美國國家安全局發(fā)布零信任安全模型指南

作者：三分淺土 2021-03-02 14:47:26

2021年2月25日，美國國家安全局(NSA)發(fā)布關(guān)于零信任安全模型的指南《擁抱零信任安全模型》(Embracing a Zero Trust Security Model)。

NSA是美國情報(bào)界的中流砥柱，是美國國家安全系統(tǒng)的技術(shù)權(quán)威，是美國網(wǎng)絡(luò)司令部的搖籃。由于它深不可測，大家對它的了解多來自于斯諾登的曝光。這次的指南發(fā)布，可視為NSA對零信任的明確表態(tài)。

[[384673]]

在美軍網(wǎng)絡(luò)空間安全領(lǐng)域，筆者認(rèn)為DISA(國防信息系統(tǒng)局)和NSA是“雌雄雙煞”：DISA主內(nèi)，NSA主外;DISA管防御，NSA管進(jìn)攻;DISA管非涉密安全，NSA管涉密安全。他倆還都具有獨(dú)特的雙帽體制。

既然NSA已經(jīng)發(fā)布零信任指南，而DISA早就宣布要發(fā)布零信任參考架構(gòu)，那么，關(guān)于美國國防部對零信任的擁護(hù)立場，幾乎沒有什么懸念了。

接下來，我們繼續(xù)等待DISA的零信任參考架構(gòu)和NSA的附加零信任實(shí)施指南。

《擁抱零信任安全模型》原文下載地址：下載原文

一、NSA指南概要

NSA網(wǎng)絡(luò)安全指南《擁抱零信任安全模型》的制定，是為了促進(jìn)NSA的網(wǎng)絡(luò)安全任務(wù)，即識別和傳播對國家安全系統(tǒng)(NSS)、國防部(DoD)和國防工業(yè)基礎(chǔ)(DIB)信息系統(tǒng)的威脅，以及制定和發(fā)布網(wǎng)絡(luò)安全規(guī)范和緩解措施。

本指南展示了如何遵循零信任安全原則，以更好地指導(dǎo)網(wǎng)絡(luò)安全專業(yè)人員保護(hù)企業(yè)網(wǎng)絡(luò)和敏感數(shù)據(jù)。為了讓NSA的客戶對零信任有一個(gè)基本的了解，本指南討論了它的好處和潛在的挑戰(zhàn)，并提出了在他們的網(wǎng)絡(luò)中實(shí)現(xiàn)零信任的建議。

零信任模型通過假設(shè)失陷是不可避免的或已經(jīng)發(fā)生的，消除了對任何一個(gè)元素、節(jié)點(diǎn)、服務(wù)的信任。以數(shù)據(jù)為中心的安全模型，在持續(xù)控制訪問的同時(shí)，尋找異?；驉阂獾幕顒?dòng)。

采用零信任思想和利用零信任原則，將使系統(tǒng)管理員能夠控制用戶、進(jìn)程、設(shè)備如何處理數(shù)據(jù)。這些原則可以防止濫用泄露的用戶憑證、遠(yuǎn)程利用或內(nèi)部威脅、緩解供應(yīng)鏈惡意活動(dòng)影響。(注：參見本文第4節(jié)(使用中的零信任示例))

NSA強(qiáng)烈建議國家安全系統(tǒng)(NSS)內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國防部(DoD)的關(guān)鍵網(wǎng)絡(luò)、國防工業(yè)基礎(chǔ)(DIB)關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型。(注：NSA負(fù)責(zé)保護(hù)國家安全系統(tǒng)(NSS)，即敏感程度較高的網(wǎng)絡(luò)和系統(tǒng)，如涉密信息系統(tǒng)。所以，這條建議對于高敏感網(wǎng)絡(luò)在應(yīng)用零信任理念方面，具有很強(qiáng)的權(quán)威性。)

NSA指出，網(wǎng)絡(luò)及其運(yùn)營生態(tài)系統(tǒng)的大多數(shù)方面都應(yīng)實(shí)施零信任原則，以使其充分有效。

為了應(yīng)對實(shí)施零信任解決方案的潛在挑戰(zhàn)，NSA正在制定并將在未來幾個(gè)月發(fā)布額外的指南。

二、NSA與DISA

美國軍方在網(wǎng)絡(luò)空間作戰(zhàn)領(lǐng)域占據(jù)主導(dǎo)地位，四只主要力量是：美國國家安全局(NSA)、國防信息系統(tǒng)局(DISA)、美國網(wǎng)絡(luò)司令部(USCYBERCOM)、聯(lián)合部隊(duì)總部國防部信息網(wǎng)絡(luò)部(JFHQ-DODIN)。這四個(gè)機(jī)構(gòu)之間具有雙帽關(guān)系：

