当国内业界在战术级别讨论零信任的具体技术或实现方式时,请先从战略级别看看美国政府推行零信任的背景、愿景和意义。
联邦首席信息官Kent表示:长期以来,我们希望有一个视角,使得各个政府机构在实施自己的安全计划时,能够考虑到一个长期的愿景。而现在达成的共识是:零信任正是这个愿景。
我们查阅了近两年来美国“联邦新闻网”上数十篇零信任相关报道,进行编译、摘要和分享。
1、美国联邦机构的痛定思痛
2016年,美国监督和政府改革委员会(Oversight and Government Reform Committee)主席Jason Chaffettz称:“毋庸置疑,2015年人事管理办公室(OPM)数据泄露是一次灾难性事件。这些影响是灾难性的,将影响几代人。外国攻击者窃取了2210万人的个人身份信息(PII)和安全许可背景的调查信息,提取其中560万人的指纹数据。受OPM泄露影响的大多数人,是现任或前任联邦雇员和承包商。泄露他们的PII是不可原谅的。被盗人员记录、背景调查信息、指纹数据造成的损失令人震惊。敌手现在掌握着有关那些被赋予我国国家安全机密和情报的高度个人化信息。别搞错了,被盗的数据会被用来对付我们的”。
前中情局局长Michael Hayden指出,“在信息时代结束之前,OPM数据仍然是X国人可利用的信息宝库。没有办法解决。”这应该给政府所有人敲响警钟,告诉他们如何最好地保护联邦信息技术和数据。这本不必发生。联邦机构必须迅速而彻底地改变他们对网络安全的态度,以避免再次发生这种破坏。
Chaffettz称:向零信任转变是改善联邦IT安全的根本方法。联邦机构目前对边界安全的关注,对于今天针对我们的APT攻击提供了不足的保护。OPM数据泄露告诉我们,一旦在系统中发现入侵者,就已经太晚了。零信任将极大地限制攻击者在OPM网络内移动和访问此类敏感数据的能力。如果OPM在得知重大数据泄露后,在2014年3月实施基本、必需的安全控制,并更快部署高级安全工具,那么2015年的泄露案本可以减轻甚至预防。无论是在数据方面还是在公众信任方面,对这一意义的违背永远不该再次发生。政府机构可以而且必须做得更好。采用零信任模型是恢复联邦信息技术信任和安全的第一步。
2、美国联邦CIO对零信任的定位
了解美国网络安全计划的人知道,从持续诊断和缓解(CDM)、爱因斯坦(Einstein),到可信互联网连接(TIC)、高价值资产(HVA)、IT现代化,一系列正在进行的联邦网络安全计划/倡议,令人目不暇接、眼花缭乱,而且通常由不同政府机构主导的。这就像一条长长的隧道,涌进了各种车辆,却不知出口在何方。
联邦首席信息官Suzette Kent表示:现在,在这条隧道的尽头,出现了一道众所周知的亮光,它把上述的许多计划/倡议整合在一起,给了人们希望。零信任正是隧道尽头的曙光。Kent在接受采访时说:“上述每一个计划/倡议都是网络安全难题的一部分。长期以来,我们希望有一个视角,使得各个政府机构在实施自己的安全计划时,能够考虑到一个长期的愿景。而现在达成的共识是:零信任正是这个愿景。”
NIST计算机科学家Scott Rose说,尽管政府机构的信任度参差不齐,但在过去十年中,它们其实根据各自的安全计划朝着零信任企业发展。
3、联邦CIO委员会的关键行动
为了加速推动零信任,在联邦CIO(首席信息官)委员会的要求下,ACT-IAC(美国技术委员会-工业咨询委员会)在2019年撰写并发布了一份零信任白皮书《零信任网络安全当前趋势》,描述了当前的技术和商业市场状况,以及朝这个框架迈进的一些新兴最佳实践。
此外,OMB(管理和预算办公室)和CIO委员会又与国家标准和技术研究所(NIST)合作,评估符合零信任框架的技术现状,发布零信任架构标准草案。OMB还在探索其他可能需要更新政策以解决零信任概念的领域。
可见,ACT-IAC的零信任白皮书和NIST的零信任架构标准草案(已经出了两版),并不是孤立事件,而是联邦CIO委员会一手推动的。
CIO委员会还在积极推动零信任试点工作,希望通过小型培养皿学到很多东西,然后将其工业化,并在所有机构之间共享,供它们用于自己的目的,然后将学到的东西嵌入到TIC(可信互联网连接)政策中,并继续更新用例。TIC是一个上升到联邦顶端的倡议,目前TIC策略草案中的用例解决了零信任的一些部分,而OMB正在考虑添加更多的用例。
4、美国国防部的试点
在美国,零信任厂商和产品不胜枚举,零信任在民间的应用也如雨后春笋,最著名的当然就是Google的BeyondCorp超级项目了。大家非常关注美国重量级政府部门或军方的应用情况。
国防信息系统局(DISA)是关键的行动派之一。DISA开发和业务中心副主任Jason Martin表示,该机构正与美国网络司令部(Cyber Command)合作,推出零信任试点。Martin在2019年的FCW云峰会上说:“我们正在与我们的情报部门和网络指挥合作伙伴一道,建设我们在DISA的实验室空间,以构建其中的三个基本组成部分。” “零信任是我们正在构建的架构或框架,用于跨网络和网络所有层的整体持续访问和身份验证机制。要做到这一点,你必须有基本的身份认证、访问、授权解决方案,所以我们在同一实验室中建立它。我们正在利用现有的能力,依次建立像主用户记录和自动化供应的东西,我们将使用策略设置它们并使用第三个组件即全局策略编排器推出它们。”他说,一旦这些组件都就位,DISA及其合作伙伴将根据特定的用例测试该项技术。Martin说,这个实验室是让完整的试点或概念验证(POC)离开地面的第一步。
