- 作者|三分浅土
- 来源|FreeBuf.COM
- 发布时间|2021-05-19
美国国防信息系统局(DISA)于5月13日在其官网宣布公开发布初始国防部(DoD)零信任参考架构,旨在为国防部增强网络安全并在数字战场上保持信息优势。而就在之前一天(5月12日),拜登发布行政命令以加强国家网络安全,明确指示联邦政府各机构实施零信任方法。
国防部零信任参考架构是一份163页的架构文件,内容相当丰富。同时,它采用了国防部信息企业架构(IEA)的术语体系,说明其将充分融入国防部专用的企业架构(EA)中。
一、NSA指南概要
NSA网络安全指南《拥抱零信任安全模型》的制定,是为了促进NSA的网络安全任务,即识别和传播对国家安全系统(NSS)、国防部(DoD)和国防工业基础(DIB)信息系统的威胁,以及制定和发布网络安全规范和缓解措施。
本指南展示了如何遵循零信任安全原则,以更好地指导网络安全专业人员保护企业网络和敏感数据。为了让NSA的客户对零信任有一个基本的了解,本指南讨论了它的好处和潜在的挑战,并提出了在他们的网络中实现零信任的建议。
零信任模型通过假设失陷是不可避免的或已经发生的,消除了对任何一个元素、节点、服务的信任。以数据为中心的安全模型,在持续控制访问的同时,寻找异常或恶意的活动。
采用零信任思想和利用零信任原则,将使系统管理员能够控制用户、进程、设备如何处理数据。这些原则可以防止滥用泄露的用户凭证、远程利用或内部威胁、缓解供应链恶意活动影响。(注:参见本文第4节(使用中的零信任示例))
NSA强烈建议国家安全系统(NSS)内的所有关键网络、国防部(DoD)的关键网络、国防工业基础(DIB)关键网络和系统考虑零信任安全模型。(注:NSA负责保护国家安全系统(NSS),即敏感程度较高的网络和系统,如涉密信息系统。所以,这条建议对于高敏感网络在应用零信任理念方面,具有很强的权威性。)
NSA指出,网络及其运营生态系统的大多数方面都应实施零信任原则,以使其充分有效。
为了应对实施零信任解决方案的潜在挑战,NSA正在制定并将在未来几个月发布额外的指南。
二、NSA与DISA
美国军方在网络空间作战领域占据主导地位,四只主要力量是:美国国家安全局(NSA)、国防信息系统局(DISA)、美国网络司令部(USCYBERCOM)、联合部队总部国防部信息网络部(JFHQ-DODIN)。这四个机构之间具有双帽关系:
图1:美国国防部内四大网络空间作战机构之间的“双帽”关系
NSA的工作侧重于涉密侧和进攻侧,敏感程度较高,所以不像DISA那么开放。NSA曾在2018年11月发布了《NSA/CSS技术网络威胁框架v2》(NSA/CSS Technical Cyber Threat Framework v2)。
三、NSA指南目录
-
执行摘要
-
已经落伍的方法
-
日益复杂的威胁
-
什么是零信任
-
采取零信任思维
5.1 拥抱零信任指导原则
5.2 利用零信任设计理念
5.3 使用中的零信任示例
5.3.1 泄露的用户凭据 5.3.2 远程利用或内部威胁 5.3.3 供应链受损 5.4 零信任成熟度
-
零信任道路上的潜在挑战
-
小心地最小化嵌入的信任可以实现更安全的任务
7.1 进一步的指南
7.2 引用的工作
7.3 背书免责声明
7.4 目的
7.5 联系方式
四、使用中的零信任示例
1)泄露的用户凭据
示例场景:在本示例中,恶意网络行为体将窃取合法用户的凭据并尝试访问组织资源。在这种情况下,恶意行为体试图使用未经授权的设备,要么通过远程访问,要么利用已加入组织无线局域网的恶意设备。
在传统网络中,仅用户的凭据就足以授予访问权限。
在零信任环境中,由于设备是未知的,因此设备无法通过身份验证和授权检查,因此被拒绝访问并记录下恶意活动。此外,零信任要求对用户和设备身份进行强身份验证。
建议在零信任环境中使用强多因素用户身份验证,这会使窃取用户的凭据变得更加困难。
2)远程利用或内部威胁
示例场景:在本示例中,恶意网络行为体通过基于互联网的移动代码漏洞利用,来入侵用户的设备;或者,行为体是具有恶意意图的内部授权用户。
在一个典型的非零信任场景中,行为体使用用户的凭据,枚举网络,提升权限,并在网络中横向移动,以破坏大量的数据存储,并最终实现持久化。
在一个零信任网络中,失陷的用户的证书和设备被默认为是恶意的,除非被证明清白;并且网络是分段的,从而限制了枚举和横向移动的机会。尽管恶意行为体可以同时作为用户和设备进行身份验证,但对数据的访问将受到基于安全策略、用户角色、用户和设备属性的限制。
在成熟的零信任环境中,数据加密和数字权限管理可以通过限制可以访问的数据和可以对敏感数据采取的操作类型,来提供额外的保护。此外,分析能力可以持续监视帐户、设备、网络活动和数据访问中的异常活动。尽管在这种情况下仍可能出现一定程度的失陷,但损害程度却是有限的,而且防御系统用来检测和启动缓解响应措施的时间将大大缩短。
3)供应链受损
示例场景:在此示例中,恶意行为体在流行的企业网络设备或应用程序中嵌入恶意代码。而设备或应用程序也已按照最佳实践要求,在组织网络上进行维护和定期更新。
在传统的网络架构中,这个设备或应用程序是内部的,并且是完全可信的。这种类型的失陷可能会特别严重,因为它隐含了太多的信任。
在零信任架构的成熟实现中,由于设备或应用程序本身默认不可信,因此获得了真正的防御效果。设备或应用程序的权限和对数据的访问,将受到严格的控制、最小化和监控;分段(包括宏观和微观粒度)将依据策略来强制执行;分析将用于监控异常活动。此外,尽管设备可能能够下载已签名的应用程序更新(恶意或非恶意),但设备在零信任设计下允许的网络连接将采用默认拒绝安全策略,因此任何连接到其他远程地址以进行命令和控制(C&C)的尝试都可能被阻止。此外,网络监视可以检测并阻止来自设备或应用程序的恶意横向移动。
五、零信任成熟度
NSA指南也再次强调,零信任的实施需要时间和精力:不可能一蹴而就。
NSA指南进一步指出:一次性过渡到成熟的零信任架构是没有必要的。将零信任功能作为战略计划的一部分逐步整合,可以降低每一步的风险。随着“零信任”实现的逐步成熟,增强的可见性和自动化响应,将使防御者能够跟上威胁的步伐。
NSA建议:将零信任工作规划为一个不断成熟的路线图,从初始准备阶段到基本、中级、高级阶段,随着时间的推移,网络安全保护、响应、运营将得到改进。
六、下一步期待
NSA指南中提到,NSA正在协助国防部客户试验零信任系统,协调与现有国家安全系统(NSS)和国防部计划的活动,并制定附加的零信任指南,以支持系统开发人员克服在NSS(国家安全系统)、DoD(国防部)、DIB(国防工业基础)环境中集成零信任的挑战。即将发布的附加指南将有助于组织、指导、简化将零信任原则和设计纳入企业网络的过程。