2021年5月13日,美国国防信息系统局(DISA)在其官网上公布了《国防部零信任参考架构(DoD ZT RA)》1.0版(以下简称DoD ZT RA)。该参考体系结构由DISA和国家安全局(NSA)零信任联合工程小组编写,在2021年2月份就已完成,直到5月才公开。该架构为国防部大规模采用零信任设定了战略目的、原则、相关标准和其他技术细节,旨在增强美国国防部的网络安全并保持美军在数字战场上的信息优势。
DoD ZT RA的形成经过了较长时间的酝酿:2020年9月30日,初始零信任0.9版提交给DISA、NSA、国防部首席信息官(CIO)和美国网络司令部(USCYBERCOM)审查;11月4日,零信任0.9版提交给企业架构工程小组(EAEP)进行反馈;12月4日,零信任联合工程团队收到反馈并开始裁决;12月24日,零信任0.95版被提交给EAEP用于公函及任务管理系统(CATMS);2021年1月4日,CATMS开始评估;2月11日,数字现代化基础设施执行委员会(DMI EXCOM)批准零信任1.0版。国防部始终秉持严谨、慎重的态度,在反复测试、调整零信任核心能力之后形成该架构。
一、背景分析
1.零信任已成为业界的一种标志性网络安全解决方案
根据NIST的定义,零信任(ZT)提供了一系列概念和思想,是指在面向被视为网络入侵的行为时,在信息系统和服务中执行准确、最低特权的请求访问决策,从而将不确定性降至最低。零信任是一种专注于资源保护的网络安全范式,其前提是永远不会授予绝对信任,而必须不断对其进行评估。零信任架构(ZTA)是企业的网络安全计划,它利用零信任概念,包含组件关系、工作流程规划和访问策略。零信任架构是一种用于企业资源和数据安全的端到端方法,其中包括身份(个人和非个人实体)、凭证、访问管理、运营、终端、托管环境和互连基础设施。
当前,企业的基础设施变得日益复杂,这种复杂性已经超越了传统的基于边界的网络安全方法,从而导致零信任网络安全新模型的开发。商业机构必须迅速采用“永不信任、始终验证”的零信任心态,以减轻漏洞的传播,限制访问并防止横向移动。零信任范式将防御从静态的、基于网络的边界转向关注用户、资产和资源。而零信任架构使用零信任原则来规划工业和企业基础设施以及工作流程。以VPN接入为主的现有边界安全产品在在端口开放、多维认证、细粒度权限、自身安全防护方面均存在不足,难以应对安全挑战。
据全球权威咨询机构Forrester 2021年5月最新发布的报告称,企业为寻求更安全的解决方案,零信任网络访问已成为标志性的安全技术,众多安全厂商推出了相关的零信任解决方案和产品。
2.零信任架构是美国防部网络安全架构的必然演进方向
在早期网络终端和用户数量有限的情况下,美国防部专注于网络“边界”安全,采用终端保护、威胁检测和响应等措施保护网络。但是随着网络的扩展、大量终端的加入,以及攻击者持续寻求新的方法来突破边界安全,例如通过社交工程攻击操纵用户以泄露其凭证,导致具有复杂检查规范的防火墙的数量需求增加,在导致成本增加的同时效果却呈递减态势。随着美军用户和终端数量的不断增加,美军网络被攻击面不加增加,其网络安全防御面临极限挑战。美国防部迫切需要将现有基于“边界”的网络安全方式转变为“零信任”方式,通过为网络内的特定应用程序和服务创建离散的、精细的访问规则,从而显著抵消国防部网络中的漏洞和威胁。
近年来美军加速对“以网络为中心”向“以数据为中心”的网络安全模式的转变,从网络边界防护转变为数据安全防护。2019年7月9日,美国防部创新委员会(DIB)发布《通往零信任安全之路》白皮书,敦促美军方尽快实施零信任架构(ZTA)。紧接着,2019年10月24日,DIB又发布《零信任架构建议》报告,其中第一条建议就是:国防部应将零信任实施列为最高优先事项。DIB称,国防部安全架构的现状是不可持续的,国防部应将实施零信任列为最高优先事项,同时明确分配实施和管理责任,在整个国防部内迅速采取行动。可见,零信任架构是美国国防部网络安全架构的必然演进方向。
3.零信任安全是美国防部数字现代化战略的具体目标之一
