美国国防部零信任的支柱

在2020年9月16日举行的“TechNet网络研讨会”上,DISA(国防信息系统局)新成立的新兴技术局局长Stephen Wallace,以《零信任和身份:DISA如何继续保护网络空间中的战士》为题,介绍了国防部零信任工作进展。笔者经过不懈努力,近日终于观看到Wallace的演讲视频,特在本文进行总结分享。
Wallace站在国防部的视角,结合国防部网络架构的三次演进,总结了国防部零信任的七大支柱,强调了身份的奠基作用,提及了零信任与微分段和SDP的联系。
Wallace曾讲述过自己从零信任的怀疑者变成信徒的转化过程。并强调,“零信任思想具有很大的包容性。”
笔者非常赞同:零信任遵循了安全演进规律,承上启下、继往开来。零信任的包容性蕴含了它的生命力。
下一步预计,国防部零信任初始参考架构将在2020年日历年末发布,之后DISA将征求业界和政府的意见和建议,然后在几个月后发布完整的文档。让我们耐心等待。
目 录

  1. DISA会议背景
  2. 零信任的七个支柱
  3. 零信任与身份:将网络边界变为身份边界
  4. 零信任与微分段:将粗略边界变为精细边界
  5. 零信任与SDP:将硬件边界变为软件边界
  6. 国防部网络架构演进
    1)2010年前:以边界为中心的封闭网络
    2)2010年代:引入云,边界不太明确
    3)2020年代:云优先,端点无处不在
  7. 从零信任的怀疑者变成信徒
  8. 零信任没有银弹

01
DISA会议背景

1)前因
零信任早已在美国国防部受到关注。但零信任方法的实施,直到2019年7月才成为一个具体目标被纳入《国防部数字现代化战略》。
在过去的几个月中,国防信息系统局(DISA)一直在与国家安全局、国防部首席信息官、其他机构合作,以最终确定零信任初始参考架构。在2020年7月15日的“陆军虚拟2020信号会议”上,DISA局长、美国海军中将、联合部队总部国防信息网络司令部司令Nancy Norton表示:“零信任架构将确保每个想要使用国防部网络的人都能被识别,每个试图接入的设备都被认证。”(参见《美军网络安全 | 2020年底国防部将提供零信任架构》)
2)后果
在2020年9月16日举行的“TechNet网络研讨会”上,DISA新成立的新兴技术局(Emerging Technology Directorate)局长Steve Wallace,以《零信任和身份:DISA如何继续保护网络空间中的战士》(Zero Trust and Identity: How DISA Continues to Protect the Warfighter in Cyberspace)为题,介绍了DISA零信任方面的最新工作进展。
Wallace表示,向零信任架构的过渡,将为国防部作战人员带来更多安全性、灵活性、更高效的设备使用、更快的数据访问。
Wallace预计,国防部零信任初始参考架构将在2020年日历年末发布,然后DISA将征求业界和政府的意见和建议,然后在几个月后发布完整的文档。
3)资料找得好辛苦
由于疫情原因,本次会议以远程在线会议的方式举办。会议主角是国防信息系统局(DISA)。在所有会议议题中,Wallace的议题与DISA零信任工作密切相关。
该会议于9月16日召开。笔者找了Wallace演示PPT很久,但一直没有找到,几乎放弃。
念念不忘,必有回响。近日,笔者终于找到线索,并成功注册会议账号,完整观看了本场在线会议的视频内容。如下图会议截屏所示:

图1-远程视频会议截图(Wallace演讲)
4)演讲核心内容
笔者发现,在本场视频会议中,Wallace演讲PPT中的核心内容只有5页(即本文中的图2、图4-7)。毕竟是互联网在线会议的方式,而且涉及美国国防部的关键进展。Wallace在视频中一再提到,有些内容不能说更多。
但毫无疑问,该次会议是目前最能反映美国国防部零信任思路的信息来源。而且也验证了笔者之前对国防部零信任思路的种种判断。

