浅析美军“雷霆穹顶”零信任项目

2023 年 2 月 15 日，美国国防信息系统局（DISA）宣布 Booz Allen Hamilton 公司完成了零信任项目“雷霆穹顶”（Thunderdome）的原型设计，美国国防部、DISA 各总部和 DISA 战地司令部等单位的约 1600 名用户已开始试用该项目的原型架构。尽管“雷霆穹顶”项目尚未结束，后续还需经历红队测试等阶段，但原型架构的落地还是标志着美军向零信任愿景迈出了一大步。那么作为美军的第一个零信任项目，“雷霆穹顶”究竟有何独特之处？下文将根据有限的公开信息对该项目梳理一二。

一、项目背景

随着移动办公和远程办公的日渐普及，美军注意到位于国防信息系统网络（DISN）边界之外的用户在迅速增加，同时传统的深度防御型网络安全技术乃至近年来推出的“联合区域安全堆栈”（JRSS）又难以提供高性能的端到端安全连接服务。在此形势下，DISA 于 2021 年 7 月推出“雷霆穹顶”项目，希望按照零信任理念，将美军当前以网络为中心的纵深防御模式转变为以数据保护为中心的新模式，以满足新形势下的网络安全需求。

1.1 推进国防部的零信任愿景

美国国防部于 2022 年 11 月正式发布《国防部零信任战略》（以下简称《战略》）及其配套路线图，其中明确指出了美军的零信任愿景：依托零信任安全框架打造可扩展、有弹性、可审计且能防御的信息环境，从而保护国防部的信息体系，尤其是保护国防部的数据、应用程序、资产和服务（DAAS）。《战略》并未提及“雷霆穹顶”或其它任何零信任项目，而是阐明了零信任工作所应遵循的总体原则和战略目标，但从其列出的种种零信任能力及其对商业云基零信任服务的支持来看，“雷霆穹顶”无疑正是该战略所述的零信任行动方案（COA）之一。

具体来说，“雷霆穹顶”项目的信息征询书（RFI）明确要求使用“安全访问服务边缘”（SASE）。SASE 是一种涵盖了零信任理念的安全架构，其利用“软件定义型广域网”（SD-WAN）技术来搭建几乎不受限制的虚拟网络，从而将安全 Web 网关（SWG）、云访问安全代理（CASB）和“防火墙即服务”（FWaaS）等安全功能整合到一个云平台，由其提供覆盖系统、网络、终端和用户的一站式安全服务。反观《战略》，其第 2 和第 3 项战略目标明确提出“保护所有业务层面的通信”和“简化架构”等要求，而这些要求正是 SASE 的优势所在。另外承接“雷霆穹顶”项目的 Booz Allen Hamilton 公司曾为美国总务管理局（GSA）等政府部门提供云服务，这意味着该公司能够像《战略》所期待的那样，将成熟的政府云基服务纳入国防部的零信任架构。

1.2 逐步取代饱受批评的 JRSS

为通过集中管理的方式来强化网络安全，美军从 2014 年开始推进的JRSS 项目。JRSS 是一种拥有防火墙和入侵检测等关键性网络安全功能的设备套件，理论上可为一定区域内的诸多网络节点提供统一且标准的网络安全服务。美军原本希望通过 JRSS 将其分散在全球 1000 多个网络入口缩减至 25 个左右，从而显著改善网络安全水平，结果却事与愿违。2018 年，红队测试表明 JRSS 的防护能力不如预期，运作评测主任（DOT&E）也发现JRSS 存在配置过于复杂、数据流量超出处理能力以及因通信延时而导致效率低下等问题。这一系列问题迫使美国陆军和空军于 2018 年先后停止推进JRSS 项目，之后在各方压力下，美国国防部最终于 2021 年决定逐步淘汰JRSS 项目。

DISA 之所以于 2022 年初推出“雷霆穹顶”项目，一定程度上就是为了填补 JRSS 项目取消后留下的安全空白。“雷霆穹顶”虽会吸纳防火墙等JRSS 项目成果，不过与主要通过流量检测来保障安全的 JRSS 不同，“雷霆穹顶”贯彻了零信任安全理念，主要通过持续而广泛的身份验证来保障安全，其保护范围和力度都明显大于 JRSS。此外“雷霆穹顶”采用了 SASE和 SD-WAN 等较为成熟的商业架构和技术，这也是 DISA 最初将原型架构开发时间限定为 6 个月的底气所在（后延长至 1 年）。值得注意的是，DISA不像 JRSS 项目那样强制美军各单位参与“雷霆穹顶”，这种做法或许会减少该项目面临的阻力，但却可能带来机构间互操作性的问题。

