近日,美国国家标准与技术研究院为联邦管理人员发布了一份规划指南,概述了如何将 NIST 风险管理框架应用于实施零信任架构。RMF 提出了一种方法,其中包括一组集成到企业风险分析、规划、开发和运营中的步骤和任务。这些步骤分为七个行动:准备、分类、选择、实施、评估、授权和监控。
零信任提供了一组概念,旨在最大限度地减少在信息系统和服务中执行准确的、最小权限的每项请求访问决定时的不确定性,面对一个被视为有争议的网络。零信任从根本上说是由一套原则组成的,信息技术架构的规划、部署和运行都基于这些原则。零信任采用整体观点,考虑到对特定任务或业务流程的潜在风险以及如何减轻这些风险。因此,没有单一的具体的零信任基础设施实施或架构。零信任解决方案取决于被分析的工作流程和执行该工作流程时使用的资源。零信任战略思想可用于规划和实施企业IT基础设施,该计划被称为零信任架构(ZTA)。
企业管理员和系统操作员需要参与规划和部署,以使ZTA获得成功。ZTA规划需要系统和工作流程所有者以及专业安全架构师的投入和分析。零信任不能简单地添加到现有的工作流程中,而是需要整合到企业的所有方面。本文件为正在向ZTA迁移的管理员和操作人员介绍了NIST风险管理框架(RMF)的概念。RMF规定了一种方法,包括一套步骤和任务,被整合到企业风险分析、规划、开发和运营中。通常不执行RMF中详述的步骤和任务的管理员可能会发现,当他们迁移到ZTA时,他们需要熟悉这些步骤和任务。
NIST特别出版物800-207提供了一个零信任的概念框架。虽然这个概念框架并不全面,但可以作为一个工具来理解和开发企业的ZTA。该指南还提供了一个抽象的逻辑架构,可以用来映射解决方案和差距。这个抽象的架构在下面的图1中得到了再现。
图1:核心零信任逻辑组件
在这张图中,组件是按逻辑功能来描述的,因此不一定代表作战系统中的能力构成。多个组件有可能以分布式的方式服务于一个逻辑功能,或者一个解决方案可以完成多个逻辑角色。
政策引擎(PE):ZTA实施的"大脑"和最终评估资源访问请求的组件。PE依赖于来自各种数据源的信息(访问日志、威胁情报、端点健康和网络ID认证等);
政策管理员(PA):PE的执行者功能。政策管理员的作用是在主体和资源之间的数据平面上建立、维护并最终终止会话。PA、PE和PEP在一组逻辑上(或物理上)独立的通道上进行通信,称为控制平面。控制平面用于建立和配置用于发送应用流量的数据平面通道;
政策执行点(PEP):应用程序、终端等将与之互动以获得对资源的访问许可的组件。PEP负责为PE收集信息,并遵循PA发出的指令,建立和终止通信会话。企业资源之间的所有数据面通信必须由PEP管理;
信息反馈(左边和右边):有时称为策略信息点(PIP)。这些不是"核心"功能的ZTA组件本身,而是用来支持PE的。这些馈送包括编纂的策略集、身份和终端属性、环境因素和历史数据,由PE用于生成资源访问决策。
1 零信任的信条
零信任可以被概括为一套用于规划和实施IT架构的原则。以下原则最初是在NISTSP800-207中定义的,但在这里被重复和扩展,并被分组为与网络身份、终端健康或数据流有关。其中包括对这些信条的一些讨论,以及规划者在开发零信任架构时应牢记的一些考虑。
1.1.1 处理网络身份治理的信条
所有的资源认证和授权都是动态的,并在允许访问之前严格执行。一个典型的企业拥有广泛的网络身份集合:终端用户、流程和服务使用的账户等。有些终端用户可能有多个网络身份,有些身份可能只被硬件/软件组件使用。企业需要有治理政策和结构,以便只有授权的操作才能执行,而且只有在身份正确认证后才能执行。企业需要考虑目前的身份治理政策是否足够成熟,以及目前在哪里和如何进行认证和授权检查。动态执行意味着其他因素,如端点和环境因素会影响认证和授权政策。
1.1.2 处理端点的信条
I.所有数据源和计算服务都被视为资源。一个企业依靠不同的资源来执行其任务:移动设备、数据存储、计算资源(包括虚拟)、远程传感器/执行器等。所有这些组件都是资源,需要在ZTA中加以考虑。一些组件(如物联网传感器)可能无法支持一些解决方案,如配置代理、应用程序沙盒等,因此可能需要补偿技术或替代缓解措施。如果资源缺乏某些安全能力,企业可能需要添加一个PEP组件来提供该功能。