02
零信任的七个支柱

Wallace说:“零信任思想具有很大的包容性。” 零信任实际上包含了下图中的七大支柱,即数据、用户、设备、网络、工作负载、可见性与分析、自动化与编排。

图2-国防部零信任实施的七个支柱
解读1:国防部零信任的七大支柱也可以被称为:零信任数据、零信任用户、零信任设备、零信任网络、零信任应用和工作负载、可见性与分析、自动化与编排。过去,大家经常认为零信任主要强调两个方面:一是身份安全,比如“身份是零信任的基石”;二是零信任网络,比如Evan Gilman的书《零信任网络》、Gartner提到的ZTNA(零信任网络访问)、SDP(软件定义边界)。而七大支柱表明:零信任不只是某个安全领域,而是几乎涉及整个安全领域。
解读2:刚看到上图时,笔者会心一笑——这不正是ACT(美国技术委员会)和Forrester的零信任支柱嘛!分别如下两图所示:

图3-ACT(美国技术委员会)《零信任网络安全当前趋势》中的零信任支柱

图3-Forrester“零信任扩展(ZTX)生态系统”中的零信任支柱
解读3:应该承认,七大零信任支柱的提法,源自Forrester的“零信任扩展(ZTX)生态系统”。我们知道,“零信任”概念是由Forrester首席分析师John Kindervag多年前提出的;而这个“零信任扩展(ZTX)生态系统”则是其继任者(也是现任)Forrester首席分析师Chase Cunningham提出的。Forrester将零信任概念扩大为生态系统,无疑是为了将零信任做大做强。而Gartner将零信任限定为“ZTNA(零信任网络访问)”,并将零信任仅仅视作CARTA(持续自适应风险与信任评估)路线图的初始步骤(Zero Trust Is an Initial Step on the Roadmap to CARTA),则肯定是往小里说了。这其中滋味,请自行体会。
解读4:通过上面的分析,笔者想说:Forrester才是零信任的真正权威。而美国国防部沿用七个支柱的零信任表述方式(即图2),无疑也是对此论断的再一次佐证。

03
零信任与身份

没错,Wallace在展示了国防部零信任的七大支柱后,第一件事就是强调身份的奠基作用,展示了国防部几十年来身份现代化的进程:

图4-国防部身份现代化
Wallace还说,“我们将在明年推出一些功能,这些功能将帮助我们实现更强的身份认证,基于云的身份认证,比我们现有的或过去所做的更具可扩展性。” “这些新的身份能力,对于零信任的未来有多重要?他们绝对是关键。”
解读1:在NIST零信任架构标准中,明确列出了当前实现零信任的三大技术路线:1)增强型IAM(身份与访问管理);2)微分段;3)SDP(软件定义边界)。这三种技术路线既可以单独实现零信任方案,也可以配合起来实现更加全面的零信任架构。
解读2:云IAM是国防部零信任的绝对关键。

04
零信任与微分段

Wallace提到,“零信任以一个简单的概念运行:不要相信任何在您的网络内部运行的人,并使他们一次又一次地验证其身份。零信任意味着用于分段和管理网络的下一代防火墙架构,有时称为微分段(micro-segmentation)和微边界(micro-perimeters)。每个人(无一例外)都必须在访问IP地址、服务器、数据和计算机的每个步骤中,提供多种身份认证方法。………零信任既针对已经突破网络的外部攻击者,又针对恶意内部人员,旨在阻止他们在网络内横向移动以寻找敏感数据。………例如,斯诺登(Edward Snowden)拥有合法凭证,在国家安全局(NSA)网络中担任分包商。但是,我们没有办法知道他正在下载有关NSA监视计划的最高绝密材料,因为没有另外的微边界可以阻止未经适当身份验证的下载。”
解读:微分段作为零信任的三大技术路线之一,对东西向流量的防护功不可没。

05
零信任与SDP(软件定义边界)

