作者:柯善学
这无疑是目前零信任应用领域的最大消息——表明整个美国联邦政府已经正式开启零信任战略。
美国管理和预算办公室(OMB)在2021年9月7日发布了《联邦零信任战略》(Federal Zero Trust Strategy)草案,以支持第14028号行政指令(EO 14028)《改善国家网络安全》,以改变民用机构的企业安全架构,使其基于零信任原则。
拜登总统曾在EO 14028中指出:“渐进式改进不会为我们提供所需的安全性;相反,联邦政府需要做出大胆的改变和重大的投资,以保护支撑美国生活方式的重要机构。” 而本次的《联邦政府零信任战略》无疑就是对此的最好支持和回应。
《联邦政府零信任战略》的目的是将政府机构的企业安全架构迁移到零信任架构。但该战略文件只是一个起点,而不是完全成熟的零信任架构的综合指南。当然,零信任的成熟度模型和参考架构,已经在该战略的参考文献中列出,政府机构应该使用它们来规划和执行其长期安全架构的迁移计划。
本战略草案的PDF文档有23页,译文大概1万5千字。笔者概述了本战略的内容要点,并做了相关解读。战略草案原文链接:https://zerotrust.cyber.gov/federal-zero-trust-strategy/
关键词:《联邦政府零信任战略》(Federal Zero Trust Strategy);OMB(管理和预算办公室);EO 14028(第14028号行政指令,Executive Order 14028)《改善国家网络安全》;MFA(多因素认证);CISA (网络安全和基础设施安全局);GSA(总务管理局)
目 录
1.战略背景解读
2.战略路径解读
3.支柱目标1:身份
4.支柱目标2:设备
5.支柱目标3:网络
6.支柱目标4:应用
7.支柱目标5:数据
8.本战略的参考文件
01 战略背景解读
《联邦政府零信任战略》(Federal Zero Trust Strategy)草案发布的网站截图如下:
本战略文档开宗明义:“管理和预算办公室(OMB)在2021年9月7日发布了《联邦政府零信任战略》草案,以支持第14028号行政指令(EO 14028)《改善国家网络安全》,以改变民用机构(civilian agencies)的企业安全架构,使其基于零信任原则。”
笔者对上面这段文字,给予解读:
1)零信任战略是用来支撑EO 14028的。该战略中也重申了EO 14028的重要性:“成功地使联邦政府的安全方法现代化,需要全政府的努力。2021 年 5 月,总统发布了第14028号行政指令 (EO),《改善国家网络安全》,启动了政府范围内的全面努力,以确保基线安全实践到位,将联邦政府迁移到零信任架构,并实现基于云的基础架构的安全优势,同时降低相关风险。”很明显,EO 14028中已经对联邦政府向零信任架构的迁移做出了明确指示。而这次发布的《联邦零信任战略》就是进一步明确联邦政府零信任战略的实施。
2)战略中最重要的关键词无疑是“机构”(agencies)。简单理解,主要是指政府机构。那为什么要强调“民用机构”(civilian agencies)呢?这主要是和美国国防部这类的“军用机构”划分界限。我们可以简单将本战略中的“民用机构”理解为“政府机构”。
3)为什么要保护这些政府机构?该战略中提到:“每天,联邦政府都在执行独特且极具挑战性的任务:机构保护我们国家的关键基础设施、开展科学研究、参与外交、为美国人民提供福利和服务,以及许多其他公共职能。为了有效地执行这些任务,我们的国家必须明智而积极地利用现代技术和安全实践,同时避免恶意网络活动造成的破坏。”
4)零信任战略的目的是将政府机构的企业安全架构迁移到零信任架构。这里面的“企业安全架构”就不多解释了。在美国人眼中,一切机构皆为“企业”,不论民用机构还是军用机构。比如,美国国防部,就是最典型的“企业”。
5)评论期很短,正式版可能很快发布。注意到,该战略草案的评论期只有两周(2021年9月21日之前),时间很短。说明OMB希望尽快发布正式版。
6)美国国防部是美国联邦政府机构的零信任先锋。美国机构虽然有军用和民用之分,但不要轻视美国国防部对美国联邦政府的影响力。美国国防部曾经称自己不是一个“热衷于追求热词”的部门。但在零信任这个方向上,国防部如此激进,甚至走在所有联邦政府机构的前头,就是因为美国国防部提前认识到零信任的价值。而现在整个联邦政府都全面转向零信任架构,不能不说:美国国防部功不可没。笔者当然是深知美国国防部的影响力,所以才会在美国国防部开始重视零信任的早期,就密切关注零信任形势的发展。
7)尽管零信任背后的概念并不新鲜,但对联邦机构而言仍然是一个重大转变,因为从概念上消除了对设备和网络的隐式信任。这要求美国政府机构的安全架构必须假设——网络和其他组件将受到入侵和损害,并且要求遵循最小权限原则。
