美军认为传统的以网络为中心的边界防护手段已经无法应对当前和未来的网络安全威胁,正迫切将现有基于边界的网络安全方式转变为零信任网络安全模式。作为美军信息网络运维的主责机构,美国防信息系统局(DISA)正在通过“雷穹”(Thunderdome)项目推动零信任网络安全架构的实践落地。
一、“雷穹”项目概况
“雷穹”项目旨在为美国防部提供尖端的零信任网络访问和应用程序安全架构,以改变美军处理网络安全和网络基础设施的方式。美军视“雷穹”项目为加强国防部网络安全的创新解决方案,能够在不断发展的网络安全环境中保护其网络和数据免遭各类威胁。
(一)基本情况。“雷穹”是DISA于2021年启动的零信任网络安全项目,其革命性方法的核心在于强大的网络强化工具和尖端分段技术,为针对敌对威胁提供强化防御奠定基础。该项目旨在提供一整套IT和基于网络的技术,利用体系身份凭证和访问管理(ICAM)、商业安全访问服务边缘(SASE)以及软件定义的网络和安全工具来提供保护和可靠性。DISA拟利用“雷穹”为国防部实施重大转变,为更安全的数字环境提供下一代解决方案。
(二)基本原则。“雷穹”项目通过基本原则的动态相互作用重新定义网络安全的基础,包括:一是零信任安全重塑,即通过始终验证任何用户或设备来增强传统的纵深防御安全模型;二是更高的安全性和更强的性能,即同时增强安全性和网络性能;三是以身份为中心的访问,即植根于使用增强的安全控制来验证用户身份的需求,仅向需要了解信息的用户提供访问权限;四是捍卫美国防部使命,即采用三个基本且现代的零信任概念,包括验证用户和设备、有条件提供访问和特权以及明确验证数据和应用程序。
(三)突出特性。“雷穹”项目超越了传统安全范式的界限,开创了防御、优化性能和简化管理的新时代。其突出特性包括:一是实现无缝身份和端点协同;二是简化访问并释放云潜力;三是开创零信任合规性;四是符合美国政府和军队战略;四是提升用户体验和效率;五是为任务合作伙伴提供选择和灵活性;六是提高互操作性并增强命令和控制。
二、“雷穹”项目推进情况
为确保该前瞻性网络安全项目顺利落地,DISA采取了需求征集、原型研发和生产部署的三阶段渐进性计划推进方式。
(一)征集需求。2021年7月,DISA向行业合作伙伴发布信息征集,寻求关于“雷穹”零信任架构和实施的拟议解决方案的白皮书。根据信息征集书,DISA希望采用一种新方法,为安全访问服务边缘(SASE)、具有客户边缘安全堆栈和应用程序安全堆栈原型的软件定义广域网(SD-WAN)架构提供初始的最简可行产品,并计划到 2025 年对这些能力进行改进和运营实施。供应商的技术优势评估标准涉及SASE、安全堆栈、网络态势感知、用户和设备验证、安全策略、访问策略、端点技术、数据遥测、分布式拒绝服务攻击抵御、安全DNS架构、网络和安全服务设计部署的自动化和编排、软件定义广域网(SD-WAN)等方面。
(二)研发原型。2022年1月24日,DISA授予博思艾伦公司一份价值680万美元的合同,用于开发原型“雷穹”解决方案。DISA希望在为期6个月的工作中,通过利用安全访问服务边缘和软件定义广域网等商业技术,在操作上测试如何实施零信任参考架构,从而生产一个可在美国防部范围内扩展的“雷穹”原型。2023年3月1日,DISA宣布成功完成“雷穹”原型。DISA表示,该机构在过去的12个月里开发并实施了一个零信任网络访问架构,这将加强美军网络,并阻止对手日益增长的网络威胁;“雷穹”原型测试证明,包括安全访问服务边缘(SASE)、软件定义广域网/客户边缘安全堆栈和应用程序安全堆栈在内的商业技术可以提高现有环境的安全性和网络性能。
(三)全面生产。2023年7 月 26 日,DISA授予博思艾伦公司一份大规模部署“雷穹”的后续生产其他交易协议(OTA)。该单一授予合同的履约基期为1年,并有四个1年的选择期。根据该协议,博思艾伦将帮助美国防部迈向零信任架构。博思艾伦将广泛实施和运营“雷穹”的零信任网络访问和应用程序安全架构,该架构将强化国防部网络,并通过采用网络和资源访问工具以及分段技术来帮助作战人员防御敌对活动。“雷穹”零信任架构未来有望在美军全面铺开部署,并从根本上提升美军网络安全防御的水平。
三、“雷穹”设计与实施情况分析
基于DISA授权的协议,博思艾伦公司将协助大规模部署“雷穹”零信任网络访问和应用安全架构,助推美军机构全面迈向零信任范式。根据该公司对零信任网络安全架构的整体理念和方法论,分析认为该公司计划全面审查美军机构的优势和挑战,制定通向零信任架构的路径,利用商业技术付诸行动,从而协助美军落实核心零信任原则。
