2021年1月7日,据美国国防部新闻报道,在过去的10个月中,国防信息系统局(DISA)一直在致力于“基于云的互联网隔离”(cloud-based internet isolate,CBII),该计划将行业领先的技术与快速获取策略结合在一起。DISA主任海军副上尉南希•诺顿指出:事实证明,CBII可以改变国防部的局面,因为它能够保护部门网络免受基于Web浏览器的威胁,从而使它们在办公室或在家中都更安全。她明确表示:国防部有望在2021年获得永久的远程办公能力。
一、CBII被确立为美军2022年之前的战略技术重点
1.背景
随着新冠肺炎疫情的流行,美国国防部大量员工不得不远程工作。这种大规模远程办公为对手提供了更大的网络攻击机会,给美军带来了更加突出的网络安全威胁问题,使得美国国防部面临前所未有的压力。为应对这种威胁,DISA将安全的远程办公功能确立为2021年计划的首要任务,着手从技术和管理等多方面为美国国防部网络提供更强的安全性。
近年来DISA的“双帽”架构受到特朗普政府的挑战,但2020年DISA依然维护了这种独特的架构。同时,DISA的组织架构发生了调整,把多个组织从DISA中剥离,从而使得DISA更聚焦于网络空间安全领域,更符合“The IT Combat Support Agency”的定位(如图1)。DISA网络安全解决方案必须紧跟快速发展且愈加复杂的网络威胁。而随着基于云的各种技术在国防部应用越来越广泛,针对DOD网络的基于浏览器的攻击变化和复杂性也在持续上升,据统计,大约30%到70%的网络攻击来自浏览器。因此,在众多新兴技术中,基于云的互联网隔离(CBII)新技术在2021-2022财年将持续获得美军大力推广。
图1 DISA聚焦领域
2.新技术路线图
一直以来,DISA的战略计划是与美国国家和国防战略保持一致的,包括国家安全战略、国家网络战略、国防战略、国防部网络战略和国防部数字现代化战略,等等。总的来说,这些战略指导了DISA战略计划的制定,并支持国防部的目标,即加强有助于当前和未来美国军事优势的网络和系统的安全性和弹性。
DISA在其最新发布的战略计划第一份年度更新中(即《2019-2022财年战略计划》第2版),概述了国防部到2022年的愿景。考虑到COVID-19大流行的进展和重点,DISA更新了2022年之前的战略技术重点,调整了国防部长期网络安全和云计划。这份最新战略计划的主要补充是一项新技术路线图(如图2所示)。
图2 DISA2021-2022技术路线图
这份战略计划的新技术路线图概述了DISA将如何在2021和2022财年实现其目标。该路线图侧重于网络防御、云计算和国防企业办公解决方案(DEOS)这三大核心技术重点领域,列出了有助于其实现技术目标的重点工作内容。其中,基于云的互联网隔离(CBII)不仅是云计算领域下三个重要性能指标之一(注:另外二个为云访问和安全、云基础设施),同时也出现在网络防御领域下边界防御工具之中,突出显示了DISA将在 2021-2022年大力推进CBII能力的实现。
二、CBII技术能力概述
1.核心能力
CBII是一种工具,它使用了一些技术上的技巧,可实现以下三大主要功能:
(1)将互联网浏览从端点移至基于云的环境:CBII旨在在国防部网络和web浏览之间加入隔离区,将Web浏览活动从终端用户的桌面定向到国防部信息网络(DoDIN)以外的、基于云的远程服务器,从而有效地在互联网和国防部信息网络之间造成了空隙。
(2)大大降低了网络的风险和攻击面:当入侵者试图利用浏览活动时,潜在的恶意代码等不会触及国防部信息网络,而是被隔离在云数据中心进行检测,因此恶意代码是在云中引爆,而不是在政府计算机上引爆,因而极大缩减了国防部信息网络的受攻击面。
(3)缓解互联网接入点的拥塞:CBII技术可减轻国防部因特网接入点的负荷,与通常的Web浏览相比,到达用户终端的网络数据流量可减少约25%,对于视频流等带宽消耗型服务甚至可减少40%。同时,CBII还减轻了VPN网络的负荷,使VPN的峰值负荷从94%降低到了约50%。即使有所减少,CBII用户体验仍保持与直接访问浏览体验相同的质量,同时可释放带宽用于其他任务必不可少的流量。