II.企业监控和测量所有拥有的和相关的资源的完整性和安全态势。本宗旨涉及企业拥有的资源和那些可能不属于企业但在企业工作流程中使用的资源的网络卫生方面,如配置、补丁、应用程序加载等。应该对资源的状态进行监控,并在报告或观察到新的信息,如新的漏洞或攻击时采取适当的行动。资源上的数据的保密性和完整性应该得到保护。这就要求企业管理员知道资源是如何配置、维护和监控的。
1.1.3 适用于数据流的原则
I.所有通信都是安全的,无论网络位置如何。在零信任中,网络总是被认为是有争议的。在设计ZTA时,应假定网络上存在攻击者,并可能观察/修改通信。适当的保障措施应到位,以保护传输中的数据的保密性和完整性。如果一个资源不能提供这个功能,则需要一个单独的PEP组件;
II.对单个企业资源的访问是在每个会话的基础上授予的。在一个理想的零信任架构中,每一个独特的操作都会在执行操作之前经过认证和授权。例如,在对数据库进行读操作之后的删除操作应该触发额外的认证和授权检查。这种级别的细化可能并不总是可能的,可能需要其他缓解方案,如日志和备份,以检测和恢复未经授权的操作。企业管理员将需要计划如何在单个资源上执行细粒度的访问策略。如果企业使用的安全工具不允许这样做,其他解决方案,如日志、版本工具或备份可能有助于实现预期的访问控制结果和管理这种风险;
III.对资源的访问由动态策略决定,包括客户身份、应用/服务和请求资产的可观察状态,并可能包括其他行为和环境属性。在零信任中,所有资源的默认行为是拒绝所有连接,只接受策略明确允许的连接。那些被授权访问资源的人仍然必须验证自己,并证明他们符合企业政策,以获得会话。这可能包括满足诸如客户端软件版本、补丁级别、地理位置、历史请求模式等要求。请注意,可能无法在每次访问请求时执行所有检查,一些政策检查可能在独立的时间表上执行;
IV.企业应尽可能多地收集有关资产、网络基础设施和通信现状的信息,并利用这些信息来改善其安全态势。零信任增加了动态响应因素,这在以前基于周边的架构中通常是缺乏的(或不可能)。这就要求企业在可行的范围内,在政策、法规或法律要求的限制(或要求)下,监控所有的流量。系统日志和威胁情报被用来完善或改变政策,以应对新的信息。一个零信任的企业可以迅速采取行动,隔离受影响的资源,直到它们可以被修补或修改以减轻新发现的漏洞。管理员将需要为企业建立和维护一个全面的监控和补丁程序,并应考虑自动化工具如何协助应对新发现的威胁。
零信任旅程
转向零信任架构永远不会从头开始,而是会随着时间的推移涉及一系列的升级和变化。有些变化是简单的配置变化,有些则涉及购买和部署新的基础设施;这一切都取决于企业目前使用的和可用的工具。迁移到ZTA的过程并不是一个独特的过程,与其他网络安全的升级或改进类似,但在规划和实施中以零信任原则为指导。现有的框架,如NIST风险管理框架(RMF)和网络安全框架(CSF)可以帮助企业讨论、开发和实施ZTA。
NIST SP 800-37修订版,信息系统和组织的风险管理框架。安全和隐私的系统生命周期方法,描述了风险管理框架(RMF)方法及其七个步骤。
七个步骤
组织和系统准备(PREPARE步骤)
系统分类(CATEGORIZE步骤)
控制选择(SELECT步骤)
控制的实施(IMPLEMENT步骤)
控制评估(ASSESS步骤)
系统授权(AUTHORIZE步骤)
控制监控(MONITOR步骤)
虽然RMF步骤是按顺序描述的,但在最初实施后,它们可以按任何顺序进行或重新审视。构成这七个步骤的各个任务可以根据需要进行和重新审视,也可能与其他步骤和任务并行。各个步骤之间的过渡可以是流动的(见图2)。在制定和实施ZTA时也是如此,因为零信任的动态性质可能需要重新审视RMF步骤,以应对新的信息或技术变化。
对于最初的零信任迁移,这些步骤通常是按顺序进行的。RMF的步骤与JohnKindervag为零信任所开发的高级步骤非常相似,下面是部分映射。这个过程假设授权边界已经创建,工作流程中使用的系统组件也是已知的。在Kindervag的原始高层描述中,没有明确的CATEGORIZE步骤,因为它的开发没有考虑到联邦机构的政策。Kindervag的步骤是:
1.绘制资源的攻击面并确定可能被恶意行为者攻击的关键部分。这项活动将由"准备"和"选择"步骤中的任务涵盖。
2.从准备步骤开始,数据流应该被识别和映射。
3.实施步骤。重点是在资源和相关的PEP上实施SELECT阶段的控制。PEP可以是一个独立于资源本身的组件,用于满足认证/授权相关控制。底层网络不应该被认为是可信的,所以单个资源之间的链接必须通过一个PEP。
