今日頭條
官方微信
官方抖音
資訊頻道實施建議
基于現有國防部(DoD)的網絡脆弱性和未來的網絡需求,國防創新委員會(DIB)建議國防部開始朝著非機密互聯網協議路由器網絡(NIPRNET)和機密互聯網協議路由器網絡(SIPRNET)的零信任安全架構模型邁進。雖然零信任的實施將是一個跨不同國防部網絡的迭代過程,但國防部的所有零信任工作都應努力實現以下網絡生態系統最終狀態:
繼續在網絡周邊使用邊界安全措施,但承認可能會發生網絡失陷。
在“最低權限訪問模型”下運行,默認情況下網絡用戶無法訪問網絡中的任何應用程序或服務。即使未經授權的用戶闖入網絡,該用戶也不能訪問任何敏感數據或服務。
根據用戶的角色,在(角色)粒度級別授予訪問權限(屬性包括但不限于組織、項目和許可級別)。這些屬性應跨國防部網絡進行共享,以實現高效、有針對性的訪問管理。
始終利用多因素認證(MFA)驗證網絡邊界和每個網絡資源的身份和訪問。
監控接入國防部網絡的任何設備的健康狀況,以阻止失陷設備的訪問,并推動設備配置最佳實踐。
為了實現這些長期目標,DIB已制定了近期的實施建議。ZTA要求從DevSecOps到任務系統軟件管理的網絡安全的整體視角,但在本文中,DIB的重點是國防部的認證、授權和加密方法。
這些建議的目的是作為一個共同的基準,供組織之間同步他們的零信任工作,并避免每個組織開發多個彼此不兼容的安全架構的風險。這些建議是對“國防部數字現代化戰略”的補充,在該戰略中,國防部首席信息官制定了一個路線圖,通過云、人工智能、指揮、控制和通信以及網絡安全等方面支持國防戰略的實施。
特別是,這些建議可用于支持數字現代化戰略的第三個目標,即“使網絡安全朝著靈活和彈性的防御態勢發展”。此外,這些建議與國防部2018年網絡戰略相一致,該戰略側重于私營部門的伙伴關系和網絡彈性。
DIB先前在一份名為“通往零信任(安全)之路”的白皮書中描述了零信任架構(ZTA)。該白皮書旨在供國防部內外的技術和非技術網絡安全干系人使用,以提供對ZTA原則和術語的共同理解,以下建議旨在使決策者與國防部的技術領導協同工作。
DIB的白皮書列出了ZTA在網絡中的應用和服務級別的三個重點領域:
1.用戶身份認證
2.設備身份認證
3.“最低權限訪問”授權
對于用戶身份認證,國防部人員目前使用通用訪問卡(CAC),通過硬件支持的MFA,在邊界處獲得NIPRnet的訪問權限。通過從通用數據庫(國防注冊資格報告系統,Defense Enrollment Eligibility Reporting System,簡稱DEERS)中提取數據,CAC在整個國防部網絡中得到識別。
該數據庫包括基本的相關屬性,例如人員類別(例如,聯系人、現役人員、文職人員等)和高層級組織(例如,驅逐艦研發(OUSD R&E)、驅逐艦A&S(OUSD A&S)、陸軍中隊等)。
SIPRNet同樣依賴于使用SIPR令牌的硬件支持的MFA;與CAC一樣,SIPR令牌在SIPRNet的邊界處,使用基本屬性(如用戶名和高層級組織)授予訪問權限。NIPRNet和SIPRNet都依賴域控制器來處理身份認證請求,但是很少有域控制器被聯合到一個可以為域森林提供身份認證的公共系統中。
零信任用戶身份認證系統可以利用任意數量的身份識別/標識機制,無論是CAC、SIPR令牌還是其他。不論機制如何,這些屬性最終都應該在國防部網絡中共享,以便在更精細的層次上創建用戶身份和相關屬性的通用圖片。
