摘要:自2020年10月8日,美国防部发布首部《数据战略》,宣布要将国防部建设成为“以数据为中心的机构”,数据安全自然也成为其工作重点。紧接着2021年拜登签署《行政命令14028:改进国家网络安全》,零信任网络安全框架成为美国政府保障数据安全的解决方案,并在随后几年中,美国防部接续发布零信任网络安全框架建设内容、计划、补充等文件,本文将这些文件进行梳理,勾画出美国零信任网络安全框架的基本内容,以为我军数据安全建设工作提供参考。
关键词:零信任网络安全,安全控制基线,覆盖,支柱,执行推动因素
2021年5月12日,美国总统拜登签署《行政命令14028:改进国家网络安全》,要求联邦政府必须采用安全最佳实践,向零信任架构迈进。其实在三个月前的2021年2月,美国国防信息系统局(DISA)就发布了《(美)国防部零信任参考结构》的1.0版(2022年7月推出2.0版),明确提出美国防部下一代的网络安全架构将基于零信任原则,以数据为中心进行建设。
2022年11月22日,美国防部发布《美国零信任战略》(下简称“战略”),正式提出将全面实施零信任网络安全框架,为国防部的信息安全提供保障。为在2027年实现这一部署,战略为国防部定义了三个未来行动方案:建立零信任基线;依靠商业供应商开发符合零信任的云环境;利用政府拥有的私有云。同日,美国防部零信任组合管理办公室 (ZT PfMO)也发布了《国防部零信任能力执行路线图》(COA 1),以实现零信任基线的建立。
图1:三个未来行动方案
零信任实施基础
零信任是一种专注于资源保护的网络安全范式,其前提是信任永远不会隐式授予,而是必须不断评估。
起初,零信任主要是将资源限制给需要访问的人,并授予执行任务所需的最小权限(例如,读取、写入、删除)。访问规则则需要尽可能细化,以强制执行操作所需的最小权限。在图2所示的安全访问模型中,主体需要访问企业资源。访问权限通过PDP(策略决策点)和PEP(策略执行点)授予。PDP由两个逻辑组件组成:策略引擎(PE)和策略管理器(PA)。零信任逻辑组件使用单独的控制平面进行通信,而应用程序数据则在数据平面上进行通信。
图2:零信任访问
为允许主体能够访问资源,PDP/PEP会做出适当的判断以允许主体访问资源。而为支持身份验证过程,则需要维护基于风险的动态资源访问策略,并开发一个系统来确保这些策略对于单个资源访问请求得到正确且一致的执行。
如图3所示,PDP负责决定是否授予对资源的访问权限。PDP使用企业策略以及外部资源(例如,持续监控系统、威胁情报服务)的输入作为信任算法的输入,以授予、拒绝或撤销对资源的访问权限。PDP做出并记录决策(批准或拒绝),并通过建立或关闭主体与资源之间的通信路径(通过向相关PEP发出命令)来执行该决策。PEP负责启用、监控并最终终止主体与企业资源之间的连接。
图3:核心零信任逻辑组件
零信任集成和互操作性
实现零信任目标需要整个国防生态系统的协调努力。虽然零信任的起点因已完成、正在进行和计划中的举措而异,但各部门必须与国防部企业合作,确保设计一个可互操作的系统。
图4说明了国防部零信任架构中各支柱之间的复杂集成。所有集成都侧重于向核心零信任组件(即PDP和PEP)提供必要的数据,以便对国防部数据、系统和网络的访问做出授权决策。零信任能力的实施需要采用集成方法,以确保该能力涵盖正在实施的控制的所有相关方面。零信任能力的实施还要求在国防部企业零信任环境中考虑能力之间的互操作性以及给定能力的不同实现。
图4:零信任集成和互操作性
支柱间集成可利用自动化与编配和可视化与分析这两个支柱。当然,其他支柱也包括有助于集成的特定活动。可视化与分析从其他支柱技术中收集到遥测数据(例如日志、事件、警报和网络流量),遥测数据被汇总并分析,以发现恶意和异常活动。然后,分析结果和原始遥测数据将提供给自动化与编配支柱中的PDP相关活动,流入或流出自动化与编配支柱的数据则表现为属性值修改、遥测,及由此产生的PEP决策和安全编配、自动化和响应(SOAR)操作。