4.评估步骤。确保所有在实施步骤中制定并到位的访问策略都得到了实施,并按计划运行。这将以授权步骤结束,系统和工作流处于开始实际操作的状态。
5.监控步骤。实施对资源(及其安全状态)的监控和管理流程。
2.1.1 准备
RMF流程的第一步是准备。当开始零信任过渡时,这一步是基础性的,因为资源、网络身份和角色/特权的完整清单是零信任所必需的。PREPARE步骤包括适用于组织和任务/业务流程层面以及系统层面的任务。系统架构师、管理员和操作人员可能会专注于PREPARE步骤中基于系统级别的任务,但可能对组织和任务/业务流程级别的任务有宝贵的投入。业务流程所有者也可以向系统管理员提供关于如何在工作流程中利用资源的意见,这也可以帮助确定安全要求的范围。准备"步骤主要侧重于让组织准备好使用NISTRMF管理其安全和隐私风险,并在组织、任务和业务流程以及系统级别建立基本活动。
企业架构团队应专注于识别RMF任务/业务层面的相关业务流程(工作流)和系统。应该对每个工作流程进行风险分析,包括为拟议的ZTA增加的新操作或组件可能产生的影响。应确定参与工作流程的所有者和关键人员,并在分析中提供投入,因为他们可能有关于偏离现有工作流程或系统文件的工作流程的知识和经验。这与PREPARE步骤的组织和任务/业务流程级别的任务相对应。系统管理员和操作人员应着重于识别用于执行已确定的业务流程的资源。这一重点映射到准备步骤的系统级任务。
涉及每个工作流程的资源将是安全计划的主题。安全计划是"正式文件,它提供了信息系统安全要求的概述,并描述了为满足这些要求而实施或计划实施的安全控制"。这有可能涵盖。
属于两个不同类别的资源。
o用于直接支持特定工作流程的工作流程特定资源。例子包括单一用途的报告数据库和用于向该数据库提交报告的基于云的应用程序。
o由几个(或所有)工作流程共享的一般基础设施资源。例子包括网络基础设施(交换机、无线网络接入点等),以及一般网络服务(DNS、电子邮件等)。
组织内使用的网络身份和治理工具。这不仅仅是一个终端用户账户的列表,还包括软件组件使用的服务账户、终端ID等。
组织内使用的任何数据分类方案和程序。
企业资源监控的现状。零信任的基础之一是对企业中数据流的理解和监控。在实施ZTA之前,企业拥有一个坚实的持续监测计划和工具集是至关重要的,可以利用。
一旦完成了识别独特工作流程和企业资源的基础工作,就可以确定RMF授权边界(任务P-11)。授权官员根据其他利益相关者的意见确定授权边界,包括企业架构师、任务或业务所有者和系统所有者。授权边界包括所有系统组件,并可能包括任何提供安全功能的PEP组件。授权边界内的资源之间的连接也必须是安全的,而且不能隐含信任。零信任原则认为网络是有争议的,所以授权边界内的资源之间的连接要受到与跨越授权边界的连接相同的控制(例如从外部互联网到边界内,反之亦然)。如果相同的PEP解决方案被用于其他资源,那么PEP组件所涵盖的控制措施可能在其他系统中可以重复使用,例如一些云访问安全代理(CASB)或类似的解决方案被用于为多个不同资源提供PEP组件时。
2.1.2 归类
这一步在零信任的规划过程中并没有改变。FIPS199 和FIPS200用于根据工作流程中的保密性、完整性和可用性要求,将资源置于低、中或高类别。资源的所有者和使用该资源的工作流程可以成为这组任务的宝贵输入。与准备步骤一样,系统管理员可能对任务C-1至关重要。这是一项记录系统特征的任务,包括资源和相关工作流程。
2.1.3 选择
这个步骤在零信任规划过程中也不会改变。NISTSP800-53B中列出了低、中、高影响系统的基线控制。额外的控制可以作为控制调整的一部分被添加或删除,调整控制以管理资源的风险,它的已知攻击面,以及它在工作流程中的位置。使用控制叠加可能有助于此,但叠加不应被认为是不可改变的,应针对独特的资源、工作流程和拟议或增加的ZTA组件进行定制。规划者还应该考虑PEP将满足哪些控制,以及哪些可能需要在资源本身实施。与CATEGORIZE步骤一样,资源所有者和使用该资源的工作流所有者可以在这一步骤中提供宝贵的意见。由于零信任重视对安全态势的持续监控和更新,网络安全架构师和管理员需要开发一个全面的监控流程,以处理零信任的动态性质所需的数据量。
