文│国家工业信息安全发展研究中心 侯亚文
传统网络架构将网络划分为内网与外网,并以边界防护为安全基础。随着云计算、大数据等新兴网络技术的发展应用,网络边界逐渐模糊,边界防护效果锐减,探索加强网络防御的新手段已迫在眉睫。零信任作为一种新的网络安全架构,已成为全面提升网络防御能力的重要手段。零信任(Zero Trust Architecture)基于“永不信任,始终验证”的原则,指导构建以“数据为中心”的安全防护架构,一旦部署成功,将极大提高网络防御能力与安全水平。2022 年 11 月 22 日,美国防部发布《零信任战略》(DoD Zero Trust Strategy),概述了 2027 财年前在国防部全面实施零信任架构的计划及推进路径,详细阐述了部署零信任架构的 4 项综合战略目标、45 项关键能力,以及 3 个行动方案。该战略的发布,使国防部各组成机构对零信任概念、关键技术能力与推进路径有了更深层次的认识,有助于加速“零信任文化”在国防部内的落地生根,助推零信任架构及相关信息技术不断迭代发展、转化应用。
一、零信任概念、关键技术与能力
零信任并非一种独立的产品或单一设备,而是一套不断发展的网络安全范式,将静态的、基于网络边界的传统防御方法转向关注用户、资产和资源方面。零信任架构并非完全摒弃现有安全技术另起炉灶,而是依然使用很多传统的网络安全技术,例如身份认证、访问控制等。零信任只是将认证与控制的范围从广泛的网络边界转移到单个或小组资源。
零信任概念建立在五个基本假定之上。一是网络无时无刻不处于危险环境中;二是网络自始至终存在外部或内部威胁;三是网络位置不足以决定网络可信程度;四是所有的设备、用户和网络流量都应当经过认证和授权;五是网络安全策略必须是动态的,并应基于尽可能多的数据源计算得来。2010年,美国研究机构弗雷斯特(Forrester)的首席分析师约翰·金德维格(John Kindervag)正式提出零信任术语。经过美国政府与各军种多年研究,零信任概念及其关键要素逐渐成形。2019 年,美国国防信息系统局(DISA)在《零信任参考架构》(Zero Trust Reference Architecture)草案中对零信任做出描述,零信任将基于网络边界的静态防御转向用户、资产和资源,其核心思想是“持续验证,永不信任”,默认网络内外的任何用户、系统、设备均不可信,并在最低访问权限策略下持续开展身份认证与授权。2020 年,美国国家技术标准研究院(NIST)发布的 SP800-207《零信任架构》(Zero Trust Architecture)标准对零信任架构定义做出描述:一种利用零信任理念的网络安全规划,包括概念、思路和组件关系的集合,旨在消除在信息系统和服务中实施精准访问策略的不确定性。该文件强调,零信任架构中的众多组件并不一定是新的技术或产品,而是按照零信任理念形成的一套面向用户、设备和应用程序的完整安全解决方案。
零信任以三大关键技术作为底层支撑。零信任架构的研发与部署必然经历复杂的技术迭代升级,涉及身份认证与访问管理(IAM)、微隔离(Micro Segmentation)和软件定义边界(Software Defined Perimeter)等关键技术。一是身份认证与访问管理,即对身份进行动态的认证与授权,实现全面身份认证,这是零信任架构的基石。身份认证与访问管理技术可用于解决身份唯一标识、身份属性、身份全生命周期管理等功能性问题。二是微隔离,即更细粒度地分割资源,隔离内外部系统主机,独立控制访问权限,有效防御违规访问横移。三是软件定义边界,可在“移动+云”的背景下构建虚拟边界,仅在通过设备和身份认证后才能访问资源,且“访问隧道”临时、单一,不会泄露资源位置。这三大技术作为零信任架构的重点组成部分,受到美国政府、国防部及各军种的高度重视,得以不断发展,赋能零信任架构的落地。