DISA将把“网络带宽节约情况”和“网络安全威胁拦截数量”作为对“基于云的互联网隔离”项目效果进行评估的依据。
2.代表性的商用产品
“互联网隔离”技术颇受企业的欢迎,因为采取这种方式后,用户从内部工作机浏览外部互联网时将被“隔离”,不必担心黑客的入侵。过去,这种隔离是通过虚拟化方式来实现的。但虚拟化成本过高,并且不能很好地进行扩展。因此,供应商正在探索新的架构来隔离网络浏览活动。“浏览器隔离”技术在2017年就被Gartner列为十大安全技术之一,并指出这是一项新兴战略技术。
目前,“基于云的互联网隔离”(CBII)技术已在商业市场中应用,其中,美国Menlo Security公司、By Light Professional IT Services公司、Sealing technologies公司、Symantec公司(2017年它收购了以色列初创公司FireGlass以增强其在浏览器隔离上的技术实力)等都推出了相关产品。目前比较具有代表性的产品是Menlo Security公司的“自适应性无客户端渲染技术”(Adaptive Clientless Rendering,ACR),它也是美军采购的要技术,下面简单介绍这项技术。
(1)Menlo Security上网隔离安全方案
Menlo Security公司位于美国加州,该公司2014年11月进行了1050万的A轮融资,2015年6月获得2500万美元的B轮融资。Menlo的主要产品是2015年6月推出的业内首款SaaS或本地部署虚拟机形式的隔离平台。
先进的 Menlo Security Web Isolation 上网隔离安全方案,是设计来针对各种利用浏览器上网时所带来的水坑式攻击、有毒文件的下载、偷偷挖矿网页、浏览器漏洞利用……等威胁在不改变使用者的前提下,透过 Menlo Security Isolation Platform(MSIP)隔离平台达成防护目标。
其上网隔离技术运作原理是:Menlo Security Isolation Platform,简称 MSIP,采用最新的容器技术(Container),让使用者想访问的内容,包含各种网页、开启各种文件、邮件的超连结与附件,都在隔离平台中开启一个独立的容器,让这些网页或文件中存在的主动式内容(HTML5, JavaScript, Flash, Java…等 Active Content)在容器中运行,使用者端不须安装端点的前提下,仰赖标准的各种浏览器工具就可以使用,并且受到隔离的防护。
图3 Menlo Security上网隔离安全方案
(2)关于ACR技术
Adaptive Clientless Rendering,简称ACR技术,是一项无须端点的内容绘制技术,只需要符合HTML5标准的浏览器程式,无论各种装置(包含电脑、平板、手机……),无论各种作业系统(Windows,iOS, MaxOS,Linux,Android……等),各种浏览器品牌(例如, IE、Chrome、Firefox、Safari……等),都可以正确的浏览被隔离的资料。
当使用者开启一个浏览器分页,输入网址准备浏览时,透过代理伺服器Proxy 设定(可以是Explicit Proxy,或 Transparent 透明式 Proxy),指到隔离平台中,隔离平台会启动一个该连线专属的安全容器 ,抓取并执行网页的内容后,透过ACR技术将网页的内容传递给使用者浏览器画出内容,访问完成后,该安全容器就会被丢弃并删除资料,因此即使该网页有被植入恶意程式,或者是含有背景挖矿的程式,也无法感染使用者桌面的浏览器或电脑。
利用ACR技术,可以将各种可能会造成危害的主动式内容(Active Content)进行隔离,但持续让终端使用者有与被隔离前相同的检视、浏览,以及互动的体验。不需要为了安全而牺牲方便与改变资料使用习惯。
图4 ACR技术
(3)Web Isolation效益