對于設備認證,國防部必須確保使用標準化的健康合規要求,在國防部網絡生態系統中對接入NIPRNet的設備進行一致的掃描和監測。如果沒有這些措施,將很難在整個網絡上運行健康檢查,也將為惡意行為體提供訪問網絡和網絡資源的機會。
這也會為零信任的實施制造屏障,因為它要求對尋求訪問的設備進行映射,以便在這些設備上運行健康檢查。由于與網絡連接的設備數量較少,SIPRNet目前比NIPRNet具有更好的網絡設備感知,但SIPRNet和NIPRNet都應繼續努力在國防部網絡生態系統中實現一致的設備管理標準。
國防部授權,目前僅在本地網絡級別運行,沒有與一個聯合授權源同步。同時,數據和資源沒有以允許更精確授權的粒度級別進行標記,因此,某些網絡和網絡飛地的訪問固有地包括了混雜的權限。
這一挑戰并非國防部獨有:一些大公司擁有類似的本地管理授權結構,但通過應用商業軟件解決方案,將每個本地網絡的屬性輸入“翻譯”成一種公認的語言,成功地同步了每個本地網絡中的信息。類似地,擁有大量網絡資源的商業公司(如Google)實現更細粒度的數據標記,以實現更精確的授權。
這三個重點領域都應該積極尋求,隨著時間的推移,增加分配給用戶、設備、數據和應用程序的屬性的粒度。此詳細信息將允許在網絡資源中進行更有針對性和目的性的數據傳輸、管理和使用,允許創建上下文檢查以確保用戶、設備、數據和應用程序被正確的相互映射。
每一步都有獨特的實施挑戰。以下建議為零信任領導和在整個國防部應用零信任原則提供了指導,使用了有針對性但可擴展的方法。
1)零信任:同步工作
建議1.1:國防部部長辦公室應優先考慮零信任安全架構,并支持國防部實施零信任。
國防部安全架構的現狀是不可持續的。正在進行的安全演習已顯示出明顯的漏洞,這些漏洞只會隨著網絡攻擊面的擴大而繼續增長。然而,如果國防部不能及時做出反應,它就有陷入自身惰性的風險。
國防部部長辦公室可以通過明確和一致地將零信任實施列為最高優先事項,同時明確分配實施和管理責任,在整個國防部內迅速采取行動。
建議1.2:國防部部長辦公室應在國防部內指定零信任網絡管理(“零信任管理者”)的具體職責。
如果沒有一個單獨的實體,協調各種正在進行的零信任工作,國防部將可能繼續在松散地遵守零信任原則但不同步且無法利用通用訪問規則的口袋中運作。
零信任管理者還應制定并闡明國防部網絡安全戰略,以包括零信任原則。基于這一戰略,國防部可以識別并獲得符合該戰略的商業產品,而不是在沒有更廣泛架構視野的情況下拼湊商業產品。這將使國防部能夠通過創建一個安全產品獲取和實施框架,最大限度地降低成本,并提高網絡安全的有效性。
為了支持網絡安全戰略,國防部應制定一份記分卡,其中包含可以比較國防部內(各網絡)相對網絡安全性的指標。這些指標可以包括以下項目:運行防病毒軟件的網絡設備的百分比、使用MFA的資源的百分比、持久管理帳戶和服務帳戶的數量等。
建議1.3:在擴展到其他網絡資源之前,先從關鍵網絡資源開始,在這些接入點建立零信任原則。
無需采取“全部或全無”的方式來實現零信任。采取分階段的方式,可以鼓勵更多的組織開始實施零信任,但這些組織最終需要零信任管理者的支持和協調,以幫助他們確定零信任的優先級,快速地實施零信任,并與國防部其他零信任工作保持一致。
關鍵資源可以被封鎖,通過使用代理來過濾用戶和設備訪問,而將遺留系統逐漸變成零信任遵從性。
