今日頭條
官方微信
官方抖音
資訊頻道實施建議
基于現(xiàn)有國防部(DoD)的網(wǎng)絡(luò)脆弱性和未來的網(wǎng)絡(luò)需求,國防創(chuàng)新委員會(DIB)建議國防部開始朝著非機密互聯(lián)網(wǎng)協(xié)議路由器網(wǎng)絡(luò)(NIPRNET)和機密互聯(lián)網(wǎng)協(xié)議路由器網(wǎng)絡(luò)(SIPRNET)的零信任安全架構(gòu)模型邁進。雖然零信任的實施將是一個跨不同國防部網(wǎng)絡(luò)的迭代過程,但國防部的所有零信任工作都應(yīng)努力實現(xiàn)以下網(wǎng)絡(luò)生態(tài)系統(tǒng)最終狀態(tài):
繼續(xù)在網(wǎng)絡(luò)周邊使用邊界安全措施,但承認可能會發(fā)生網(wǎng)絡(luò)失陷。
在“最低權(quán)限訪問模型”下運行,默認情況下網(wǎng)絡(luò)用戶無法訪問網(wǎng)絡(luò)中的任何應(yīng)用程序或服務(wù)。即使未經(jīng)授權(quán)的用戶闖入網(wǎng)絡(luò),該用戶也不能訪問任何敏感數(shù)據(jù)或服務(wù)。
根據(jù)用戶的角色,在(角色)粒度級別授予訪問權(quán)限(屬性包括但不限于組織、項目和許可級別)。這些屬性應(yīng)跨國防部網(wǎng)絡(luò)進行共享,以實現(xiàn)高效、有針對性的訪問管理。
始終利用多因素認證(MFA)驗證網(wǎng)絡(luò)邊界和每個網(wǎng)絡(luò)資源的身份和訪問。
監(jiān)控接入國防部網(wǎng)絡(luò)的任何設(shè)備的健康狀況,以阻止失陷設(shè)備的訪問,并推動設(shè)備配置最佳實踐。
為了實現(xiàn)這些長期目標,DIB已制定了近期的實施建議。ZTA要求從DevSecOps到任務(wù)系統(tǒng)軟件管理的網(wǎng)絡(luò)安全的整體視角,但在本文中,DIB的重點是國防部的認證、授權(quán)和加密方法。
這些建議的目的是作為一個共同的基準,供組織之間同步他們的零信任工作,并避免每個組織開發(fā)多個彼此不兼容的安全架構(gòu)的風險。這些建議是對“國防部數(shù)字現(xiàn)代化戰(zhàn)略”的補充,在該戰(zhàn)略中,國防部首席信息官制定了一個路線圖,通過云、人工智能、指揮、控制和通信以及網(wǎng)絡(luò)安全等方面支持國防戰(zhàn)略的實施。
特別是,這些建議可用于支持數(shù)字現(xiàn)代化戰(zhàn)略的第三個目標,即“使網(wǎng)絡(luò)安全朝著靈活和彈性的防御態(tài)勢發(fā)展”。此外,這些建議與國防部2018年網(wǎng)絡(luò)戰(zhàn)略相一致,該戰(zhàn)略側(cè)重于私營部門的伙伴關(guān)系和網(wǎng)絡(luò)彈性。
DIB先前在一份名為“通往零信任(安全)之路”的白皮書中描述了零信任架構(gòu)(ZTA)。該白皮書旨在供國防部內(nèi)外的技術(shù)和非技術(shù)網(wǎng)絡(luò)安全干系人使用,以提供對ZTA原則和術(shù)語的共同理解,以下建議旨在使決策者與國防部的技術(shù)領(lǐng)導協(xié)同工作。
DIB的白皮書列出了ZTA在網(wǎng)絡(luò)中的應(yīng)用和服務(wù)級別的三個重點領(lǐng)域:
1.用戶身份認證
2.設(shè)備身份認證
3.“最低權(quán)限訪問”授權(quán)
對于用戶身份認證,國防部人員目前使用通用訪問卡(CAC),通過硬件支持的MFA,在邊界處獲得NIPRnet的訪問權(quán)限。通過從通用數(shù)據(jù)庫(國防注冊資格報告系統(tǒng),Defense Enrollment Eligibility Reporting System,簡稱DEERS)中提取數(shù)據(jù),CAC在整個國防部網(wǎng)絡(luò)中得到識別。