零信任(ZT)早已在美国国防部受到关注,但零信任方法的实施,直到2019年7月才成为一个具体目标被纳入《国防部数字现代化战略》。战略将“零信任安全”作为美军未来有望提高效率和安全性的代表性架构技术之一,明确提出了与零信任相关的四大重点领域:云部署是实施零信任概念的绝佳选择;安全自动化和协调是成功部署和管理零信任合规基础设施的关键功能;加密现代化将确保数据保护水平符合国家安全系统委员会(CNSS)政策;分析能力需要扩展以处理与与零信任安全相关的传感器和日志记录数据。
4.零信任网络试点工作指导了美国防部的实施路线方向
2020年,美国国防部进行了几个零信任网络试点项目,并从这些项目以及远程工作相关数据中吸取了经验教训,从而确定了零信任网络的前进道路。其中,DISA、NSA和网络司令部联合启动了一项针对“零信任”技术的试点项目,并总结试点项目已取得的成果,探讨如何将“零信任”技术融入到美国防部体系中。2021年2月25日,美国国家安全局(NSA)发布《拥抱零信任安全模型》指南,建议将零信任架构规划成从初始准备阶段到基本、中级、高级阶段这样一个逐步成熟的过程,逐渐增强其可见性和自动化响应,使防御者能够跟上威胁的步伐,同时将零信任功能作为战略计划的一部分逐步整合,可以降低每一步的风险。新架构将在利用现有功能的同时,整合新的原则、分析、策略、设备和自动化方案。该架构不会取代现有的系统、工具或技术,而是以更为全面的方式来集成、扩充和优化现有功能,发展企业架构。
5.新一届联邦政府大力推动各机构实施零信任
拜登领导的美国新一届政府在上台不久即面临了比以往任何时候都更大的网络安全挑战:2020年12月的SolarWinds供应链攻击事件、2021年4月的微软exchange漏洞、2021年5月的COLONIAL PIPELINE输油管道事件等等。这些网络安全事件使美国政府越来越意识到来自网络空间的复杂恶意活动,也暴露出联邦政府机构在保护网络安全、响应以及防御入侵的能力上仍然存在薄弱环节,使得公私部门容易受到相关事件的影响。为此,2021年5月12日,拜登发布行政命令以加强国家网络安全,明确指示联邦政府各机构实施零信任方法,实现联邦政府网络安全现代化;要求在命令签署之后60天内,相关机构要制定实施零信任架构的计划,该计划应酌情考虑NIST在标准和指南中概述的迁移步骤,并说明已完成的任何此类步骤,确定将对安全产生最直接影响的活动,并包括实施这些活动的时间表。
二、主要内容
DISA此次公开的非密版架构文件一共163页,内容非常丰富,概括起来主要有以下内容:
1.明确了战略目的
该参考架构首先明确指出国防部下一代网络安全架构将以数据为中心,基于零信任原则。该架构侧重于以数据为中心的设计,同时保持跨业务的松散耦合,以最大限度地提高互操作性。它特别强调零信任是一种网络安全战略和框架,它将安全嵌入整个架构,以防止恶意角色访问美国防部最重要的资产。同时指出零信任模型的基本原则是在安全边界之外或之内运行的任何参与者、系统、网络或服务都不可信。国防部采用零信任希望实现的长远目标包括:1)使信息企业现代化,以解决机构之间的孤岛与隔阂问题;2)简化安全体系架构;3)制定统一策略;4)优化数据管理操作;5)提供动态认证和授权。
2.提出五大原则、七大支柱
DoD ZT RA提出了零信任的五个主要原则,分别是:1)假设环境敌对;2)假设失陷;3)永不信任,始终验证;4)显式验证;5)应用统一分析。同时,DoD ZT RA开发了支柱和能力模型,支柱是指实施零信任控制的关键重点领域,能力是指通过组合方式和方法来执行一系列活动,从而在特定标准和条件下实现预期效果的能力。DoD ZT RA的七大支柱包括:1)用户;2)设备;3)网络/环境;4)应用程序和工作负载;5)数据;6)可见性和分析;7)自动化和流程编排。在每个支柱下面都有对应的能力,这种分层方法允许灵活实施零信任控制。该支柱和功能实现了数据的最大可见性和保护,这是任何零信任实施的重点。
3.列出了适用的标准
DoD ZT RA用较大的篇幅详细列出了适用于每个ZT支柱解决方案的标准。列出的标准规范清单包括了技术标准(TECH);相关法律、法规或政策(LRP)以及战术、技术和程序(TTP),一共63个,其中技术标准占了绝大多数。不仅如此,DoD ZT RA还详细说明了对应到七大零信任支柱功能中的各个具体技术相关标准、操作标准或业务标准和惯例的应用现状,注明了这个标准是属于“新兴”、“强制”、“退役”还是“积极”状态。