建議1.4:100%加密在設備之間傳輸的數據(“傳輸數據”)或在大容量存儲器中存儲的數據(“靜止數據”),并促進利用現有標準(例如,CNSSP 15)進行的跨國防部的互操作加密。
數據加密將需要組織范圍內的穩健和安全的加密密鑰管理策略。
加密是零信任安全的一個關鍵組件,因為它假定網絡本身不可信任,網絡上的任何數據都必須相應地受到保護。今后,國防部還應考慮與過程/處理中數據相關的風險,并鼓勵對該階段的數據管理進行加密,此外還應考慮傳輸或靜止的數據。
2)用戶認證
建議2.1:使用基于CAC和SIPR令牌的方法,探索和測試更細粒度的用戶屬性(例如,工作組合和項目)的使用。
本地網絡可以開發細粒度屬性,但這些屬性最終必須同步并更新到國防部范圍的管理系統。
零信任管理者必須一致地為每個參與組織,實施屬性更新和同步標準,以確保屬性管理系統跨不同網絡為每個用戶維護最新的屬性集。
對更細粒度屬性的訪問可以是有時間限制的,這取決于用戶對該資源或數據的參與所需的時間長度,系統管理員應能夠在分配的時間內的任何時候,根據需要快速切斷訪問。
但僅當授權訪問的組織流程是及時的,時間限制才是有效的。如果用戶的訪問被阻止,并且重新應用和重新獲得訪問的時間被禁止,用戶就不會被激勵去構建能夠提供更高訪問保真度的粒度屬性。
用戶認證應該是“白癡校對”,以允許不可避免的人為錯誤(例如,不需要長而復雜的密碼,因為人類將不可避免地寫下來,留在一目了然的地方)。從長遠來看,國防部應該考慮像生物認證這樣的解決方案來降低這種風險。
建議2.2:通過將責任交給聯合身份供應商/管理者,減輕單個本地網絡和網絡資源的認證負擔。
國防部的活動目錄(AD)當前沒有聯合到森林中,而聯合有助于跨網絡同步身份認證。此功能可由第三方身份管理供應商進行管理(對于此類管理者,商業部門有多種選擇)。
由于網絡飛地之間缺乏信任,AD聯合有時會遇到猶豫(既在國防部,又在商業部門)。有些人認為聯合是一個漏洞,因為網絡訪問經常伴隨著對某些網絡資源的自動訪問,這種考慮導致每個組織都不愿意與不需要直接訪問其網絡的新用戶和設備連接。一旦單個飛地采取更主動的步驟來構建細粒度的身份屬性并強制設備合規性,則AD聯合可能會更容易接受。網絡訪問不應與網絡內的任何自動資源訪問相關聯,這將降低感知到的聯合風險。
建議2.3:將常設管理職權改為臨時的、依賴任務的管理職權。
任何用戶都不應被授予“超級用戶”的廣泛、持續訪問權限。用戶應在必要時接收選擇性訪問,然后在用戶完成其管理任務后將其刪除。
建議2.4:投資于“分類作為屬性”的研發和探路者,其中用戶許可級別可被用作一種檢查以授予對網絡資源內特定數據的訪問權限。
國防部應探索將NIPRNet和SIPRNet融合到同一網絡上的可能性,依靠零信任原則來保護訪問,并將用戶許可級別作為訪問的核心屬性。NIPRNet和SIPRNet均應采用SIPRNet的邊界安全措施,以保持更高的邊界安全水平,作為進入的初始屏障。
建議2.5:在國防部各組織之間制定一項共同戰略,將非國防部用戶(如國防承包商、盟國和沒有CAC的合作伙伴)整合到網絡生態系統中,將零信任原則作為用戶和設備的基線。
國防部已經在研究和尋求更好地將非國防部用戶集成到國防部網絡中的方案,同時保持零信任安全標準(如國防部企業DevSecOps計劃)。國防部應繼續尋找在整個國防工業基地被一致應用的CAC替代方案,依靠零信任最佳實踐(例如,MFA,可根據需要快速刪除訪問的有時間限制的訪問)。