該數(shù)據(jù)庫包括基本的相關(guān)屬性,例如人員類別(例如,聯(lián)系人、現(xiàn)役人員、文職人員等)和高層級組織(例如,驅(qū)逐艦研發(fā)(OUSD R&E)、驅(qū)逐艦A&S(OUSD A&S)、陸軍中隊等)。
SIPRNet同樣依賴于使用SIPR令牌的硬件支持的MFA;與CAC一樣,SIPR令牌在SIPRNet的邊界處,使用基本屬性(如用戶名和高層級組織)授予訪問權(quán)限。NIPRNet和SIPRNet都依賴域控制器來處理身份認證請求,但是很少有域控制器被聯(lián)合到一個可以為域森林提供身份認證的公共系統(tǒng)中。
零信任用戶身份認證系統(tǒng)可以利用任意數(shù)量的身份識別/標識機制,無論是CAC、SIPR令牌還是其他。不論機制如何,這些屬性最終都應(yīng)該在國防部網(wǎng)絡(luò)中共享,以便在更精細的層次上創(chuàng)建用戶身份和相關(guān)屬性的通用圖片。
對于設(shè)備認證,國防部必須確保使用標準化的健康合規(guī)要求,在國防部網(wǎng)絡(luò)生態(tài)系統(tǒng)中對接入NIPRNet的設(shè)備進行一致的掃描和監(jiān)測。如果沒有這些措施,將很難在整個網(wǎng)絡(luò)上運行健康檢查,也將為惡意行為體提供訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的機會。
這也會為零信任的實施制造屏障,因為它要求對尋求訪問的設(shè)備進行映射,以便在這些設(shè)備上運行健康檢查。由于與網(wǎng)絡(luò)連接的設(shè)備數(shù)量較少,SIPRNet目前比NIPRNet具有更好的網(wǎng)絡(luò)設(shè)備感知,但SIPRNet和NIPRNet都應(yīng)繼續(xù)努力在國防部網(wǎng)絡(luò)生態(tài)系統(tǒng)中實現(xiàn)一致的設(shè)備管理標準。
國防部授權(quán),目前僅在本地網(wǎng)絡(luò)級別運行,沒有與一個聯(lián)合授權(quán)源同步。同時,數(shù)據(jù)和資源沒有以允許更精確授權(quán)的粒度級別進行標記,因此,某些網(wǎng)絡(luò)和網(wǎng)絡(luò)飛地的訪問固有地包括了混雜的權(quán)限。
這一挑戰(zhàn)并非國防部獨有:一些大公司擁有類似的本地管理授權(quán)結(jié)構(gòu),但通過應(yīng)用商業(yè)軟件解決方案,將每個本地網(wǎng)絡(luò)的屬性輸入“翻譯”成一種公認的語言,成功地同步了每個本地網(wǎng)絡(luò)中的信息。類似地,擁有大量網(wǎng)絡(luò)資源的商業(yè)公司(如Google)實現(xiàn)更細粒度的數(shù)據(jù)標記,以實現(xiàn)更精確的授權(quán)。
這三個重點領(lǐng)域都應(yīng)該積極尋求,隨著時間的推移,增加分配給用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序的屬性的粒度。此詳細信息將允許在網(wǎng)絡(luò)資源中進行更有針對性和目的性的數(shù)據(jù)傳輸、管理和使用,允許創(chuàng)建上下文檢查以確保用戶、設(shè)備、數(shù)據(jù)和應(yīng)用程序被正確的相互映射。
每一步都有獨特的實施挑戰(zhàn)。以下建議為零信任領(lǐng)導和在整個國防部應(yīng)用零信任原則提供了指導,使用了有針對性但可擴展的方法。
1)零信任:同步工作
建議1.1:國防部部長辦公室應(yīng)優(yōu)先考慮零信任安全架構(gòu),并支持國防部實施零信任。
國防部安全架構(gòu)的現(xiàn)狀是不可持續(xù)的。正在進行的安全演習已顯示出明顯的漏洞,這些漏洞只會隨著網(wǎng)絡(luò)攻擊面的擴大而繼續(xù)增長。然而,如果國防部不能及時做出反應(yīng),它就有陷入自身惰性的風險。