美国国防部 2022 年 11 月发布的《零信任战略》设定了国防部实现零信任必须具备的 45 项关键能力。具体看,用户层面包括最低权限访问、特权访问管理、基于生物识别的身份验证、持续身份验证等;设备层面包括终端/移动设备管理、设备合规检测、设备授权与实时检测、终端检测响应等;应用程序和工作负载层面包括持续监控/授权、软件风险管理、资源授权与集成等;数据层面包括数据加密与权限管理、数据标记、数据监测与传感等;网络和环境层面包括微隔离、软件定义网络、宏隔离等;可视化和分析层面包括自动动态管理策略、网络流量记录、安全信息与事件管理、威胁情报集成等;自动化和编排层面包括关键过程自动化、人工智能、应用程序编程接口标准化等。
一直以来,零信任受到美国政府和各军种的持续关注,使相关概念与关键技术得以不断精进发展,但是,直到 2019 年,零信任才作为一个具体发展目标被列入国防部的《数字现代化战略》(Digital Modernization Strategy),加之近年来美国遭到网络攻击的事件数量激增,使美国政府和各军种将“加速推动零信任落地”提上日程。
二、美国推进零信任研究与落地的举措
近年来,美国政府与私营机构频繁遭受严重网络攻击,例如 2020 年的“太阳风”事件和 2021 年的科洛尼尔输油管道被攻击事件等,不仅暴露出相关机构在网络防御、网络事件响应等多方面能力仍存在不足,也使美国政府意识到恶意网络活动带来的影响,由此愈发重视零信任对网络安全的赋能作用。美国政府认为,零信任是下一代网络安全架构的必然演进方向,现已将其列为国家层面的优先事项,发布一系列战略文件为零信任发展提供顶层指导,并通过增加预算投入,多措并举、多方协作,共同推进零信任架构的研究与落地。
(一)自上而下,系统发布顶层战略
在国家层面,美国国家安全局(NSA)于 2021 年 2 月发布《拥抱零信任安全模型》(Embracing a Zero Trust Security Model)指南,建议将零信任架构规划为“从准备阶段到基本、中级、高级”逐步成熟的过程。美国总统拜登于 2021 年 5 月签署了《加强国家网络安全的行政令》(Executive Order on Improving the Nation"s Cybersecurity),明确提出美国政府应推进零信任,实现网络安全现代化,并要求各机构要在该行政令签署之后的 60 天内制定实施零信任架构的计划及时间表。美国白宫于2022 年 1 月发布的《联邦零信任战略》(Federal Zero Trust Strategy)是全球首个国家层面的零信任战略。该战略要求美国政府能在未来两年内逐步采用零信任架构,满足必要网络安全标准,实现零信任防护体系,抵御现有威胁并增强整个政府层面的网络防御能力。
在国防部层面,2020 年 7 月,美国国防信息系统局局长南希·诺顿(Nancy Norton)在武装部队通信与电子协会主办的陆军虚拟 2020 信号会议(Army"s Virtual 2020 Signal Conference)上称,国防部将发布初始零信任架构,改善国防部的网络安全状况。该会议目的之一就是“将零信任从流行语变为现实”。之后,美国国防信息系统局于2021 年 5 月和 2022 年 7 月先后发布《国防部零信任参考架构》(Department of Defense Zero Trust Reference Architecture)第 1 版和第 2 版,提出将现有网络系统迁移至零信任的具体步骤。美国防部于 2022 年 11 月发布的《零信任战略》,阐述了部署零信任架构的四项综合战略目标:一是培养零信任文化,即在国防部内培养零信任思维和文化,指导美军对零信任生态系统中信息技术的设计、开发、集成和部署。二是防护国防部信息系统,即在国防部新旧信息系统中纳入零信任架构,增强信息系统弹性,实现防护能力整体升级。三是加速推动国防部零信任技术发展,即在国防部内以等同或超过行业进步水平的速度部署零信任技术,使技术水平在变化的威胁环境中保持领先。四是赋能国防部零信任工作,即国防部及其下属机构的工作流程、政策和资金安排应与零信任工作同步。