1.3 顺应远程办公的时代潮流

新冠疫情严重干扰了传统的集中办公模式，为减轻疫情对日常工作的影响，近年来美军开始大力推进远程办公。美国国防部及国防承包商的远程办公人数早在 2020 年就超过了 100 万人，美国陆军则于 2022 年 9 月启动“自带设备”（BYOD）方案试点，允许官兵通过个人设备访问陆军的企业云 cARMY。客观地说，远程办公确实有助于提高工作效率，但却需要美军向远程用户开放大量访问权限，而用户一侧的网络环境、接入终端和使用场景等又复杂多样，甚至接入终端本身也可能失窃。所以对那些原本无法突破传统网络安全边界的黑客和恶意软件来说，远程办公就意味着有机会通过防护薄弱的用户端入侵美军的涉密网络。

在此背景下，美军认为以“雷霆穹顶”为代表的零信任模式正是消除远程办公安全风险的最佳手段。毕竟与采用“虚拟专用网络”（VPN）的传统方式相比，零信任模式下的授权控制要精细许多，其要求每次访问时都验证人员、设备、应用程序和目标资源等身份信息，并根据这些信息将用户权限限定在最小的必要范围内。由此一来，即使黑客或恶意软件成功从用户端入侵系统，也难以长期潜伏在网络中，所能造成的破坏更是相当有限。此外零信任模式还能实时评估用户活动、设备位置和应用程序状态等风险因素，发现异常后立刻采取撤销权限等响应措施，从而大大提高美军在远程办公条件下的网络安全水平。

二、项目目标

根据 DISA 于 2021 年 9 月发布的项目申请白皮书，“雷霆穹顶”项目的目标是创建、设计、开发、演示和部署包括 SD-WAN 技术、客户边缘安全堆栈（CESS）和应用程序安全堆栈（AppSS）在内的一系列工具、系统或能力（其中 CESS 应设置在 DISN 的客户边缘入网点（PoP）处，可扩展的AppSS 则应设置在应用程序的工作负载前端），然后运用这些工具、系统或能力在涉密互联网协议路由器网络（SIPRNet）和非密互联网协议路由器网络（NIPRNet）上建立采用 SASE 架构的零信任安全模式，从而改善美军的网络安全水平、提高网络路由效率以及简化复杂或冗余的网络安全架构。

DISA 最初希望在 6 个月内开发出可供 25 个 SD-WAN 站点和 5000 名用户试用的“基本可用产品”（MVP）或者说原型架构，几经调整后，最终将原型架构的开发时间延长为一年，试用人数调整为 3 处 DISA 场所的共5400 名用户。DISA 鼓励项目方酌情采用商业领域的最佳做法，项目的经验教训将应用到企业级零信任网络访问（ZTNA）体系的开发与部署中，项目成果则将推广至各军种、各作战司令部、其它国防单位乃至外部合作方。

三、关键技术

“雷霆穹顶”项目涉及到 SASE、SD-WAN、网络态势感知（Cyber SA）、CESS、AppSS、数据处理（包括数据的提取、浓缩、格式化、转换、查询、共享、可视化及存储等）、身份认证、安全访问策略、系统集成和分布式拒绝服务（DDoS）防御等诸多技术，基本涵盖了美国国防部提出的所有七大零信任支柱（即用户、设备、网络／环境、应用程序与工作负载、数据、可视化与分析工具以及自动化与编排）。其中最主要的技术领域分别是SASE、SD-WAN、CESS 和 AppSS。以下架构图简要展示了这些技术在“雷霆穹顶”项目中的布局。

图 1“雷霆穹顶”项目搭建的零信任架构

缩写说明

3.1 安全访问服务边缘（SASE）

SASE 旨在满足用户的远程动态安全访问需求，其严格来说不是一项具体的技术，而是一整套架构或者说技术解决方案，涵盖了 SD-WAN、SWG、CASB、ZTNA 和 FWaaS 等诸多技术。SASE 的主要特征包括：1）以身份驱动安全，即系统中的所有行为与访问控制均取决于用户、设备和程序等对象的标识；2）云原生，即 SASE 的所有功能均通过云平台提供，并具备云平台的自适应性和自恢复性等优点；3）兼容所有边缘，即支持所有物理、数字和逻辑层面的边缘设备和系统；4）全球分布，理论上可为全球任何一地的用户提供服务。SASE 的成本、灵活性、可维护性和用户体验等都明显优于以往的 VPN 等安全架构，因此近年来已成为政企网络安全架构的主流发展方向。在“雷霆穹顶”项目中，DISA 采用了 Palo Alto 公司的 Prisma云服务来搭建 SASE 架构，当用户使用云服务或互联网服务时，用户的流量不会穿过 DISN，从而能最大程度地避免 DISN 遭到入侵。

3.2 软件定义型广域网（SD-WAN）

SD-WAN 是当前备受关注的网络连通性管理技术，其主要特征包括：1）支持多协议标签交换（MPLS）、互联网和长期演进（LTE）等不同网络制式之间的混合链接；2）可根据流量动态调整网络路径，从而有效提高数据传输效率；3）管理与操作简单，甚至可采用零配置部署模式；4）支持 VPN以及广域网优化控制器（WOC）和防火墙等各类业务。在“雷霆穹顶”项目中，DISA 要求所用的 SD-WAN 技术既能对特定流量进行微隔离、优先级排序和自动配置，从而在现有的 DISN 基础设施上形成覆盖网络，又能与DISA 现有的系统（包括“身份、凭证及访问管理”（ICAM）系统、“合规连接”（Comply to Connect）系统、端点系统、“安全信息与事件管理器”（SIEM）和数据分析平台等）相整合，以便根据用户和端点的属性以及应用程序与数据标记策略来限制相关功能。

