2021年2月25日,美国国家安全局(NSA)发布零信任安全模型指南《拥抱零信任安全模型》(拥抱零信任安全模型)。NSA是美国情报界的中流砥柱,是美国国家安全体系的技术权威,是美国网络司令部的摇篮。因为深不可测,大部分人都是从斯诺登的曝光中知道的。此次发布指南,可以看作是NSA对零信任的明确表态。在美军网络空间安全领域,笔者认为DISA(国防信息系统局)和NSA是“雌雄同体”:DISA管内,NSA管外;DISA负责防御,NSA负责进攻;DISA负责非机密安全,NSA负责机密安全。他们都有独特的双帽系统。既然NSA发布了零信任指南,DISA早就宣布将发布零信任参考架构,那么美国国防部在零信任问题上的表态也就没有什么悬念了。接下来,我们继续等待DISA的零信任参考架构和NSA的额外零信任实施指南。《拥抱零信任安全模型》原文下载地址:下载原文1.NSAGuidelinesSummaryandDefenseIndustrialBase(DIB)informationsystems,anddevelopandpublishcybersecurityspecificationsandmitigations.本指南展示了如何遵循零信任安全原则,以更好地指导网络安全专业人员保护企业网络和敏感数据。为了让NSA客户对零信任有一个基本的了解,本指南讨论了它的好处和潜在的挑战,并提出了在他们的网络中实施零信任的建议。零信任模型通过假设漏洞不可避免或已经发生,消除了对任何一个元素、节点或服务的信任。一种以数据为中心的安全模型,可在持续控制访问的同时查找异常或恶意活动。采用零信任思维和利用零信任原则将使系统管理员能够控制用户、进程和设备处理数据的方式。这些原则可防止滥用受损用户凭据、远程利用或内部威胁,并减轻供应链恶意活动的影响。(注意:参见本文第4节(使用中的零信任示例))NSA强烈建议国家安全系统(NSS)、国防部(DoD)关键网络、国防工业基地(DIB)关键网络中的所有关键网络系统考虑零信任安全模型。(注:NSA负责保护国家安全系统(NSS),即高度敏感的网络和系统,例如机密信息系统。因此,该建议对于零信任概念在高敏感网络中的应用具有很高的权威性。)美国国家安全局指出,网络及其运营生态系统的大多数方面都应实施零信任原则,以便充分发挥作用。为了应对实施零信任解决方案的潜在挑战,美国国家安全局正在制定并将在未来几个月内发布更多指南。2.NSA和DISA美军在网络空间作战领域占据主导地位。四大主要部队分别是:国家安全局(NSA)、国防信息系统局(DISA)、美国网络司令部(USCYBERCOM)和联合部队总部国防部信息网络部(JFHQ-DODIN)。这四个机构之间存在着双重关系:图1:美国国防部内四大网络空间作战机构之间的“双重关系”。这张图展示了四大机构之间的双帽制:国家安全局(NSA)局长与美国网络司令部司令(现为保罗·M·中曾根)是同一人;国防信息系统局(DISA)的局长与JFHQ-DODIN的指挥官(现为NancyNorton)是同一个人。两人合照如下:图2:NSA(左)/DISA(右)“男男双杀”NSA的工作侧重于秘密的一面和进攻的一面,高度敏感,所以不和DISA一样开放。NSA于2018年11月发布《NSA/CSS技术网络威胁框架v2》(NSA/CSSTechnicalCyber??ThreatFrameworkv2)。3.NSA指南目录1.执行摘要2.过时的方法3.越来越复杂的威胁4.什么是零信任5.采用零信任思维(1)拥抱零信任指导原则(2)利用零信任设计概念(3)使用零信任示例泄露的用户凭证远程利用或内部威胁供应链妥协(4)零信任成熟度6.潜在挑战零信任之路7.小心最小化嵌入式信任可以实现更大的安全任务(1)进一步指导(2)引用的工作(3)背书免责声明(4)目的(5)联系简评:快速回顾NSA零信任后相信Guidelines,作者觉得没必要贴完整翻译。因为NSA指南中零信任的概念、思路、原则、挑战等与NIST零信任架构指南是一致的,只是有些词有所改动,就不再赘述了。这份NSA零信任指南的翻译不到6,000字;而NIST零信任架构指南(SP800-207)超过37,000字。