在军种层面,美国空军于 2022 年 8 月发布 2023-2028 财年《首席信息官公共战略》(Chief Information Officer Public Strategy),要求空军信息系统在未来 5 年内实现零信任架构部署。
(二)协同推进,成立多个责任机构
在 2020 年“太阳风”事件发生后,美国国土安全部(DHS)成立了零信任行动小组,推行零信任工作计划。
2021 年 8 月,美国国防部代理首席信息官约翰·舍曼(John Sherman)在联邦讨论(FedTalks)虚拟会议上透露,美国国防部正筹划成立零信任安全项目办公室,统筹、管理国防部与零信任架构相关的项目和工作。2022 年 1 月,美国国防部设立了由首席信息官领导的国防部零信任投资组合管理办公室(ZT PfMO),负责统筹国防部的零信任整体执行情况,协调资源分配的优先顺序,并通过多个行动方案加快零信任理念的落地。美国国防部各部门以各自的零信任执行进展为基础,整体遵循该办公室制定的零信任总体目标和进度计划。此外,美国国防信息系统局还成立了新兴技术局,该局将担负一部分零信任技术研发的相关工作。
为实现零信任总体战略目标,美国政府与美军谋划、成立多个责任机构推进零信任发展,协同执行相关工作计划,推动网络体系向全新安全架构迈进。美国陆军将由首席信息官办公室下属部门企业云管理办公室推动零信任落地实施。
(三)重点攻关,加速发展关键技术
美国国防部在 2022 财年共投资 6.15 亿美元用于发展零信任相关技术。目前,美国国防部正在研发一套新的身份认证与访问管理工具,并在 2022 财年投资 2.44 亿美元用于发展身份认证与访问管理相关技术,帮助国防信息网络实现对“任意时间、任意位置、任意人员”的最低权限管理控制。该技术的发展将是美国国防部信息系统向零信任架构迈进的重要举措之一。
美国白宫管理预算办公室(OMB)正开发一套用于零信任架构的系统,为访问者的可信度进行评分,判断对方是否有权访问网络或应用程序,新系统将在用户评分不高时发出提醒。
美国空军的《首席信息官公共战略》指出,将在 2023-2028 财年重点发展微隔离、软件定义边界等关键技术,支持空军各基地的信息体系逐步向零信任架构迈进,建立空军作战环境的多层次安全体系,加强其网络安全防御水平。
近年来,美国政府与美军持续增加预算投入,推进零信任架构与关键技术的研发,既有助于加速零信任理念的落地,也为美国抢占全球零信任新兴技术制高点奠定基础。
(四)循序渐进,落地实施原型系统
美国国防部一直以来使用联合区域安全栈(JRSS)作为标准化的网络中间层安全设备。美国国防部作战试验鉴定局(DOT&E)在 2020 财年《国防部作战试验鉴定年度报告》(Director Operational Test and Evaluation Annual Report)中指出,以零信任架构替代联合区域安全栈,承担起保护国防部网络中间层安全的重任。
在顶层战略持续指引和关键技术迭代发展的背景下,美国国防信息系统局于 2021 年 5 月发布关于零信任的落地项目“雷霆穹顶”(Thunderdome)的信息请求,又于 2021 年 7 月发布“雷霆穹顶”方案的白皮书请求(Request for White Paper DISAOTA-21-9-Thunderdome)。2022 年 1 月,美国国防信息系统局授予美国博思艾伦咨询公司(Booz Allen Hamilton)一份价值 680 万美元的合同,开展“雷霆穹顶”原型系统的开发、测试、运维等工作。此举标志美国零信任架构正式进入落地阶段;2022 年 8 月,双方再次延长 6 个月合同期,旨在将涉密互联网协议路由网络纳入该计划,进一步确保国防部信息系统安全性。“雷霆穹顶”原型系统的安全防护功能将符合美国政府的网络安全要求,并与《加强国家网络安全的行政令》和《数字现代化战略》的战略要求保持一致。
(五)广泛试点,摸索推广应用途径
近年来,美国国防部、各军种已经开展了多个零信任试点项目,并从这些项目中吸汲取经验教训,摸索零信任的推广应用途径。