圖1：美國國防部內(nèi)四大網(wǎng)絡(luò)空間作戰(zhàn)機(jī)構(gòu)之間的“雙帽”關(guān)系

該圖顯示了四個(gè)機(jī)構(gòu)之間的雙帽體制：國家安全局(NSA)局長與美國網(wǎng)絡(luò)司令部司令官是同一人(現(xiàn)為Paul M. Nakasone);國防信息系統(tǒng)局(DISA)局長與JFHQ-DODIN司令官也是同一個(gè)人(現(xiàn)為Nancy Norton)。兩人的相片如下：

[[384674]]

圖2：NSA(左)/DISA(右)“雌雄雙煞”

NSA的工作側(cè)重于涉密側(cè)和進(jìn)攻側(cè)，敏感程度較高，所以不像DISA那么開放。NSA曾在2018年11月發(fā)布了《NSA/CSS技術(shù)網(wǎng)絡(luò)威脅框架v2》(NSA/CSS Technical Cyber Threat Framework v2)。

三、NSA指南目錄

1. 執(zhí)行摘要

2. 已經(jīng)落伍的方法

3. 日益復(fù)雜的威脅

4. 什么是零信任

5. 采取零信任思維

(1) 擁抱零信任指導(dǎo)原則

(2) 利用零信任設(shè)計(jì)理念

(3) 使用中的零信任示例

泄露的用戶憑據(jù)
遠(yuǎn)程利用或內(nèi)部威脅
供應(yīng)鏈?zhǔn)軗p

(4) 零信任成熟度

6. 零信任道路上的潛在挑戰(zhàn)

7. 小心地最小化嵌入的信任可以實(shí)現(xiàn)更安全的任務(wù)

(1) 進(jìn)一步的指南

(2) 引用的工作

(3) 背書免責(zé)聲明

(4) 目的

(5) 聯(lián)系方式

簡單評述：

筆者在對NSA零信任指南快速瀏覽后，覺得沒必要粘貼全文譯文。因?yàn)镹SA指南中關(guān)于零信任的理念、思路、原則、挑戰(zhàn)等，與NIST零信任架構(gòu)指南是一致的，只是換了些說法，無需贅述。

這篇NSA零信任指南的譯文不到6千字;而NIST零信任架構(gòu)指南(SP 800-207)則超過了3萬7千字。若為更好地理解零信任架構(gòu)，直接參考NIST零信任架構(gòu)指南(SP 800-207)的譯文即可。

下面主要介紹其中的第5.3節(jié)(使用中的零信任示例)和5.4節(jié)(零信任成熟度)的內(nèi)容。

四、使用中的零信任示例

1. 泄露的用戶憑據(jù)

示例場景：在本示例中，惡意網(wǎng)絡(luò)行為體將竊取合法用戶的憑據(jù)并嘗試訪問組織資源。在這種情況下，惡意行為體試圖使用未經(jīng)授權(quán)的設(shè)備，要么通過遠(yuǎn)程訪問，要么利用已加入組織無線局域網(wǎng)的惡意設(shè)備。

在傳統(tǒng)網(wǎng)絡(luò)中，僅用戶的憑據(jù)就足以授予訪問權(quán)限。

在零信任環(huán)境中，由于設(shè)備是未知的，因此設(shè)備無法通過身份驗(yàn)證和授權(quán)檢查，因此被拒絕訪問并記錄下惡意活動(dòng)。此外，零信任要求對用戶和設(shè)備身份進(jìn)行強(qiáng)身份驗(yàn)證。

建議在零信任環(huán)境中使用強(qiáng)多因素用戶身份驗(yàn)證，這會使竊取用戶的憑據(jù)變得更加困難。

2. 遠(yuǎn)程利用或內(nèi)部威脅

示例場景：在本示例中，惡意網(wǎng)絡(luò)行為體通過基于互聯(lián)網(wǎng)的移動(dòng)代碼漏洞利用，來入侵用戶的設(shè)備;或者，行為體是具有惡意意圖的內(nèi)部授權(quán)用戶。

在一個(gè)典型的非零信任場景中，行為體使用用戶的憑據(jù)，枚舉網(wǎng)絡(luò)，提升權(quán)限，并在網(wǎng)絡(luò)中橫向移動(dòng)，以破壞大量的數(shù)據(jù)存儲，并最終實(shí)現(xiàn)持久化。

在一個(gè)零信任網(wǎng)絡(luò)中，失陷的用戶的證書和設(shè)備被默認(rèn)為是惡意的，除非被證明清白;并且網(wǎng)絡(luò)是分段的，從而限制了枚舉和橫向移動(dòng)的機(jī)會。盡管惡意行為體可以同時(shí)作為用戶和設(shè)備進(jìn)行身份驗(yàn)證，但對數(shù)據(jù)的訪問將受到基于安全策略、用戶角色、用戶和設(shè)備屬性的限制。