國防部還應繼續研究更好地將沒有美國公民身份的盟國和伙伴納入作戰行動的方法,可以根據需要提供狹窄的、有針對性的網絡訪問。
3)設備認證
建議3.1:一致地掃描NIPRNet和SIPRNet,以發現連接到每個網絡的所有設備。
國防部的零信任架構需要一個全面的設備清單,跟蹤連接到NIPRNet和SIPRNet的所有設備,類似于DEERS數據庫跟蹤所有國防部用戶的方式。
設備掃描/管理過程可以(也應該)跨網絡分階段進行,而非試圖一次性地在整個國防部實施。組織應識別其網絡上的高價值資產,并專注于掃描/管理連接到這些資產的設備。
掃描和監控連接到網絡的設備,以識別不健康/不合規的設備,然后切斷其訪問或完全移除設備。
建議3.2:確保一致和健壯的跨網絡和網絡飛地的設備使用日志記錄,以檢測特定設備上的用戶行為模式,并標記行為中的異常以供管理員監控。
網絡流量和網絡上用戶/設備行為的日志和監控,應在國防部范圍內標準化。這將提供對網絡映射的更好理解,并使識別可能指示對網絡資源的未經許可訪問的異常行為變得更加容易。
建議3.3:以SIPRNet為基礎,構建“以便攜為中心”的設備管理(專注于移動電話、筆記本電腦等)。應要求便攜式網絡設備滿足健康和配置合規性要求,這些標準最終也應適用于非便攜式設備。
目前與SIPRNet網絡相關的便攜式設備數量有限。這提供了一個“空白板”,以對添加到網絡中的任何新便攜式設備強制要求合規性,同時也鼓勵整個網絡減少對作為安全源頭的封閉物理位置的依賴。作為這項工作的一部分,所有的便攜式設備都應該被要求對靜止和傳輸中的數據進行加密。
國防部最終應更廣泛地應用該“便攜性”模型,以便所有設備(如臺式機)具有相同的合規性要求,無論是否便攜。
建議3.4:確保國防部在其整個網絡中定期和一致地進行設備健康檢查,利用現有的商業解決方案來監控設備的合規性,并在未符合合規性的情況下驅動設備重新配置。
各種各樣的商業解決方案可以解決這個挑戰,例如殺毒軟件。國防部應該能夠以最小化改動來應用商業解決方案。
商業解決方案將有助于識別不健康/不合規的設備。這些設備要么在合規之前被切斷,要么被完全移除。這種“遵從連接”(C2C,Comply to Connect)的方法已經在國防部范圍進行了探索,但需要強制實施,以提供網絡安全的基線。
除了在接收到訪問請求時檢查設備健康狀況外,網絡還應定期運行設備健康檢查,以維持安全基線。檢查的速度越快越好。
4)“最小權限訪問”授權
建議4.1:部署現有的商業解決方案,以將本地網絡屬性輸入轉換為單一聯合授權源。
建議4.2:在國防部網絡中以更精細的級別標記數據和資源,以便對請求訪問的用戶和設備進行更精確的授權,從而限制雜亂的權限。
國防數字服務(DDS,Defense Digital Service)目前正在設計零信任“包裝器”( wrappers),可以放置在網絡資源周圍,以更有針對性的方式運行身份認證和授權。零信任管理者應與DDS協調,以驗證這一概念,并考慮在國防部范圍廣泛部署的實施步驟。
建議4.3:將用戶和設備的位置與授權解耦。連接點不應驅動訪問(例如,五角大樓的連接不應提供超出基本互聯網連接以外的任何自動訪問)。
相反,除了對設備配置合規性和加密標準進行基本檢查外,訪問應在很大程度上取決于用戶和設備的身份屬性。
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號