实现互操作性的首选方法是开发和使用数据协议的开放标准(例如,轻量级目录访问协议(LDAP)、弹性通用模式(ECS)、表现层状态转换(REST)API),这些标准在整个国防部企业中都使用。遵循一致的数据格式可以促进技术之间的轻松通信,但这并不是一个实用的解决方案。零信任还采用了开放标准的联合流程(open ID connect、安全断言标记语言(SAML)、802.1x公钥基础设施(PKI))及不常用的自定义集成方法,例如提取、转换和加载(ETL)。
零信任能力
国防部零信任能力由7大支柱(Pillar)和执行推动因素(Execution Enabler)构成。7大支柱构成了安全框架的基础,分别为:用户、设备、应用和负载、数据、网络和环境、自动化和编配、可视化与分析;而执行推动因素则指跨领域的非技术能力和活动,涉及文化、治理和DOTMLPF-P要素(例如零信任培训),支持实现国防部目标和高级水平所需的零信任能力的设计、开发和部署。
图5:国防部零信任能力
2024年6月4日,美国防部首席信息官发布《国防部零信任覆盖》文件,作为上述文件和工作内容的延伸和补充。
覆盖的定义
美国国家标准及技术研究所(NIST)在2020年9月23日发布的NIST SP 800-53第5版中认为,引入安全控制基线有助于组织为其系统选择与所涉及的安全和隐私风险级别相符的控件集合。
安全控制基线(Security Control Baselines)由一组分为不同类别的控件组成,例如访问控制、识别和身份验证、系统和通信保护以及事件响应。这些控件旨在解决信息安全的各个方面,包括物理安全、人员安全、网络安全和安全管理。
NIST SP 800-53第5版规定的三条安全控制基线为:
机密性——保留对信息访问和披露的授权限制,包括保护个人隐私和专有信息的手段;
完整性——防止信息被不当修改或破坏,确保信息的不可否认性和真实性;
可用性——确保及时、可靠地访问和使用信息。
覆盖(overlay)则是对安全控制基线的补充,是指在定制过程中采用的安全或隐私控制、控制增强、补充指导和其他支持信息的规范。覆盖规范可能比安全控制基线规范更严格或更宽松,并且可以应用于多个信息系统。
安全控制基线提供了初始控制集,旨在保护其系统中处理和存储信息的机密性、完整性和可用性。但是,应用于零信任的初始控件集可能需要调整、或裁剪才能满足系统的具体保护需求,而其中一种办法就是识别和指定通用控件,被覆盖识别的控件一般都有潜力作为通用控件,通用控件更具标准化、更稳定且更安全。
覆盖的目的
国防部的零信任覆盖由各组织层级的个人使用,用于实施、评估、监控和维护国防部内实施零信任所需的安全控制。适当的安全控制被确定为风险管理框架(RMF)的一部分,并被汇编为控制基线。控制基线是定义信息和系统保护需求的起点。覆盖用于进一步调整和完善与国防部使命和业务需求一致的安全控制集,通过提供专门的控制集来表示在这种情况下,该安全控制集适用于国防部实施的零信任。覆盖可帮助组织实现“标准化的安全和隐私功能、一致的控制实施以及具有成本效益的安全和隐私解决方案”。
覆盖的适用性
组织通常通过回答一系列问题来确定覆盖的适用性。由于零信任覆盖的性质,它并不像回答是或否,并应用已识别的覆盖那么简单。诸如隐私覆盖(一种安全和隐私控制措施,适用于包含个人身份信息和/或受保护健康信息的信息系统)或空间平台覆盖(美国国家安全局发布的一份信息安全标准,专门针对支持国家安全任务的无人太空平台的信息技术组件)之类的覆盖已应用于系统,并被组织用于修改适用于其系统的安全控制集,从而产生一组量身定制的控制,并由安全控制评估员验证。
覆盖定制过程