除了NISTSP 800-53和SP800-53B之外,企业架构师和管理员不妨根据需要查阅其他资源,如《联邦CIO手册》和TIC3.0文件以及其他要求的用例。TIC3.0用例文件可以为潜在的架构提供一个高层次的初始游戏手册。TIC3.0文件中的"信任区"概念可能会影响定义授权边界的过程。这些文件可能有助于为资源制定所需的一套要求和安全属性。系统管理员应该为相关任务提供必要的输入。任务S-4和S-5可能需要最多的输入,因为管理员和操作员对构成系统的资源有最多的了解。
2.1.4 实施
实施步骤,与前两个步骤相同,没有任何零信任的具体问题。然而,就像RMF和零信任一样,应该牢记未来的监控/维护操作。管理员可能希望避免涉及频繁的人类所需行动的解决方案,或者不容易适应拟议的或现有的监控系统。"零信任"鼓励自动化对不断变化的安全问题有动态的反应,而人工变化可能无法跟上频繁的变化。该步骤中的两项任务都涉及特定资源的管理员和操作员。
2.1.5 评估
在ZTA中,对控制的评估应该是持续的,以解决不断变化的环境。。管理员和操作人员在这一步骤中可能没有具体的任务,但可能需要提供关于系统中的资源或工作流程的信息。作为回应,评估步骤应该被认为包括两个评估过程:对系统的持续评估(也是下面MONITOR步骤的一部分),以及用于管理系统的过程。管理过程必须被评估,因为零信任的动态性质意味着系统本身的变化可能比人类执行的评估程序所能管理的规模还要快。这种评估将变化过程等因素考虑在内,以评估系统如何被修改。评估系统本身的SP800-53控制,最好是有一个利用监控程序的持续评估部分。应经常进行自动检查或扫描,以发现系统中的变化。日志数据应被用来检测需要进一步调查或补救的可能的恶意行为。这种评估也可以包括积极的过程,如对系统的红队测试,作为评估的输入。
2.1.6 授权
这一步的目标在任何架构中都是一样的,认为一个系统不仅仅是其当前的操作部署。ZTA应该是动态和流动的,以应对不断变化的网络条件。授权不应该被视为适用于静态系统的操作,而是适用于系统和它的变化或更新过程。
2.1.7 监控
如前所述,零信任要求企业监控用于执行其主要任务的资源。这包括端点卫生和用户行为以及网络流量。这与NISTSP 800-37r2 表8中的任务M-1相符。具体如何做到这一点,取决于企业的技术解决方案。然而,不管是哪种技术,企业都应该有相应的政策,以根据通过监控观察到的行为触发行动。这可能包括对安全事件作出反应,或与修改或改进系统的DevOps流程挂钩。除了监测企业资源的当前活动和状态外,网络安全规划者应考虑外部威胁情报如何有助于对新情况作出先发制人的反应。
2.1.8 RMF操作循环
零信任适合使用更加动态的开发和操作(DevOps)以及DevOps和安全(DevSecOps)风格的操作。安全更新和审查的周期可以被描述为涉及RMF流程的一个子集。例如,网络安全态势的DevOps循环可以表示为下图3。
图3:DevOps周期
在这个循环中,监控步骤中收集的数据会反馈到实施步骤中。随着改进和完善的实施,它们会被评估,并跟随持续的授权步骤进入操作。如果有必要,DevOps/DevSecOps团队甚至可以退回到SELECT步骤,如果新的信息导致新的控制被添加或现有的控制被删除。
即使在一个更静态的IT运营环境中,零信任模型也可以被看作是一个只有三个RMF步骤的循环。在这个循环中,没有DevOps组件,所以随着从系统日志、威胁情报等收集到的新信息,评估和授权步骤会不断循环。这可能会导致新的配置变化或政策更新。如果新的信息需要更大的改变,对操作的更大改变将不那么频繁,并且涉及更长的周期,因为如果新的信息需要更大的改变,就会执行循环之外的其他步骤。
图4:运营周期
结论
零信任不是一个单一的技术解决方案,而是一个更大的网络安全战略和操作实践。一个成功的零信任架构需要网络安全规划者、管理层和行政/运营部门的合作。零信任还需要系统、数据和流程所有者的参与,而这些所有者在传统上可能不会对其收费的风险提供投入。这种投入是至关重要的;零信任是企业网络安全的整体方法,需要管理人员、IT人员和一般企业用户的支持。NIST风险管理框架提供了一个整体的过程来管理系统和组织的网络安全和隐私风险。它还可以帮助管理员和操作员以及其他不主要关注网络安全的人。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