8)联邦政府零信任战略是一项大胆的行动。对于像联邦政府这样复杂且技术多样的企业来说,过渡到零信任架构不是一项容易的任务。但正如拜登总统在 EO 14028 中所述,“渐进式改进(Incremental improvements)不会为我们提供所需的安全性;相反,联邦政府需要做出大胆的改变(bold changes)和重大的投资(significant investments),以保护支撑美国生活方式的重要机构。”
9)零信任战略实施进展时间要求:
该战略要求政府机构在2024 财年 (FY) 结束前,实现特定的零信任安全目标(具体目标参加下文中的五个支柱)。
EO 14028要求各机构制定自己的零信任架构实施计划。在本战略发布之日起 60 天内,各部门和机构应在各自零信任架构实施计划的基础上,纳入本战略中规定的额外要求,并向 OMB 提交 22-24 财年的实施计划和 23-24 财年的预算估算。机构应在22财年重新确定资金的优先次序,以实现优先目标,或从其他来源寻求资金。
自本战略发布之日起,部门和机构将有 30 天的时间,为其组织指定和确定零信任架构实施负责人。OMB将依靠这些指定的领导,进行政府范围内的协调以及参与每个组织内的规划和实施工作。
02 战略路径解读
1)联邦零信任战略不是什么?零信任战略并不试图描述或规定一个完全成熟的零信任实现。甚至不鼓励任何机构超越此战略中所述的行动。该战略的目的是通过制定机构必须采取的初始步骤,将所有联邦机构置于一个共同路线图上,以使其迈向通往高度成熟的零信任架构的旅程。它承认每个机构目前处于不同的成熟状态。
2)联邦零信任战略是什么?零信任战略的目标是加速各机构实现早期零信任成熟度的共享基线。对于政府机构来说,转向零信任架构将是一个多年的旅程。 “EO 14028 指示机构专注于满足整个政府的关键基线安全措施,例如通用日志记录、多因素身份验证 (MFA)、可靠的资产清单、无处不在的加密使用,并采用零信任架构。” 该战略试图将机构引导到零信任架构道路上的最高价值起点,并描述了应优先考虑的几种共享服务。简单地说,联邦零信任战略是将政府机构引导到零信任的正确道路上,而且只是开了个头。
3)联邦零信任战略设想了一个联邦零信任架构:
支持跨联邦机构的强大身份实践;
依赖加密和应用程序测试,而非边界安全;
识别政府拥有的每一个设备和资源;
支持安全行动的智能自动化;
支持安全、稳健地使用云服务。
4)零信任战略要达成的零信任目标分为五个支柱:(分组依据是CISA (网络安全和基础设施安全局)零信任成熟度模型的五个支柱)
身份:机构工作人员使用企业范围的身份,来访问他们在工作中使用的应用程序。防网络钓鱼MFA,可保护这些人员免受复杂的在线攻击。
设备:联邦政府拥有其运营和授权供政府使用的每台设备的完整清单,并且可以检测和响应这些设备上的事件。
网络:机构在其环境中加密所有DNS请求和HTTP流量,并开始围绕其应用程序对网络进行分段。联邦政府确定了对传输中的电子邮件进行加密的可行途径。
应用程序:机构将所有应用程序视为连接到互联网的应用程序,定期对其应用程序进行严格测试,并欢迎外部漏洞报告。
数据:机构在部署利用彻底数据分类的保护方面有一条清晰、共享的路径。机构正在利用云安全服务来监控对其敏感数据的访问,并实施了企业范围的日志记录和信息共享。
为什么美国国防部的零信任架构是七大支柱,而联邦政府却是五大支柱?本质上,两者是一致的。看似消失的两个支柱——可见性和分析、自动化和编排,实际上是两类横切系统(在下图的底座中),贯穿到五大支柱(纵向系统)中。
零信任的基础:五大支柱和三大基座
5)《美国国防部零信任参考架构》仍是联邦政府零信任架构的重要参考。该战略确实完整引用了《美国国防部零信任参考架构》中的零信任原则,不再赘述。
6)联邦零信任战略的相关干系人。机构的首席财务官、首席采购官、机构领导层的其他人员,需要与其IT和安全领导层合作,以构建运营模型(operational model)来部署和维持零信任能力。
7)联邦零信任战略非常推崇对云的使用。该战略鼓励机构利用云基础设施中丰富的安全功能,该战略也多处引用云服务。
8)五大支柱目标的分解行动,如后文所述。
03 支柱目标1:身份
1)愿景
机构工作人员使用企业范围的身份,来访问他们在工作中使用的应用程序。防网络钓鱼MFA可保护这些人员免受复杂的在线攻击。
2)行动
机构必须为机构用户建立单点登录 (SSO) 服务,该服务可以集成到应用程序和通用平台(包括云服务)中。
机构必须在应用程序级别实施 MFA,并在可行的情况下使用企业 SSO。
对于机构工作人员、承包商和合作伙伴:防钓鱼MFA是必须的。
对于公共用户:防钓鱼MFA必须是一个选项。
机构必须采用安全的口令策略,并根据已知泄露的数据检查口令。
CISA 将为机构提供一项或多项可以私下检查口令的服务,而不会暴露这些口令。
