的特征。
本项目的第二个目标是识别并尽可能减少由于采用具有上述解决方案特征的ZTA策略而对用户体验造成的负面影响。一个成功的ZTA解决方案应该尽可能少地给用户体验带来不愉快。
该项目将产生一份可公开获取的NIST网络安全实践指南(NIST Cybersecurity Practice Guide),它是一份详细的实施指南,说明实施网络安全参考设计所需的实际步骤,该设计旨在实现项目目标。
零信任的概念已经存在了十多年,但支持零信任的技术现在才成为主流。零信任架构在很大程度上依赖于用于身份管理、资产管理、应用程序身份验证、网络分段和威胁情报的组件和功能。零信任架构应该在不牺牲用户体验的情况下增强网络安全。NCCoE正在研究零信任及其组件技术的当前行业发展,这些技术支持实用、安全和基于标准的零信任架构的目标。
三、场景
场景1:员工访问公司资源
员工希望从任何工作地点轻松、安全地访问公司资源。此场景将演示一种特定的用户体验,其中员工尝试使用企业管理的设备访问企业服务,如企业内部网、考勤系统和其他人力资源系统。该资源的相关访问请求将由本项目中实现的ZTA解决方案动态和实时地提供。
场景2:员工访问互联网资源
员工正在尝试访问公共internet以完成某些任务。此场景将演示一种特定的用户体验,其中员工尝试使用企业管理的设备在internet上访问基于web的服务。虽然基于web的服务不是由企业拥有和管理的,但是该项目中实现的ZTA解决方案仍然会动态和实时地提供对该资源的相关访问请求。该解决方案将允许员工在任何位置访问,也就是说,员工可以使用企业管理设备在企业内部网、分支办公室或公共互联网内连接时访问互联网。
场景3:承包商访问公司和互联网资源
承包商试图访问某些公司资源和互联网。此场景将演示一个特定的用户体验,其中受雇提供特定服务的承包商,试图访问某些公司资源和internet以执行组织的计划服务。公司资源可以是本地或云中的,承包商将能够在本地或从公共互联网访问公司资源。承包商试图访问的资源的相关网络访问请求,将由本项目中实施的ZTA解决方案动态和实时地提供。
场景4:企业内的服务器间通信
企业服务通常有不同的服务器相互通信。例如,web服务器与应用服务器通信。应用服务器与数据库通信以将数据检索回web服务器。此场景将演示企业内服务器间交互的示例,其中包括场内、云中或在本地和云中服务器之间的服务器。本项目中实施的ZTA解决方案,将动态和实时地提供相互交互的指定服务器之间的关联网络通信。
场景5:与业务伙伴的跨企业协作
两个企业可以在资源共享的项目上协作。在这种情况下,本项目中实现的ZTA解决方案将使一个企业的用户能够安全地访问另一个企业的特定资源,反之亦然。例如,企业A用户将能够从企业B访问特定的应用程序,而企业B用户将能够从企业A访问特定的数据库。
场景6:利用公司资源建立信心水平
企业有监控系统、安全信息和事件管理(SIEM)系统以及其他资源,这些资源可以向策略引擎提供数据,从而为访问企业资源创建更细粒度的信任级别,并促进基于信任级别的严格访问。在这种情况下,ZTA解决方案将这些监控和SIEM系统与策略引擎集成,以生成更精确的置信水平计算。
四、架构和组件
ZTA(零信任架构)高层级架构
组件清单
核心组件:策略引擎、策略管理器、策略执行点;
支撑组件:CDM系统、行业合规系统、威胁情报、网络和访问日志记录系统、数据访问策略、PKI系统、身份管理系统、SIEM系统;
设备和网络基础设施组件:设备、网络基础设施组件;
以上组件的定义都直接来自NIST SP 800-207《零信任架构标准(草案)》,故不再赘述。
期望要求
本项目旨在开发满足以下要求的参考设计和实施:
代表了基于标准的解决方案架构,该架构是实现ZTA的有效和安全方法
无需使用第三方工具(如VPN、TIC(可信互联网连接)),即可直接访问场内和云中的互联网和公司资源
演示与云和企业场内部署资源的集成
显示与标准目录协议和身份管理服务的集成(例如,轻量级目录访问协议(LDAP)、活动目录(AD)、OpenLDAP、安全断言标记语言(SAML))
通过标准API演示与传统和当前的SIEM工具的集成
显示所需的企业用户设备安全要求,包括:静态数据保护,对设备漏洞、设备误用、恶意软件执行、数据丢失风险的缓解,恶意活动的感知和响应等。
五、权威参考
美国官方发布的权威零信任参考资料(均可链接至译文):
2019年4月:ACT-IAC(美国技术委员会-行业咨询委员会)发布《零信任网络安全当前趋势》;
2019年7月:DIB(国防创新委员会)发布《零信任之路》;
2019年9月:NIST(美国国家标准与技术研究院)发布《零信任架构标准(草案)》;
2019年10月:DIB(国防创新委员会)发布《零信任架构(ZTA)建议》;
2020年2月:NIST发布《零信任架构标准(第2版草案)》,两个版本草案的详细对比参见《零信任架构标准(第2版草案)全文对比》;
2020年3月:NIST NCCoE发布《实现零信任架构》(草案)项目说明书,即本篇。
声明:本文来自奇安信战略咨询规划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