(一)致力于解决四项挑战问题。博思艾伦公司表示,实施“雷穹”零信任架构的主要挑战存在于四个方面:一是遗留基础设施。云环境和遗留 IT 基础设施的拼凑产生了众多漏洞,同时安全性在数字现代化工作中往往是事后考虑因素。二是数据管理。必须厘清如何发现、分类和标记其数据,然后才能根据批准的策略启用受限访问。三是身份管理。正确进行身份管理对于实现零信任原则至关重要,而应用条件访问需要强大的身份验证和强大的属性。四是日志数据处理。零信任对持续监控的关注会导致大量日志收集,需要智能、高效地处理日志数据来避免安全团队“不堪重负”。
(二)致力于采用四个重要方法。为解决上述挑战问题,博思艾伦“雷穹”解决方案建基于以下四个方法:一是模型评估。利用零信任成熟度评估模型来使用五个成熟度级别(初始、最低、基本、创新和领先)来评估在美国防部在零信任七大支柱方面的能力。二是基线建立。在零信任、当前工具和能力的背景下围绕威胁了解自身优势和挑战,同时考虑关键任务、战略优先事项、新兴威胁和风险偏好。三是方案创建。通过评估现有能力和差距来权衡优先级并创建特定于支柱的路线图。四是量身定制。通过制定量身定制的实施指南来实现可衡量的改进,例如在整个基础设施中以协调的方式部署全面的安全监控、基于风险的精细动态访问控制和系统安全自动化。
(三)致力于实施四大关键步骤。博思艾伦构想采用四步方法来识别和部署新的网络安全解决方案,以转向零信任架构。一是诊断。围绕零信任重点领域确定当前的 IT 能力和路线图,针对七大支柱进行零信任成熟度评估,客观了解美国防部优势和改进领域。二是设计。创建零信任总体策略,确定解决方案来弥补诊断阶段发现的关键差距,提供统一的目标状态和路线图,并优先制定强有力的治理政策,推动条件访问的执行。三是开发。在实验室环境中测试新的配置、集成和解决方案,对新技术进行概念验证试验,并制定迁移和实施计划。四是部署。使用经过验证的实施计划重新配置现有系统,安装并集成新的解决方案以缩小能力差距,将用户迁移到新的解决方案并进行持续监控。
四、对我军事国防建设的启示与建议
零信任架构颠覆了传统的网络安全新范式,是信息数字时代军事网络安全架构演进的必然选择。美军通过“雷穹”项目为零信任能力下一步实施和部署奠定了良好的基础,我应借鉴美军的经验和教训,并根据自身情况开展系统性布局和建设推进。
(一)通过转换范式强化军事网络安全。当前,国防网络基础设施变得日益复杂,这种复杂性已经超越了传统的基于边界的网络安全方法。随着军事用户和终端的数量的不断增加,军事网络被攻击面不加增加,网络安全防御面临极限挑战。我军迫切需要将现有基于“边界”的网络安全方式转变为“零信任”方式,通过为军事网络内的特定应用程序和服务创建离散的、精细的访问规则,从而显著抵消网络漏洞和威胁。
(二)通过结合实际情况制订实施方针。零信任不是简单的产品或服务,而是一种设计安全防护架构的方法,旨在以更具适应性、灵活性和敏捷性的方式有效阻止当前和未来的网络攻击。中美军方网络在网络架构、环境、设备等方面均有极大差异,因此我在开展军事网络安全体系建设方面绝不能生搬硬套、照猫画虎,必须因地制宜,结合实际情况制订整体规划,并有计划、有步骤、有秩序地推动方案落地,才能构建动态开放的国防网络安全体系,为军事网络运维和网络空间防御提供强大保障。
(三)通过技术攻研创新解决瓶颈问题。零信任架构理念新、应用场景多,技术的应用部署较为复杂。“雷穹”项目紧紧围绕美国防部定义的用户、设备、应用程序和工作负载、数据、网络和环境、自动化和编排、可见性可分析等七大零信任支柱开展部署,全面运用了现有的先进网络安全技术能力。我应加强零信任核心技术研发,重点研究突破软件定义边界、身份权限管理和微隔离等关键技术,着力解决技术瓶颈。同时,还应根据军队的安全需求、应用环境和业务场景,制订差异化零信任创新解决方案,加快概念、构想和技术的转化落地。
(四)通过军民融合推动创新技术落地。国防网络安全是高度军民融合的领域,网络安全装备与技术发展是多专业、多领域在多层级、多角度的融合。美军推动“雷穹”项目方向充分利用了国防承包商的力量,前期向业界充分征询方案意见,中期授权承包商开发原型并进行效果测试,后期全面投产和部署。我应集聚军方、业界和学术界等各方力量,探索关于零信任的解决方案和设计,利用商业技术创新来促进科技成果转移转化,提升国防和军队网络安全防御。
关于作者
赵慧杰 虎符智库专家、网络空间安全军民融合创新中心高级研究员、奇安网情局主编。主要从事网络安全领域研究工作,对国外国防网络建设发展、网络空间战略政策、网络空间国际斗争、网络武器研发和新兴技术应用等长期进行跟踪研究。
声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