3)关键举措
1. 企业范围的身份
2. 多因素认证,抵御网络钓鱼
3.面向公众的身份验证
4. 使用强口令策略
04 支柱目标2:设备
1)愿景
联邦政府拥有它运行和授权用于政府工作的每台设备的完整清单,并且可以检测和响应这些设备上的事件。
2)行动
机构必须参与 CISA 的持续诊断和缓解(CDM) 计划。
CISA 将 CDM 计划以最小特权原则为基础,并优先考虑在基于云的基础设施中的有效运行。
机构必须确保每个人工操作的企业配置设备,都有机构选择的端点检测和响应 (EDR) 工具。
CISA 将与机构合作,填补 EDR 覆盖范围的空白。
机构必须向 CISA 提供对 EDR 数据的持续访问。
3)关键举措
盘点资产
政府范围的EDR(端点检测和响应)
05 支柱目标3:网络
1)愿景
机构在其环境中加密所有 DNS 请求和 HTTP 流量,并开始围绕其应用程序对网络进行分段。联邦政府确定了对传输中的电子邮件进行加密的可行途径。
2)行动
在技术支持的任何地方,机构都必须使用加密的 DNS 来解析 DNS 查询。
CISA 的保护性 DNS 程序,将支持加密的 DNS 请求。
机构必须对其环境中的所有 Web 和应用程序接口 (API) 流量,强制实施 HTTPS。
CISA 将与机构合作,将他们的 .gov 域“预加载”到网络浏览器中,使其只能通过 HTTPS 访问。
CISA 将与 FedRAMP 合作,评估MTA-STS作为加密电子邮件的可行的政府范围内解决方案,并向 OMB 提出建议。
机构必须与CISA 协商制定网络分段计划并将其提交给 OMB。
3)关键举措
加密 DNS 流量
加密 HTTP 流量
加密电子邮件流量
围绕应用程序分段网络
06 支柱目标4:应用
1)愿景
机构将他们的应用程序视为连接到互联网,定期对其进行严格的实证测试,并欢迎外部漏洞报告。
2)行动
机构必须运行专门的应用程序安全测试程序。
机构必须利用专门从事应用程序安全的高质量公司,进行独立的第三方评估。
CISA 和 GSA 将共同努力,使此类公司可用于快速采购。
机构必须维持有效且受欢迎的公开漏洞披露计划。
CISA 将提供一个漏洞披露平台,使机构系统所有者可以轻松地直接接收报告并与安全研究人员接触。
机构必须确定至少一个面向内部的 FISMA 中级(Moderate)应用程序,并使用企业 SSO 使其可通过公共互联网访问。
CISA 和 GSA 将共同努力,为机构提供有关其在线应用程序和其他资产的数据。
机构必须向 CISA 和 GSA 提供他们使用的任何非 .gov 主机名。
3)关键举措
应用安全测试
容易获得的第三方测试
欢迎应用漏洞报告
安全地使应用程序可访问互联网
发现可上网的应用程序
07 支柱目标5:数据
1)愿景
机构在部署利用彻底数据分类的保护方面有一条清晰、共享的路径。机构利用云安全服务和工具来发现、分类和保护他们的敏感数据,并实现了企业范围的日志记录和信息共享。
2)行动
OMB 将与联邦首席数据官和首席信息安全官合作,制定零信任数据安全策略和相关的实践社区。
机构必须对数据分类和安全响应进行一些初始自动化,重点是标记和管理对敏感文档的访问。
机构必须审计对商业云基础设施中任何静态加密数据的访问。
机构必须与 CISA 合作实施全面的日志记录和信息共享功能,如OMB 备忘录 M-21-31 中所述。
3)关键举措
联邦数据安全策略
自动化安全响应
审计对云中敏感数据的访问
及时获取日志
08 本战略的参考文件
本战略指出:一段时间以来,联邦政府一直在为过渡到零信任架构做准备。一些机构已经发布了对其他机构有帮助的架构模型:
CISA 的零信任成熟度模型:是对零信任“支柱”的高级概述,展示了机构如何发展到“高级”和“最佳”状态,并描述了 CISA 服务产品如何与这些支柱保持一致。
CISA 《云安全技术参考架构》:与美国数字服务部(United States Digital Service)和 FedRAMP 合作,为安全云架构和迁移策略提供了更详细的参考。
NIST SP 800-207《零信任架构》指南:为零信任架构的关键原则提供了共识定义和框架,同时描述了具有不同风险状况和技能集的组织可以采用的几种不同的零信任架构方法。
NIST NCCoE(国家网络安全卓越中心)已启动“实施零信任架构”计划: 与行业合作伙伴合作,将 NIST SP 800-207 中的概念应用于传统企业架构。
GSA《零信任架构买家指南》:可以帮助机构确定提供与机构零信任实施相关的产品和服务的 GSA 合同工具。
《国防部零信任参考架构》:全面描述了国防部计划在其系统中执行的潜在安全功能和架构控制。
声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。