透过隔离技术,确保上网过程中,任何有可能造成威胁的物件都被隔离在平台的安全容器中,而非传统藉由识别已知威胁、阻挡已知威胁的防护逻辑。预期采用上网隔离安全方案后,可以满足以下的效益:
* 移除上网的恶意程式感染风险:避免上网过程中不小心点到有问题的网页,将所有主动式内容,包含恶意程式都隔离在安全容器平台中,没有机会下载到使用者的装置中。
* 无缝的使用者体验:Menlo的隔离技术,设计来让终端使用者不需改变习惯,整个浏览网页的操作上,与导入隔离技术前有相同的体验。
* 较传统虚拟桌面,只需不到1/10的资源使用:隔离平台的设计,在所需的软硬体资源头投入上,相较于采用传统的虚拟桌面(VDI技术),可以更节省,更符合经济效益。
* 于端点不须安装程式或浏览器外挂:透过Menlo,要达到安全非常的简单,不须布署端点程式的下载、派送、安装与管理。一切都变得很简单。
三、CBII目前在美军的应用进展
1.国防部的具体技术要求
2018年6月4日,DISA发布《基于云的互联网隔离方案》信息征询书(RFI),希望工业部门协助开发一种互联网隔离方案,将国防部用户的互联网上网行为与国防部网络相隔离,以保障国防部网络的安全。其技术要求方案必须能够满足以下能力和功能要求:
(1)方案在必要时可利用多个地理位置,可包括:华纳罗宾斯(乔治亚州)、哥伦布(俄亥俄州)、圣安东尼奥(德克萨斯州)、北岛(加利福尼亚州)、五角大楼(华盛顿特区)、汉普顿路(弗吉尼亚州)、横田(日本)、拉姆施坦因(德国)、斯图加特(德国)和希凯姆(夏威夷)。
(2)方案须兼容联邦信息处理标准(FIPS)140-2加密模块,支持国防部公钥基础设施(PKI)认证,兼容国防部批准的所有浏览器,并使用国防部提供的用户配置文件的目录服务。系统可位于FedRamp II级认证数据中心。供应商可提供主机和构建“软件即服务”(SaaS),并负责系统设置、服务器维护、中间件和操作系统支持以及托管/维护等。
(3)基于企业云的互联网隔离能力由以下几个方面组成:
1)将浏览器中用户互联网活动的全部或可配置部分发送至国防部信息网络(DoDIN)以外的、基于云的供应商解决方案;
2)安全存储和传输数据,在此过程中药确保数据的机密性、完整性、可用性及来源真实性;
3)在主机处包含一种内容控制软件;
4)可记录所有的Web请求,可将Web请求与特定用户绑定(从身份验证至会话结束);
5)可允许不同的组为每个客户端设置网络使用阈值。如果超过带宽阈值,则向指定的电子邮件地址自动发送电子邮件;
6)支持浏览器活动的不可否认性(Non-repudiation)。不可否认性是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为;
7)可配置用户会话的“非活动超时”;
8)支持使用安全套接字层(SSL)3.0和传输层安全性(TLS)1.0-1.3的网站连接;
9)满足多项性能标准,比如能够近实时地提供信息,将打开客户端到浏览会话开始的时间控制在5秒之内等。
2.推进部署情况
当前,CBII技术已经完成测试验证,正处于国防部内推广部署的阶段,DISA计划在2021财年将其扩展到整个国防部,并将其应用于电子邮件和附件。
在2021-2022年期间,DISA计划CBII项目的用户数量从其最初的10万最终扩展至350万;该机构将首先启动其自有用户的迁移工作,目前的计划是在该项目进入生产阶段后的第一年内完成美军150万用户的迁移。
3.新型合同机制
CBII项目是DISA第一次尝试采用“其他交易授权”(OTA)合同模式项目。2019年,DISA将其内部几个创新职能部门进行了重组,构建了新兴技术局,寻求通过新兴技术局引入网络能力、身份识别和基础设施等领域的新兴技术。为了加强与国防厂商的合作和快速引入新技术,新兴技术局在国防创新合同授予机制方面设立了系统工程、技术和创新(SETI)和其他交易授权(OTA)两种机制。SETI机制是为解决复杂IT工程和开发活动中快速引入先进技术而设置的合同机制,该合同将是否具备最先进的技术作为衡量指标,而不以价格因素作为衡量指标。OTA机制旨在鼓励不满足政府采办规定要求(如与DISA合作时间低于1年或从未参与国防研究项目)的小公司能够参与国防项目,以便DISA获取最先进的商用技术,这些公司只需提供最少数量的原型系统即可参与合同投标。