国防部遵循国家安全系统委员会第1253号指令(CNSSI)对系统进行分类,并为所有国防部系统选择适当的安全和隐私控制集。确定适用于某个系统的覆盖,一般需要采用以下步骤:
首先对系统进行分类(即选择系统处理的信息类型的影响级别);
确定系统的影响值(机密性、完整性和可用性)后,选择适当的安全和隐私控制基线;
在定制过程中,将确定适用的零信任覆盖,以及任何其他覆盖,例如隐私覆盖或机密系统覆盖。覆盖中的控件与初始控制基线进行集成,并根据系统类型、信息、任务或操作环境所特有的风险进行定制或调整。
覆盖的分类
零信任覆盖分为支柱覆盖和执行推动因素覆盖两大类。
1.支柱覆盖
用户支柱覆盖为保护、限制和执行个人和非个人实体(NPE)对数据、应用程序、资产、服务(DAAS)的访问提供指导。它包括使用身份功能,例如多重要素验证(MFA)和特权访问管理(PAM)来实现特权功能。国防部组件需要能够持续验证、授权和监控活动模式,以管理用户的访问和特权,同时保护所有交互。
设备支柱覆盖为设备的持续实时身份验证、检查、评估和修补提供指导。移动设备管理器、合规连接系统(C2C)或可信平台模块(TPM)等解决方案提供的数据可用于评估设备的可信度、确定授权状态和限制访问。每个访问请求都应该被评估(例如,检查受损状态、软件版本、保护状态、加密启用和正确配置)。在零信任方法中,识别、清点、验证、授权、隔离、保护、补救和控制所有设备的能力至关重要。
应用和负载支柱覆盖为本地系统或服务上的任务以及在云环境中运行的应用程序或服务提供指导。零信任负载涵盖从应用程序层到虚拟机管理程序的整个应用程序堆栈。保护和正确管理应用程序层以及计算容器和虚拟机是零信任采用的核心。代理技术等应用程序交付方法可实现额外的保护,包括零信任策略决策和执行点。开发的源代码和通用库通过开发、安全和运营(DevSecOps)实践进行审查,以从一开始就保护应用程序的安全。
数据支柱覆盖保护DAAS。了解组织的DAAS(例如,DAAS库存、位置、它们支持的任务、数据敏感度级别)对于成功实施零信任至关重要。组织需要根据任务关键性对DAAS进行分类,并使用此信息制定全面的数据管理策略作为其整体零信任方法的一部分。这可以通过数据分类、模式开发以及静态加密和传输加密来实现。数据丢失防护(DLP)、数据权限管理(DRM)、软件定义存储(SDS)和细粒数据标记等解决方案可用来保护关键数据。
网络和环境支柱覆盖通过细粒度访问和策略限制来分段、隔离和控制网络和环境。随着边界通过宏分段变得更加细化,微分段也为DAAS提供了更大的保护和控制。控制特权访问、管理内部和外部数据流以及防止横向移动至关重要。
自动化和编配支柱覆盖为手动安全流程自动化提供指导,以在整个企业范围内快速、大规模地采取基于策略的行动。SOAR可提高安全性并缩短响应时间。安全编配集成了安全信息和事件管理(SIEM)以及其他自动化安全工具,并协助管理不同的安全系统。自动化安全响应需要在零信任企业的所有环境中定义流程和一致的安全策略实施,以提供主动的指挥和控制。
可视化和分析支柱覆盖捕获所有支柱中交易的数据,并对数据进行分析,提供更好的可视性和增强决策能力,因为重要的上下文细节可更好地了解其他零信任支柱中的性能、行为和活动基线。这种可视性可提高对异常行为的检测能力,并能够动态更改安全策略和实时访问决策。
2.执行推动因素覆盖
执行推动因素是跨领域的非技术能力和活动,涉及文化、治理和DOTMLPF-P要素(例如,条令、组织、培训、物资、领导和教育、人员、设施、政策),支持零信任能力的设计和部署。DOTMLPF-P为领导者提供了战略视角,以指导其组织完成其使命。
执行推动因素覆盖支持每个零信任支柱、能力、分阶段活动和结果的实施。因此,应实施与推动因素相一致的每个控件,并使其与流程或系统相关的风险相称。