Wallace说,“DISA还正在研究SDP(软件定义边界)配置,旨在为战士提供更高的安全性和灵活性,从本质上使用户更快、更直接地获取数据。” “与过去使用的传统分段和边界保护不同,我们需要朝着软件驱动逻辑模型发展,在这种模型中,我们实际上是在实时铺设用户可以遍历的本地或虚拟基础设施”,他解释说。“我认为,SDP(软件定义边界)方面正在非常迅速地整合,尤其是当我们希望利用越来越多的云服务时。DISA参与了许多原型设计,对此我们感到非常兴奋。”
解读:SDP作为零信任的三大技术路线之一,在大尺度网云融合环境中发挥至关重要的作用。

06
国防部网络架构演进

Wallace给我们展示的最后三张图都在这里了,它们集中反映了国防部网络架构和网络安全架构的演变过程。

解读:这里的三个阶段的划分,与笔者之前关于美国国防部网络安全架构演进三阶段划分的推测(即单一安全架构->云安全架构->零信任架构)是一致的,总算是印证了笔者的推测。可参见《美军网络安全 | 2020年底国防部将提供零信任架构》之“三、理解国防部网络安全架构的演进过程”。这里就不详细解释了。

1)2010年前:以边界为中心的封闭网络

图5-2010年前:以边界为中心的封闭网络
2)2010年代:采用云技术,边界不太明确

图6-2010年代:采用云技术,边界不太明确
3)2020年代:云优先,用户/端点无处不在

图7-2020年代:云优先,用户/端点无处不在
解读:图中的SDP环,是对国防部计划实施零信任的最好注解。

07
从零信任的怀疑者变成信徒

国防信息系统局(DISA)虽然具有业界知名的“国防部速度”,但它并非以迅速接受新概念、新热词而闻名。实际上,DISA一直对采用“零信任”概念,持谨慎态度。
早期,DISA新兴技术局局长Wallace也是零信任的“怀疑论者”,他说“由于它典型的流行语特性,我一开始就非常怀疑。” 因为销售零信任的产品厂商,错误地暗示零信任是一种产品,可以购买并安装在客户网络上,从而立即获得零信任。但其实它不是。
但这种情况已经在改变。为什么改变主意?Wallace说,当他看到零信任真地运行起来,他立即成为零信任的信徒。Wallace说,“我们在西海岸与一家供应商会面,我不能说是谁,我看到他们如何在自己的基础架构中端到端地实施零信任。他们从用户身份、端点身份、应用程序,全面地研究了(零信任)。他们的所作所为,给我留下了非常深刻的印象。”
注:笔者非常想知道,Wallace会见的那家供应商究竟是谁?
Wallace接着说,“这件事让我开始认真思考:任何事都只是一个属性(attribute)。传统上,我们只是担心CAC(通用访问卡)和用户的真实性,但是我们不会查看会话的其他属性,比如用户、网络、时间、设备。我们将这些都视为属性。应用程序具有其自己的属性集。零信任成为基于属性的访问决策。多年来,我们一直在谈论ABAC(基于属性的访问控制),通常只是围绕用户本身。但是,在我看来,零信任关系到整个技术栈的属性。……因此,这就是我们正在关注的重点。用户访问给定数据集的途径中所有事物的属性是什么,我们如何对此做出正确的决策?
解读:零信任本质上是ABAC(基于属性的访问控制),但它又超越了ABAC。零信任超越ABAC之处在于:零信任将属性从用户维度推广到整个技术栈(包括用户、网络、设备、应用、数据等)。

08
零信任没有银弹

关于国防部的零信任实施计划,Wallace表示,“这不是一夜之间的旅程,这是一个多年的旅程。我们得花点时间才能到那里。” “零信任没有银弹,而且我们不希望有。” “我们将尽可能在所有地方采用零信任原则,但是要真正达到和谐零信任环境的愿景,需要解决互操作性问题,这将是一个挑战。互操作性绝对是关键。”
解读:零信任不是简单地“按动开关”(电灯亮了)或“扭开龙头”(水流出来)。银弹(silver bullet)是银质子弹,在西方传说中,是针对狼人等超自然怪物的特效武器。在汉语中,指灵丹妙药或终极大杀器。

 作者:柯善学 网络安全观 

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签: ,


关于作者

IT到底是重要呢还是重要呢还是重要呢

X