零信任委员会(zero trust council)指出:“由于国防部各自为政的网络数量非常庞大,任何向零信任架构的转变都可能是渐进式的,首先是对应用程序和服务进行一套标准的身份检查,这些检查可以逐渐集成到国防部的共同认证和授权机制中。” “作为这项工作的一部分,国防部将需要在整个组织内改进其数字管理和对用户角色(以及对这些角色的变更)的跟踪,以便为特定应用和服务建立访问控制。虽然其中一些工作需要重新配置安全架构,但整个国防部的安全文化也需要转变,以促进角色和其他身份特征的准确和一致的记录保存。”
零信任的一个重要难题是如何保护移动设备的安全。Martin说,“边缘地区对涉密能力的需求越来越大。DISA正在运行试点,让员工使用有秘密和绝密安全控制的平板电脑/智能手机。在保护移动设备安全方面,DISA一直处于领先地位。DISA拥有超过100000台使用其纯正(Purebred)技术的设备,该项技术消除了使用国防部移动设备时对智能卡读卡器的依赖。”
5、政府机构对零信任的关注度提升至3倍
Forrester副总裁兼安全和风险领域首席分析师Chase Cunningham称,大多数联邦机构都在追求其网络架构的零信任模型。自2019年3月以来,他看到机构对零信任的关注几乎增加了两倍,达到3倍。“一年前,我知道大约有10或12个不同的机构,有关于零信任的对话项目,而一年之间快速前进,现在(2020年3月)我们看到了44个联邦机构,它们有专门的、由项目资助的老虎队,要么进行研究,要么开始从战略上实施零信任。”
6、零信任的内涵
“零信任”是“不信任”吗?在你的网络中开发一个零信任架构,是否意味着你的机构不信任你的员工?Unisys首席信息安全官Mathew Newfield回复:不,不,不。它只是承认人们会犯错误——例如,人们几乎不可避免地会点击电子邮件中的恶意软件链接。机构只想让他信任的人访问关键资产。从本质上说,零信任与其说是一个特定的技术栈,不如说是一种方法、一种心态。
教育部首席信息安全官、白皮书项目领导小组成员Steven Hernandez说,在ACT-IAC(美国技术委员会-工业咨询委员会)开始研究零信任时,只是关注零信任网络和软件定义网络。但很快就意识到这样考虑太狭隘了,零信任概念其实要大得多,涉及到整个技术层。因此,从战略的角度来看,对他们来说,零信任研究的最大收获是:政府机构应该充分理解零信任是一项使命。
7、零信任的不凡之处
Palo Alto Networks公共部门副总裁John Davis认为,零信任的关键理念是从内到外的保护,而非从外到内。
在过去30年的大部分时间里,主要采取了从外到内的方法,即是针对外部攻击的防护,主要关注的是攻击暴露面。
而零信任作为一种从内而外的保护方式,必须弄清楚什么对我的业务或使命是重要的,而这被称为保护面(protect surface),需要确保在保护面周围,有细颗粒控制、可见性、保护措施。
保护面与暴露面的不同视角,反映了访问侧和攻击侧的不同防护思路。
8、身份是核心,数据是关键
身份是几乎所有数据泄露的主要原因,因为如果人们可以盗取我的身份并使用它登录,而我不去检查它是否真的是我,那么就很容易让坏人得逞。
Kent说,零信任方法是一个架构或框架,身份是其中的重要组成部分。我们可能会在身份中加入更多的规则和细节,以便在某个时间点对访问算法进行更深入的研究,这将回到身份策略中。
Hernandez补充说,“身份是零信任心态的核心特征。当我们谈论有价值的数据时,这一点非常重要,与其说谁在网络上如此重要,不如说他们有什么访问数据的渠道?这才是真正的问题。” “我们开始讨论数据层,以及我们如何能够很好地识别访问数据的人,并理解访问正确的地点、正确的时间和正确的范围,并不断地对其进行审核。归根结底,如果我们有高价值的数据,那么访问这些数据的身份必须具有非常高的确定性。如果是公共网站和公共信息,我不在乎谁在访问,任何人都可以。因此,需要界定这些区别。”
DISA开发和业务中心的副主任Jason Martin说,“数据是零信任的关键。国防部的一个重大举措将是使用来自不同数据库的企业数据,以监督和管理员工对系统和数据的访问。零信任正在重新考虑如何实现持续性安全,它利用了我们多年来所具备的能力。它正在与国防部(DoD)和情报界(IC)的合作伙伴进行合作,以应对数据安全问题。”
9、政府机构的当前能力
Kent说,“各政府机构对于了解谁在网络上已经取得了良好进展,但大多数机构仍然需要提高能力以理解用户为什么访问数据以及他们使用数据做什么。然后再进入下一层,能够跟踪、监控并确定是否可以接受这种动机和行为,这将是下一个重点领域。”
无论是政府还是行业,Hernandez说:“我们需要团结起来,共同解决问题,并找出如何定制零信任,以优化我们的IT和网络安全,管理我们在企业中的风险。”
声明:本文来自奇安信战略咨询规划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。