在成熟的零信任環(huán)境中，數(shù)據(jù)加密和數(shù)字權(quán)限管理可以通過限制可以訪問的數(shù)據(jù)和可以對敏感數(shù)據(jù)采取的操作類型，來提供額外的保護(hù)。此外，分析能力可以持續(xù)監(jiān)視帳戶、設(shè)備、網(wǎng)絡(luò)活動(dòng)和數(shù)據(jù)訪問中的異?；顒?dòng)。盡管在這種情況下仍可能出現(xiàn)一定程度的失陷，但損害程度卻是有限的，而且防御系統(tǒng)用來檢測和啟動(dòng)緩解響應(yīng)措施的時(shí)間將大大縮短。

上述文字描述，可對照下圖理解：

圖3：零信任遠(yuǎn)程利用場景的示例

3. 供應(yīng)鏈?zhǔn)軗p

示例場景：在此示例中，惡意行為體在流行的企業(yè)網(wǎng)絡(luò)設(shè)備或應(yīng)用程序中嵌入惡意代碼。而設(shè)備或應(yīng)用程序也已按照最佳實(shí)踐要求，在組織網(wǎng)絡(luò)上進(jìn)行維護(hù)和定期更新。

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，這個(gè)設(shè)備或應(yīng)用程序是內(nèi)部的，并且是完全可信的。這種類型的失陷可能會特別嚴(yán)重，因?yàn)樗[含了太多的信任。

在零信任架構(gòu)的成熟實(shí)現(xiàn)中，由于設(shè)備或應(yīng)用程序本身默認(rèn)不可信，因此獲得了真正的防御效果。設(shè)備或應(yīng)用程序的權(quán)限和對數(shù)據(jù)的訪問，將受到嚴(yán)格的控制、最小化和監(jiān)控;分段(包括宏觀和微觀粒度)將依據(jù)策略來強(qiáng)制執(zhí)行;分析將用于監(jiān)控異?；顒?dòng)。此外，盡管設(shè)備可能能夠下載已簽名的應(yīng)用程序更新(惡意或非惡意)，但設(shè)備在零信任設(shè)計(jì)下允許的網(wǎng)絡(luò)連接將采用默認(rèn)拒絕安全策略，因此任何連接到其他遠(yuǎn)程地址以進(jìn)行命令和控制(C&C)的嘗試都可能被阻止。此外，網(wǎng)絡(luò)監(jiān)視可以檢測并阻止來自設(shè)備或應(yīng)用程序的惡意橫向移動(dòng)。

五、零信任成熟度

NSA指南也再次強(qiáng)調(diào)，零信任的實(shí)施需要時(shí)間和精力：不可能一蹴而就。

NSA指南進(jìn)一步指出：一次性過渡到成熟的零信任架構(gòu)是沒有必要的。將零信任功能作為戰(zhàn)略計(jì)劃的一部分逐步整合，可以降低每一步的風(fēng)險(xiǎn)。隨著“零信任”實(shí)現(xiàn)的逐步成熟，增強(qiáng)的可見性和自動(dòng)化響應(yīng)，將使防御者能夠跟上威脅的步伐。

NSA建議：將零信任工作規(guī)劃為一個(gè)不斷成熟的路線圖，從初始準(zhǔn)備階段到基本、中級、高級階段，隨著時(shí)間的推移，網(wǎng)絡(luò)安全保護(hù)、響應(yīng)、運(yùn)營將得到改進(jìn)。如下圖所示：

圖4：逐步成熟的零信任實(shí)現(xiàn)

六、下一步期待

NSA指南中提到，NSA正在協(xié)助國防部客戶試驗(yàn)零信任系統(tǒng)，協(xié)調(diào)與現(xiàn)有國家安全系統(tǒng)(NSS)和國防部計(jì)劃的活動(dòng)，并制定附加的零信任指南，以支持系統(tǒng)開發(fā)人員克服在NSS(國家安全系統(tǒng))、DoD(國防部)、DIB(國防工業(yè)基礎(chǔ))環(huán)境中集成零信任的挑戰(zhàn)。即將發(fā)布的附加指南將有助于組織、指導(dǎo)、簡化將零信任原則和設(shè)計(jì)納入企業(yè)網(wǎng)絡(luò)的過程。

另外，大家也許還記得，DISA(國防信息系統(tǒng)局)局長曾宣稱在2020日歷年年底前發(fā)布初始零信任參考架構(gòu)，然后將花幾個(gè)月時(shí)間征求行業(yè)和政府的意見建議，然后再發(fā)布完整的文件。故從時(shí)間上估計(jì)，目前應(yīng)該處于征求行業(yè)和政府意見的過程中。

不論是NSA下一步的實(shí)施指南，還是DISA正在征求意見的參考架構(gòu)，筆者都認(rèn)為：