为了更好地理解零信任架构,请参阅NIST零信任架构指南(SP800-207)的翻译。下面主要介绍5.3节(零信任使用示例)和5.4节(零信任成熟度)的内容。4.使用中的零信任示例1.泄露的用户凭据示例场景:在此示例中,恶意网络参与者将窃取合法用户的凭据并尝试访问组织资源。在这种情况下,恶意行为者试图通过远程访问或利用已加入组织无线局域网的流氓设备来使用未经授权的设备。在传统网络中,仅用户凭据就足以授予访问权限。在零信任环境中,由于设备未知,设备无法通过身份验证和授权检查,被拒绝访问并记录恶意活动。此外,零信任需要对用户和设备身份进行强大的身份验证。在零信任环境中建议使用强多因素用户身份验证,这使得窃取用户凭据变得更加困难。2.远程利用或内部威胁示例场景:在此示例中,恶意网络参与者通过基于Internet的移动代码利用来破坏用户的设备;或者,行为者是具有恶意意图的授权内部人员。在典型的非零信任场景中,参与者使用用户的凭据、枚举网络、提升权限并在网络中横向移动以破坏大型数据存储并最终实现持久性。在零信任网络中,被盗用的用户凭据和设备被认为是恶意的,除非被证明是无辜的;并且网络是分段的,限制了枚举和横向移动的机会。尽管恶意行为者可以同时作为用户和设备进行身份验证,但将根据安全策略、用户角色、用户和设备属性限制对数据的访问。在成熟的零信任环境中,数据加密和数字权限管理可以通过限制可以访问的数据和可以对敏感数据采取的操作类型来提供额外的保护。此外,分析功能可以持续监控帐户、设备、网络活动和数据访问以发现异常活动。虽然在这种情况下仍然可能存在某种程度的妥协,但损害的程度是有限的,防御系统检测和启动缓解响应所需的时间也大大减少了。上面的文字描述可以参考下图来理解:图3:零信任远程利用场景示例3.供应链妥协示例场景:在此示例中,恶意行为者将恶意代码嵌入到流行的企业网络设备或应用程序中。根据最佳实践,在组织的网络上维护和定期更新设备或应用程序。在传统的网络架构中,这个设备或应用程序是内部的并且是完全可信的。这种类型的违规行为可能特别严重,因为它意味着非常信任。在零信任架构的成熟实现中,实现了真正的防御,因为默认情况下设备或应用程序本身不受信任。设备或应用程序权限和数据访问将受到严格控制、最小化和监控;细分(宏观和微观粒度)将根据政策实施;分析将用于监控异常活动。此外,虽然设备可能能够下载签名的应用程序更新(恶意的或非恶意的),但设备在零信任设计下允许的网络连接将具有默认的拒绝安全策略,因此与其他远程地址的任何连接都用于命令和控制(C&C)尝试可能会被阻止。此外,网络监控可以检测并阻止来自设备或应用程序的恶意横向移动。5.零信任成熟度NSA指南也再次强调,零信任的实施需要时间和精力:它不可能一蹴而就。美国国家安全局的指导方针进一步指出,一次性过渡到成熟的零信任架构是没有必要的。逐步将零信任功能集成为战略计划的一部分可以降低每一步的风险。随着零信任实施的成熟,??增强的可见性和自动化响应将使防御者能够跟上威胁的步伐。NSA建议:将零信任工作规划为一个成熟的路线图,从最初的准备到基础、中级和高级阶段,其中网络安全保护、响应和操作将随着时间的推移而改进。如下图所示:图4:零信任的逐步成熟实施六、下一步期待NSA指南提到NSA正在协助国防部客户测试零信任系统,并与现有的国家安全系统(NSS)协调DoD计划活动并制定额外的零信任指南,以支持系统开发人员克服在NSS(国家安全系统)、DoD(国防部)、DIB(国防工业基地)环境中集成零信任的挑战。即将发布的其他指南将有助于组织、指导和简化将零信任原则和设计纳入企业网络的过程。此外,您可能还记得,DISA(国防信息系统局)负责人宣布了到2020日历年年底的初始零信任参考架构,然后将花费几个月的时间寻求行业和政府的意见,然后发布完整的文件。因此,从时间上来说,应该是在向行业和政府征求意见的过程中。无论是NSA接下来的实施指南,还是DISA正在征求意见的参考架构,笔者认为:从零信任架构来看:与NIST零信任架构相比,可能不会有大的变化。从零信任的实施角度看:会结合美军网络的实际,有更具体的建设思路、实施指导和应用实例。所以,让我们继续期待吧。