2020年8月,DISA以1.99亿美元的价格将第一份其他交易授权(OTA)生产合同授予By Light Professional IT Services,由该公司为国防信息系统局的CBII项目提供支持。By Light Professional IT Services公司作为该项目的主承包商,Menlo Security公司将负责项目解决方案的交付工作。
目前,DISA正在实施五份OTA类合同,其中基于云的互联网隔离(CBII)和移动端点保护(Mobile Endpoint Protection)已投入生产,其他三个OTA合同处于原型开发阶段,这些合同关注身份认证领域,涉及的技术包括:身份凭证和访问管理、人工智能和机器学习、传感器和告警网络。
四、启示
1.从管理上进一步规范军队远程办公网络安全
新冠疫情的爆发,对全球各个领域均产生了深远影响。其中,全球远程办公需求激增,用户和市场规模呈爆发式增长。而远程办公突破了传统网络边界,带来巨大安全风险。对此,美国国防部出台了远程办公政策确保安全地开展工作,白宫管理和预算办公室发布了备忘录支持远程办公安全,美国国土安全部网络安全与基础设施安全局发布指导文件加强网络安全风险管理,上述机构从管理规范上为军队、联邦机构、关键基础设施运营商和相关企业等纷纷给出远程办公安全操作建议和指南,其反应敏捷度和机构间的协同行动能力值得我们借鉴。
2.从技术上保证后疫情时代大规模远程办公网络安全
后疫情时代,远程办公网络安全问题已经从管理政策上进行严格规范逐步进入到从技术手段上加以切实解决的阶段。进入2021年,美军在确保远程办公网络安全这项被DISA确立的2021年首要任务上,重点围绕其关键技术解决方案加快其在全军范围内的推进部署节奏。除了CBII技术,DISA还正在探索与商业虚拟远程环境分离的“灰色网络”,灰色网络需要两个虚拟专用网络解决方案,其中外部VPN终止于灰色网络,而内部VPN以备份方式继续其灰色网络。国防部计划在2021年将基于Microsoft Teams的远程工作工具商用虚拟远程(CVR)移至永久性功能,以及增加对机密远程技术(或至少需要具有不同密级人员可以协作的工具)的需求。除了保密的远程办公工具外,DISA还研究加密的流量分析,寻找异常情况以帮助更好地检测恶意软件,以及使用零信任安全性概念替代网络边界安全性的潜在方法,等等。同样,我军的远程办公需求激增,面临的网络攻击威胁同样巨大,如何解决我军远程办公网络安全问题也是摆在我们面前亟待解决的一个紧迫问题。
3.以创新影响创新
DISA在CBII项目合同签署上首次采取的其他交易授权(OTA)模式值得关注。近年来,美军对于一些尚未被广泛采用的商业新兴及尖端技术,使用了创新的快速开发流程来获取,OTA方式就是其中之一。OTA合同模式可以让原型技术得到更大的创新和更快的发展。国防部正在通过越来越多地使用OTA来加大对创新的关注,从而影响业界的创新解决方案,帮助其更快实现目标。国防部已将OTA视为其武器系统发展战略的一个关键组成部分,在国防工业基地某些部门的主要武器系统开发流程的中后期,出现了向OTA的重大转变。这种通过国防创新单元“商业解决方案入口(Commercial Solutions Opening)”来执行的机制,为美国防部采购创新产品及服务、特别是非传统防务承包商所提供的解决方案提供了必要的政策灵活性。我军在技术与装备采购上虽然有其固有的特定模式,但是如何从军队层面来帮助工业部门加大对尖端技术的创新,加快新兴技术在国防部门的部署,以自身模式的创新来影响商业技术创新,美军的做法值得借鉴。
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。