为实现零信任战略目标,美国国防部制定了行动方案:一是制定零信任“五年工作计划”。国防部制定了为期五年的工作时间表,要求国防部各组成机构在 2023 财年前对遗留系统进行试点,在 2023 财年第四季度前统计所有网络流量,在 2023 年底前将零信任部署到生产系统中,在 2023 年 9 月 23 日前向首席信息官办公室提交零信任执行计划。二是依托商业云。美国国防部将依托行业承包商的专业能力开发适用于零信任架构的云环境。三是利用政府的私有云。美国国防部将政府的私有云视作实现零信任“高层级目标”的重要支撑环境。此外,美国国防部还以零信任为原则在其所有部门推广“合规连接”(Comply-to-Connect,C2C)框架并投入大量资金,将该框架视为采用零信任架构的构建模块。“合规连接”将通过设备识别、自动编排和持续监控提升网络安全。
美国陆军在 2020 年就开始与美国国防信息系统局推行零信任试验项目,组成试验团队并基于微软“Microsoft 365”系统的安全环境部署零信任架构,基于现用技术和设备实现零信任架构。美国空军网络司令部通过一系列零信任试点工程,为其后续大范围推广零信任架构奠定基础。目前,美国空军已经在佛罗里达州帕特里克太空部队基地的发射系统及加利福尼亚州比尔空军基地的基地运营系统中部署了零信任架构,把零信任作为提高信息战能力的核心技术,为服务全域作战提供支撑。美军运输司令部在其机密网络上实施零信任安全模型,提高其网络安全态势感知与检测能力。
三、美国部署零信任架构的影响
美国政府与美军推进零信任落地,除了极大提升网络安全整体水平外,还将影响网络空间的多个领域:将其防御重点从“保护网络”向“保护数据与资源”转变;降低美国政府与军方的运营风险、改变人员构成、缩减潜在成本;提高网络的合规性、可视化与自动化管理水平。
一是从“以网络为中心”转向“以数据为中心”的网络安全模式。零信任架构有望消除美国国防部传统的“以网络为中心”的安全模式,推动从“以网络为中心”向“以数据为中心”的安全模式转变,其防御重点也将从“保护网络”向“保护数据资源”转变。这种思路还将促进美国政府、美军的信息化建设模式的变化。美国传统的“聚焦网络”的信息化建设工作,将逐步转向“聚焦数据资源的使用与共享”。
二是显著提升美国政府与美军的网络安全水平。美国认为,向零信任架构的转变是一个重大变化,即“拒绝所有、允许例外”,而不是之前的“允许所有、拒绝例外”。传统的安全模式类似黑名单方式——允许绝大多数网络访问,仅拒绝少数例外情况;而零信任带来的安全模式类似白名单方式——拒绝大多数网络访问,仅允许少数例外情况,而少数“例外”情况是经过认证和授权的合法访问。随着美国政府、美军的用户和终端的数量不断增加,网络攻击面也随之增加,其网络安全防御面临极限挑战,因此,迫切需要采用零信任架构,通过为网络的特定应用程序和服务创建特定的访问规则,抵消美国国防信息网络的漏洞,提升网络安全水平。
三是降低政府与军方的运营风险、缩减潜在成本。一方面,部署零信任架构可帮助美国政府、美军降低运营风险,由于零信任架构设计大大增加了网络透明度,使运营风险能得到识别,美国政府、美军可采取相关管理手段进行有效管控;另一方面,零信任通过策略与控制排除了大量试图访问资源的用户、设备,使恶意行为受到限制,被攻击面减小,可大大降低网络安全事件数量,节省美国政府、美军响应安全事件的时间与人力,提高效率,缩减潜在运营成本。
四是提高网络合规性、可视化与自动化管理水平。零信任的动态防御思路与美国近年来新出台的重要安全法律、法规、标准中提及的动态防御理念不谋而合;零信任的身份认证与访问管理、软件定义边界等解决方案也与相关网络安全法令、指南高度吻合。零信任架构具备的多项安全控制措施均满足合规条款,能减少违规;零信任架构还能使安全审计师更容易看清网络,便于进行合规审计工作。此外,由于安全自动化是零信任基础设施的关键功能,因此,部署零信任架构也将增强美国政府及美军的网络自动化管理水平。
(本文刊登于《中国信息安全》杂志2022年第12期)