國防部部長辦公室可以通過明確和一致地將零信任實施列為最高優(yōu)先事項,同時明確分配實施和管理責任,在整個國防部內(nèi)迅速采取行動。
建議1.2:國防部部長辦公室應(yīng)在國防部內(nèi)指定零信任網(wǎng)絡(luò)管理(“零信任管理者”)的具體職責。
如果沒有一個單獨的實體,協(xié)調(diào)各種正在進行的零信任工作,國防部將可能繼續(xù)在松散地遵守零信任原則但不同步且無法利用通用訪問規(guī)則的口袋中運作。
零信任管理者還應(yīng)制定并闡明國防部網(wǎng)絡(luò)安全戰(zhàn)略,以包括零信任原則。基于這一戰(zhàn)略,國防部可以識別并獲得符合該戰(zhàn)略的商業(yè)產(chǎn)品,而不是在沒有更廣泛架構(gòu)視野的情況下拼湊商業(yè)產(chǎn)品。這將使國防部能夠通過創(chuàng)建一個安全產(chǎn)品獲取和實施框架,最大限度地降低成本,并提高網(wǎng)絡(luò)安全的有效性。
為了支持網(wǎng)絡(luò)安全戰(zhàn)略,國防部應(yīng)制定一份記分卡,其中包含可以比較國防部內(nèi)(各網(wǎng)絡(luò))相對網(wǎng)絡(luò)安全性的指標。這些指標可以包括以下項目:運行防病毒軟件的網(wǎng)絡(luò)設(shè)備的百分比、使用MFA的資源的百分比、持久管理帳戶和服務(wù)帳戶的數(shù)量等。
建議1.3:在擴展到其他網(wǎng)絡(luò)資源之前,先從關(guān)鍵網(wǎng)絡(luò)資源開始,在這些接入點建立零信任原則。
無需采取“全部或全無”的方式來實現(xiàn)零信任。采取分階段的方式,可以鼓勵更多的組織開始實施零信任,但這些組織最終需要零信任管理者的支持和協(xié)調(diào),以幫助他們確定零信任的優(yōu)先級,快速地實施零信任,并與國防部其他零信任工作保持一致。
關(guān)鍵資源可以被封鎖,通過使用代理來過濾用戶和設(shè)備訪問,而將遺留系統(tǒng)逐漸變成零信任遵從性。
建議1.4:100%加密在設(shè)備之間傳輸?shù)臄?shù)據(jù)(“傳輸數(shù)據(jù)”)或在大容量存儲器中存儲的數(shù)據(jù)(“靜止數(shù)據(jù)”),并促進利用現(xiàn)有標準(例如,CNSSP 15)進行的跨國防部的互操作加密。
數(shù)據(jù)加密將需要組織范圍內(nèi)的穩(wěn)健和安全的加密密鑰管理策略。
加密是零信任安全的一個關(guān)鍵組件,因為它假定網(wǎng)絡(luò)本身不可信任,網(wǎng)絡(luò)上的任何數(shù)據(jù)都必須相應(yīng)地受到保護。今后,國防部還應(yīng)考慮與過程/處理中數(shù)據(jù)相關(guān)的風險,并鼓勵對該階段的數(shù)據(jù)管理進行加密,此外還應(yīng)考慮傳輸或靜止的數(shù)據(jù)。
2)用戶認證
建議2.1:使用基于CAC和SIPR令牌的方法,探索和測試更細粒度的用戶屬性(例如,工作組合和項目)的使用。
本地網(wǎng)絡(luò)可以開發(fā)細粒度屬性,但這些屬性最終必須同步并更新到國防部范圍的管理系統(tǒng)。
零信任管理者必須一致地為每個參與組織,實施屬性更新和同步標準,以確保屬性管理系統(tǒng)跨不同網(wǎng)絡(luò)為每個用戶維護最新的屬性集。
對更細粒度屬性的訪問可以是有時間限制的,這取決于用戶對該資源或數(shù)據(jù)的參與所需的時間長度,系統(tǒng)管理員應(yīng)能夠在分配的時間內(nèi)的任何時候,根據(jù)需要快速切斷訪問。
但僅當授權(quán)訪問的組織流程是及時的,時間限制才是有效的。如果用戶的訪問被阻止,并且重新應(yīng)用和重新獲得訪問的時間被禁止,用戶就不會被激勵去構(gòu)建能夠提供更高訪問保真度的粒度屬性。
用戶認證應(yīng)該是“白癡校對”,以允許不可避免的人為錯誤(例如,不需要長而復雜的密碼,因為人類將不可避免地寫下來,留在一目了然的地方)。從長遠來看,國防部應(yīng)該考慮像生物認證這樣的解決方案來降低這種風險。