3.3 客户边缘安全堆栈（CESS）与应用程序安全堆栈（AppSS）

简单来说，CESS 和 AppSS 分别是专门保护客户边缘和应用程序的安全堆栈。安全堆栈是一种由许多工具组成的网络安全套件，最完善的安全堆栈可为用户提供数字资源安全、数据安全、端点安全、应用程序安全、网络安全、周界安全和用户安全这七个层面的防护能力。在“雷霆穹顶”项目中，DISA 没有透露 CESS 的具体信息，仅表示 CESS 将使“下一代防火墙”（NGFW）、入侵检测系统／入侵防御系统（IDS/IPS）和数据防泄密（DLP）等安全功能更加靠近客户边缘。至于 AppSS，DISA 则表示将采用一些易于部署的容器化解决方案，并由 Palo Alto 公司的 Container Security或 F5 WAF + PA Next Gen Firewalls 解决方案为各 AppSS 提供支持。此外DISA 为“雷霆穹顶”项目提供了“基础设施即代码”（IaC）模板，以用于在物理设备上自动配置虚拟机或 Ansible 工具。

四、几点启示

4.1 美军开始加速向零信任安全架构迁移

近年来，美国的政府和企业多次遭遇“太阳风”等重大网络攻击事件，暴露出美国现有的网络安全架构存在短板。尽管这些事件并未直接影响到美军，但为避免重蹈美国政府的覆辙，美军已开始加速推进零信任架构的建设。DISA 首先于 2020 年提出向零信任架构迁移的设想，接着在 2021 年5 月发布《国防部零信任参考架构》，之后又于 2021 年 7 月推出“雷霆穹顶”项目。DISA 起初甚至要求项目方在短短 6 个月内完成项目，可见其对零信任架构早已望眼欲穿。美国国防部则于 2022 年 1 月组建“零信任资产组合管理办公室”（ZT PfMO）以协调零信任工作，然后于 2022 年 11 月发布《国防部零信任战略》，其中明确要求到 2027 年时，美军的七大零信任支柱领域都应达到“目标级零信任”水平。这一系列举措表明，美军的零信任建设工作已从理论研究迈向实际开发和部署，未来美军或将建立起覆盖所有领域的零信任架构（但不一定是“雷霆穹顶”中的架构），以期通过这种“以数据为中心”的全新模式来降低网络安全风险。

4.2 美军以商用方案推动零信任架构建设

零信任并非美军的独创或专利，其最初只是为了满足企业的网络安全需求，而开发零信任技术和架构的主力军也同样是谷歌等商业公司，因此“雷霆穹顶”项目自然也体现出了浓厚的商业气息：该项目几乎所有的组件和功能都由开发商提供，最为关键的 SASE、SD-WAN 和安全堆栈等也并非专门的军用方案，而是已在商业市场中发展得较为成熟的商用方案。DISA之所以敢于采用 Prisma 云服务等商用方案，就是因为这些方案的保密性、可靠性和可用性已得到市场的证明，同时成熟的商用技术也能大幅降低零信任工作的资金与人力成本。而 DISA 作为美军信息化改革的领头羊，其对商用零信任方案的信任也将促使其它美军单位采用类似做法，从而加快整个美军的零信任建设进程。不过随着美军对商用方案的进一步依赖，其对信息系统的管控力度可能有所下降，责任边界也可能变得更加模糊，客观上加大了因非军事人员安全意识不足而引发网络事件的风险。

4.3 美军的零信任架构可能面临兼容问题

从《战略》来看，尽管美国国防部打算在整个美军推行零信任架构，但并未对如何建设此类架构做出具体规定，只是要求各单位如期实现某些零信任能力即可，DISA 也并未强制要求美军各单位使用“雷霆穹顶”架构。就海陆空三军而言，海军最有可能尝试“雷霆穹顶”机构，陆军则在开发自己的 SASE 解决方案，空军也倾向于使用已有的安全堆栈，这些分歧可能会带来与 JRSS 类似的配置复杂化问题。更加严重的是，零信任理念与美军同样大力推崇的“联合全域指挥与控制”（JADC2）理念存在一定冲突。毕竟 JADC2 的目标是使任何传感器都能将数据传输给任何火力平台，然而在混乱的战场上，火力平台很可能尚未录入某一新到传感器的身份信息，导致后者无法通过身份识别，进而也就无法接收来自该传感器的数据。而在双边联合行动中，即便是美国的盟友，也不太可能将其官兵和设备的身份信息全盘提供给美军，这将使两军难以在零信任架构下实现数据共享。未来美军若无法有效解决这些问题，零信任架构则反而可能会削弱其战斗力。

供稿：三十所信息中心

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。