4.开发了能力视图和操作活动模型
DoD ZT RA最大的看点和贡献就是在第4部分内容,它开发了相关能力的视图结构,描述了各种规划的能力之间的依赖关系,同时还从逻辑上对各项能力进行了分类。DoD ZT RA描述了各项能力和支持这些能力的操作活动之间的映射关系、各项功能和支持这些功能的业务之间的映射关系,从而确保业务与所需功能相匹;描述了操作资源流。它开发的操作活动模型描述了在实现任务或目标的过程中进行的通用操作,并详细描述了简化认证请求、设备合规性、用户分析、数据权限管理(DRM)、宏观分段、微观分段、特权访问、应用程序交付等内容。
三、特点分析
1.该架构在美国防部零信任架构的实施上具有相当的权威性
该架构由美军权威部门牵头制定,内容涵盖战略目的、原则、相关技术标准、法律、法规或政策、战术、技术和程序、各项能力、业务、操作活动以及它们之间的各种映射关系,并对该参考体系结构中使用的与解决方案体系结构相关的缩略语、术语和架构元素定义的含义提供了统一的定义,包括各项实施策略、国防部相关业务、7大支柱及对应能力等。它严格遵循2018年《国防部网络战略》、2019年《国防部数字现代化战略》、2020年《国防部数据战略》的要求,与NIST SP 800-207 零信任架构、国防部信息企业架构(IEA)、网络安全参考架构(CSRA)、身份/认证和访问管理参考设计(ICAM RD)等保持一致性,可指导和约束多种架构和解决方案的实例化。该架构内容全面清晰,并且将随着需求、技术和最佳实践的发展和成熟而发展,将不断融入行业最佳实践、工具和方法。
2.该架构是对其他相关架构体系的一种继承和发展
DoD ZT RA与其他相关架构体系既密切相关又各有侧重。这些架构体系主要包括:1)DoD网络安全参考体系架构(CSRA);2)DoD身份/认证和访问管理参考设计(ICAM RD);3)NIST特别出版物800-207零信任架构。
CSRA描述了有效运行和防御国防部信息网(DoDIN)所需的能力、服务、活动、原则、功能和技术基础设施,提供了一个架构参考框架,但是目前没有包含零信任。因此,DoD ZT RA将作为《国防部CS RA零信任补遗》的权威参考,围绕身份、自动化和数据安全阐述关键安全事项,而CSRA将阐述更高级的安全和工程概念。
DoD身份/认证和访问管理参考设计(ICAM RD)是从能力角度提供ICAM的高级描述,没有强制特定的技术、流程或程序。而DoD ZT RA则利用了来自ICAM RD的概念和词汇,提供了一种统一和一致的方法来实施零信任架构。DoD ZT RA没有包括对ICAM使用案例的详尽参考,但它认可其中对零信任的关键概念。ICAM RD参考资料包含在整个DOD ZT RA中,但是更深入的ICAM特定用例仅在ICAM RD可用。
NIST特别出版物800-207零信任架构包含零信任架构的抽象定义,并给出了零信任可以改善企业整体信息技术安全状况的一般部署模型和使用案例。DoD ZT RA则利用了NIST指南中的概念和词汇,提供了一种统一和一致的方法来实施零信任架构。NIST800-207的参考资料包含在整个DoD ZT RA中。
3.该架构为国防部各机构的零信任解决方案提供了高度的可操作性
该架构不仅为整个国防部的任务所有者提供了一个最终状态愿景和框架,而且它还希望向国防部信息网(DoDIN)的所有机构推出一套可使用的企业零信任功能,每个功能都由可测量、可重复、可支持和可扩展的标准、设备和流程组成,并在DoDIN上进行联合。该架构既开发有愿景和高层目标,同时又开发了能力分类法以及顶层可操作概念等,该框架要求企业根据用户的风险利用微细分来确定是否授予用户、机器或应用程序访问企业的一部分的权限,要求利用多因素身份验证、ICAM、编排、分析、评分和文件系统权限等技术来实现零信任;该架构展示了国防部零信任架构的整体运行流程,将国防部零信任实现划分了基线、中级、高级三个阶段。该架构对于零信任的工程化落地实现具有现实指导意义。
作者:中国电科30所 陈倩
声明:本文来自电科防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。