美国防部计划扩大“雷穹”零信任网络安全架构的部署运用

编者按

美国防信息系统局（DISA）计划在2024年向60个站点以及海岸警卫队部署“雷穹”（Thunderdome）零信任功能。

2023年，DISA在3个站点测试了“雷穹”零信任功能，并通过联合互操作性测试司令部的评估证实相关技术满足了零信任目标，随后将该计划推广到15个站点。DISA目前将首先关注已经属于国防部网络（DoDNet）的组织，包括DISA、国防技术信息中心、国防部战俘及失踪军人统计署（DPAA）和国防技术信息中心非机密和机密用户，旨在让这些站点达到所需的零信任标准。一旦更多机构迁移到DoDNet，相关机构将拥有Thunderdome零信任架构来增强其网络的安全性。美国南方司令部、欧洲司令部和非洲司令部也在考虑与DISA合作部署“雷穹”，从而在2027年前摆脱遗留的“联合区域安全堆栈”（JRSS）并在同年实现零信任的目标水平。DISA还计划在2025年将Thunderdome零信任架构引入另外14个站点。

Thunderdome项目由四个关键组件组成，包括客户安全堆栈、软件定义广域网、安全接入服务边缘能力以及应用程序安全堆栈。其中，前两个组件被组合成位于网络飞地边缘的一项功能；安全接入服务边缘能力取代了传统的虚拟专用网络；应用程序安全堆栈提供保护和分段功能并防止未经授权的移动。Thunderdome包括所有零信任相关的内容，包括身份、凭据和访问管理（ICAM）功能，以及国防部作为其Microsoft 365 E5许可的一部分获得的功能，如Microsoft Defender。为实现自动化，DISA正在评估由美国防部首席数字和人工智能办公室运营的人工智能平台“感知器”（Perceptor），并准备将其纳入Thunderdome架构。

奇安网情局编译有关情况，供读者参考。

在授予“雷穹”（Thunderdome）网络安全计划价值18.6亿美元的合同不到一年后，美国国防信息系统局（DISA）正准备2024年向60个站点推出其零信任功能。该机构还完成了合同流程，以支持海岸警卫队加强其网络的努力。

DISA网络安全和分析机构主管布莱恩·赫尔曼表示，“我们刚刚完成了海岸警卫队工作的合同工作。有一些现场调查和其他事情需要完成，但这将是计划工作外的附加工作。”

美国南方司令部、欧洲司令部和非洲司令部也在考虑与DISA合作。这将有助于这些司令部摆脱遗留的联合区域安全堆栈（JRSS）计划，这是一项广受批评的计划，曾承诺改善美国防部的网络安全态势。美国防部正急于在2027年前废除JRSS，因为其正在努力在同年实现零信任的目标水平。

DISA计划在2025年将Thunderdome零信任架构引入另外14个站点。

布莱恩·赫尔曼表示，DISA将首先关注已经属于国防部网络（DoDNet）的组织，DoDNet目前支持来自DISA、国防技术信息中心、国防部战俘及失踪军人统计署（DPAA）和国防技术信息中心非机密和机密方面的用户。目标是让这些站点达到所需的零信任标准。

一旦更多机构迁移到DoDNet，相关机构将拥有Thunderdome零信任架构来增强其网络的安全性。

布莱恩·赫尔曼表示，“随着时间的推移，当它们加入DoDNet时，它们将把Thunderdome架构作为其商品IT的基本部分。这对它们有帮助，对国防部也有帮助，因为这样我们就知道这些机构将实现零信任目标状态的某些要素，而我们都需要在2027财年底前实现这一目标。因此，我们预计会有更多加入Thunderdome的机构。”

Thunderdome的关键组件

Thunderdome项目由四个关键组件组成，包括客户安全堆栈和软件定义的广域网，这些组件被组合成位于网络飞地边缘的一项功能。

Thunderdome还提供安全接入服务边缘能力，取代传统的虚拟专用网络。DISA在Thunderdome下部署的最后一个组件是应用程序安全堆栈，以提供保护和分段功能并防止未经授权的移动。

布莱恩·赫尔曼表示，“这对于国防部来说是一项复杂的工作，因为我们至少有四个不同的商业云提供商与国防部合作——谷歌、亚马逊、微软和甲骨文。然后，我们拥有传统的本地数据中心，其中甚至在这些领域也包含一些云元素。对我们来说非常重要的是，我们寻找并找到了一种方法来保护这些空间中的应用程序，而这些空间不必针对我们所处的每个云环境而有所不同。”

在2023年将该计划推广到15个站点前，DISA在3个站点测试了这些功能。然后，DISA引入了联合互操作性测试司令部来评估这些技术是否满足零信任目标。

布莱恩·赫尔曼表示，“一旦这一点得到证实，我们就开始进行15次部署，现在还在扩大规模。”

布莱恩·赫尔曼表示，该机构将Thunderdome名称用于与零信任相关的所有内容，包括身份、凭据和访问管理（ICAM）功能，以及国防部作为其Microsoft 365 E5许可的一部分获得的功能，例如Microsoft Defender。

安全编排以提供自动化

随着推出Thunderdome架构，DISA正在专注于工作的关键部分——确保网络安全工具相互连接，以便它们可以共享信息而不是被孤立，并增加自动化以帮助操作员管理大量安全数据。

布莱恩·赫尔曼表示，“我们知道，多种工具和海量数据的激增让他们的工作变得很困难。因此，这就是人工智能能力发挥作用的部分原因。让我们看一下我们知道如何应对的那些平凡活动，如果这解决了他们75%或80%的工作量，那么我们可以让这些人将他们的思想用于更高端的战斗。这对我们实现自动化非常重要，人工智能肯定在我们正在做的事情中发挥了作用。”

为实现自动化，DISA正在评估一种名为“感知器”（Perceptor）的功能，这是一个由美国防部首席数字和人工智能办公室运营的AI/ML平台，它将成为Thunderdome架构的一部分。

布莱恩·赫尔曼表示，“我们正在DISA网络安全项目执行办公室的Thunderdome团队以及网络安全分析和数据团队的背景下开展这项工作。我们现在实际上正在这样做。这是活生生的。它还不一定成为我们的防御性网络操作员工作的标准方式。部分原因是我们需要证明这一点。我们需要有工具来构建规则，以便我们能够自动化这些事情，并确信我们能够从中得到我们需要的东西。那里正在进行工作。它已经实施，我们正在安全的商业云中进行。”

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。