建議2.2:通過將責任交給聯(lián)合身份供應(yīng)商/管理者,減輕單個本地網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的認證負擔。
國防部的活動目錄(AD)當前沒有聯(lián)合到森林中,而聯(lián)合有助于跨網(wǎng)絡(luò)同步身份認證。此功能可由第三方身份管理供應(yīng)商進行管理(對于此類管理者,商業(yè)部門有多種選擇)。
由于網(wǎng)絡(luò)飛地之間缺乏信任,AD聯(lián)合有時會遇到猶豫(既在國防部,又在商業(yè)部門)。有些人認為聯(lián)合是一個漏洞,因為網(wǎng)絡(luò)訪問經(jīng)常伴隨著對某些網(wǎng)絡(luò)資源的自動訪問,這種考慮導致每個組織都不愿意與不需要直接訪問其網(wǎng)絡(luò)的新用戶和設(shè)備連接。一旦單個飛地采取更主動的步驟來構(gòu)建細粒度的身份屬性并強制設(shè)備合規(guī)性,則AD聯(lián)合可能會更容易接受。網(wǎng)絡(luò)訪問不應(yīng)與網(wǎng)絡(luò)內(nèi)的任何自動資源訪問相關(guān)聯(lián),這將降低感知到的聯(lián)合風險。
建議2.3:將常設(shè)管理職權(quán)改為臨時的、依賴任務(wù)的管理職權(quán)。
任何用戶都不應(yīng)被授予“超級用戶”的廣泛、持續(xù)訪問權(quán)限。用戶應(yīng)在必要時接收選擇性訪問,然后在用戶完成其管理任務(wù)后將其刪除。
建議2.4:投資于“分類作為屬性”的研發(fā)和探路者,其中用戶許可級別可被用作一種檢查以授予對網(wǎng)絡(luò)資源內(nèi)特定數(shù)據(jù)的訪問權(quán)限。
國防部應(yīng)探索將NIPRNet和SIPRNet融合到同一網(wǎng)絡(luò)上的可能性,依靠零信任原則來保護訪問,并將用戶許可級別作為訪問的核心屬性。NIPRNet和SIPRNet均應(yīng)采用SIPRNet的邊界安全措施,以保持更高的邊界安全水平,作為進入的初始屏障。
建議2.5:在國防部各組織之間制定一項共同戰(zhàn)略,將非國防部用戶(如國防承包商、盟國和沒有CAC的合作伙伴)整合到網(wǎng)絡(luò)生態(tài)系統(tǒng)中,將零信任原則作為用戶和設(shè)備的基線。
國防部已經(jīng)在研究和尋求更好地將非國防部用戶集成到國防部網(wǎng)絡(luò)中的方案,同時保持零信任安全標準(如國防部企業(yè)DevSecOps計劃)。國防部應(yīng)繼續(xù)尋找在整個國防工業(yè)基地被一致應(yīng)用的CAC替代方案,依靠零信任最佳實踐(例如,MFA,可根據(jù)需要快速刪除訪問的有時間限制的訪問)。
國防部還應(yīng)繼續(xù)研究更好地將沒有美國公民身份的盟國和伙伴納入作戰(zhàn)行動的方法,可以根據(jù)需要提供狹窄的、有針對性的網(wǎng)絡(luò)訪問。
3)設(shè)備認證
建議3.1:一致地掃描NIPRNet和SIPRNet,以發(fā)現(xiàn)連接到每個網(wǎng)絡(luò)的所有設(shè)備。
國防部的零信任架構(gòu)需要一個全面的設(shè)備清單,跟蹤連接到NIPRNet和SIPRNet的所有設(shè)備,類似于DEERS數(shù)據(jù)庫跟蹤所有國防部用戶的方式。
設(shè)備掃描/管理過程可以(也應(yīng)該)跨網(wǎng)絡(luò)分階段進行,而非試圖一次性地在整個國防部實施。組織應(yīng)識別其網(wǎng)絡(luò)上的高價值資產(chǎn),并專注于掃描/管理連接到這些資產(chǎn)的設(shè)備。
掃描和監(jiān)控連接到網(wǎng)絡(luò)的設(shè)備,以識別不健康/不合規(guī)的設(shè)備,然后切斷其訪問或完全移除設(shè)備。
建議3.2:確保一致和健壯的跨網(wǎng)絡(luò)和網(wǎng)絡(luò)飛地的設(shè)備使用日志記錄,以檢測特定設(shè)備上的用戶行為模式,并標記行為中的異常以供管理員監(jiān)控。
網(wǎng)絡(luò)流量和網(wǎng)絡(luò)上用戶/設(shè)備行為的日志和監(jiān)控,應(yīng)在國防部范圍內(nèi)標準化。這將提供對網(wǎng)絡(luò)映射的更好理解,并使識別可能指示對網(wǎng)絡(luò)資源的未經(jīng)許可訪問的異常行為變得更加容易。
建議3.3:以SIPRNet為基礎(chǔ),構(gòu)建“以便攜為中心”的設(shè)備管理(專注于移動電話、筆記本電腦等)。應(yīng)要求便攜式網(wǎng)絡(luò)設(shè)備滿足健康和配置合規(guī)性要求,這些標準最終也應(yīng)適用于非便攜式設(shè)備。
目前與SIPRNet網(wǎng)絡(luò)相關(guān)的便攜式設(shè)備數(shù)量有限。這提供了一個“空白板”,以對添加到網(wǎng)絡(luò)中的任何新便攜式設(shè)備強制要求合規(guī)性,同時也鼓勵整個網(wǎng)絡(luò)減少對作為安全源頭的封閉物理位置的依賴。作為這項工作的一部分,所有的便攜式設(shè)備都應(yīng)該被要求對靜止和傳輸中的數(shù)據(jù)進行加密。
國防部最終應(yīng)更廣泛地應(yīng)用該“便攜性”模型,以便所有設(shè)備(如臺式機)具有相同的合規(guī)性要求,無論是否便攜。
建議3.4:確保國防部在其整個網(wǎng)絡(luò)中定期和一致地進行設(shè)備健康檢查,利用現(xiàn)有的商業(yè)解決方案來監(jiān)控設(shè)備的合規(guī)性,并在未符合合規(guī)性的情況下驅(qū)動設(shè)備重新配置。
各種各樣的商業(yè)解決方案可以解決這個挑戰(zhàn),例如殺毒軟件。國防部應(yīng)該能夠以最小化改動來應(yīng)用商業(yè)解決方案。
商業(yè)解決方案將有助于識別不健康/不合規(guī)的設(shè)備。這些設(shè)備要么在合規(guī)之前被切斷,要么被完全移除。這種“遵從連接”(C2C,Comply to Connect)的方法已經(jīng)在國防部范圍進行了探索,但需要強制實施,以提供網(wǎng)絡(luò)安全的基線。
除了在接收到訪問請求時檢查設(shè)備健康狀況外,網(wǎng)絡(luò)還應(yīng)定期運行設(shè)備健康檢查,以維持安全基線。檢查的速度越快越好。
4)“最小權(quán)限訪問”授權(quán)
建議4.1:部署現(xiàn)有的商業(yè)解決方案,以將本地網(wǎng)絡(luò)屬性輸入轉(zhuǎn)換為單一聯(lián)合授權(quán)源。
建議4.2:在國防部網(wǎng)絡(luò)中以更精細的級別標記數(shù)據(jù)和資源,以便對請求訪問的用戶和設(shè)備進行更精確的授權(quán),從而限制雜亂的權(quán)限。
國防數(shù)字服務(wù)(DDS,Defense Digital Service)目前正在設(shè)計零信任“包裝器”( wrappers),可以放置在網(wǎng)絡(luò)資源周圍,以更有針對性的方式運行身份認證和授權(quán)。零信任管理者應(yīng)與DDS協(xié)調(diào),以驗證這一概念,并考慮在國防部范圍廣泛部署的實施步驟。
建議4.3:將用戶和設(shè)備的位置與授權(quán)解耦。連接點不應(yīng)驅(qū)動訪問(例如,五角大樓的連接不應(yīng)提供超出基本互聯(lián)網(wǎng)連接以外的任何自動訪問)。
相反,除了對設(shè)備配置合規(guī)性和加密標準進行基本檢查外,訪問應(yīng)在很大程度上取決于用戶和設(shè)備的身份屬性。
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號