“我们在西海岸与一家供应商会面-我不能说是谁-看到他们如何在自己的基础架构中端到端实施它。他们从用户身份,端点身份到应用程序全面地研究(网络安全性)。他们的所作所为给我留下了深刻的印象。” DISA的史蒂夫·华莱士(Steve Wallace)说。
巴里·罗森伯格2020年1月20日
美国国防部长马克·埃斯珀(Mark Esper)在2019年9月19日在马里兰州国家港口举行的CISA第二届年度全国网络安全峰会上与网络安全和基础设施安全局局长Christopher Krebs进行交谈
美国国防部国防信息系统局(DISA)是一家迅速接受最新行业流行语的机构,但以前对于采用最近最流行的网络安全术语之一“零信任”(Zero Trust)持谨慎态度。现在,DISA有一个公开的“零信任”计划,这是美国网络司令部(Cyber Command)的一项小型试点计划,最早可以追溯到去年夏天。
DISA新成立的新兴技术局局长华莱士(Steve Wallace )最初并不认可“零信任”理念。在上周举行的AFCEA DC午餐会上,华莱士表示自己曾是零信任的“怀疑论者”,开玩笑说要购买“零信任的盒子”,并嘲笑销售零信任的公司,错误地暗示这是一种产品。只需购买并安装在客户的网络上,即可立即获得零信任。
在AFCEA DC小组会议之后,华莱士告诉Breaking Defense为什么他改变了主意。 “由于它的流行语性质,我开始对此表示怀疑。当您与供应商交谈时(他们说),如果您实施(零信任),那您就很好了。”他说,并指出“零信任”是一套设计原则,而不是可以插入的东西。
华莱士说,看到零信任的运作理念后,他开始认可零信任理念。
“我们在西海岸与一家供应商会面-我不能说谁-看到他们如何在自己的基础架构中端到端实施它。他们从用户身份,端点身份到应用程序全面地研究(网络安全性)。他们的所作所为给我留下了深刻的印象。
“这让我开始思考,好吧,一切都只是一个属性。传统上,我们担心CAC(通用访问卡);用户是有效用户(例如)吗?但是我们不会查看会话的其他属性,无论是用户,网络,一天中的时间,还是机器是否受信任。我们认为这些是属性。该应用程序具有其自己的属性集。零信任成为基于属性的访问决策。多年来,我们一直在谈论ABAC(基于属性的访问控制),通常是围绕用户。但是,在我看来,零信任关系到整个堆栈的属性。
“因此,这就是我们正在关注的重点。用户访问给定数据集的途径中所有事物的属性是什么,我们如何做出适当的决定?
华莱士说,美国国防部已经在其“ Comply to Connect”程序中使用了其中一些概念,该程序在允许笔记本电脑和移动设备连接到网络之前先对其进行验证。
零信任是一种方法,而不仅仅是工具或产品。它打包了一组现有技术和流程,例如多因素身份验证,身份和访问管理以及数据分析,以提供深度防御,以阻止即使攻击者突破了网络。
它基于一个简单的概念进行操作:不要相信任何在您的网络内部运行的人,并使他们一次又一次地验证其身份。零信任是指用于隔离和管理网络的下一代防火墙(有时称为微边界或微分段)的体系结构。每个人(无一例外)都需要在访问IP地址,服务器,数据和计算机的每一步中提供多种身份验证方法。
美国国防创新委员会在 2019年7月发表的题为《零信任之路(安全)》的报告中说:“零信任架构(ZTA)能够从根本上改变跨国防部网络的安全性和数据共享的有效性 。” “从安全角度来看,ZTA可以更好地跟踪和阻止外部攻击者,同时限制内部人为错误导致的安全漏洞。从数据共享的角度来看,ZTA可以更好地管理跨DoD的用户和设备的访问规则,以促进从企业中心到战术边缘的安全共享。
“此外,(零信任)的网络设计和灵活性将帮助美国国防部更快地采用和实施从云计算到人工智能和机器学习的关键网络技术和支持。”
零信任既针对已经突破网络的外部攻击者,又针对恶意内部人员,旨在防止他们在寻找敏感数据时横向穿越网络。
例如,爱德华·斯诺登(Edward Snowden)拥有合法证书,可以在美国国家安全局(National Security Agency)网络中担任分包商。但是,没有办法知道他正在下载有关NSA监视程序的最高机密材料,因为没有另外的微边界可以阻止未经适当身份验证的下载。
零信任假设会通过称为“最小特权”的原则来发现或阻止其活动,该原则为用户提供了访问其工作所需的数据,应用程序和服务所需的最小网络特权。
零信任的起源
在任何网络安全会议的展位中漫步,您会看到多家供应商将零信任作为最新的网络安全手段。但这已经至少存在了十年。该概念由Forrester Research分析师于2010年首次提出。
为了更好地理解零信任,以及为什么两种最常见的网络安全架构无法正常工作,必须具备一定的背景知识。
第一种体系结构是基本的城堡式护城河结构,其中定义的边界受防火墙保护。但是,一旦进入外围,用户和恶意行为者便可以不受限制地在应用程序和数据服务器之间移动。
第二种结构指示了当今不断扩展的环境-用于解决云计算和移动设备的端点保护。但是,就像城堡和护城河一样,一旦端点遭到破坏,任何人都可以在网络内漫游。
每种体系结构的主要安全缺陷是外围保护建立在信任之上。如果您具有正确的密码和凭据,则可以访问网络,无论您是合法用户还是对手。
但是,现实情况是,有大量公司和政府机构已成为网络钓鱼攻击的牺牲品,在这些网络钓鱼攻击中,员工无意间泄露了合法凭据。其中许多导致特权升级,攻击者通过低级员工的帐户获得网络访问权限,然后操纵其方式来获得更高的特权和敏感数据,从而导致漏洞泄露,对运营和国家安全产生巨大影响。研究表明,这种间谍活动可以在公司发现违规行为之前持续进行六个月或更长时间。
从事主要防御工作的第三方供应商尤其令人担忧,因为它们通常不具备先进的网络安全功能来阻止黑客进入,从而为窃取与主要武器系统有关的数据打开了大门。
国防创新委员会表示:“这种对网络外围用户和设备的盲目信任方法是不可持续的,在解决之前,它将继续使国家安全信息和运营面临风险。”成立以向国防部长提供独立建议。“或者,零信任不提供默认信任。相反,它需要了解用户和机器,确定端点及其安全状态以及围绕网络访问策略的治理,从而消除了人为错误。
国防部“零信任”理念
“零信任”已经在五角大楼备受关注,但是在2019年7月,将其方法学的实现只是一个具体目标,当时它被纳入了国防部72页的国防部数字现代化战略中。
这很可能是由于DoD在联合企业防御基础架构(JEDI)计划下采用了云计算。尽管各种军事组织都站起了自己的专用云,但价值100亿美元的JEDI合同(由微软赢得,但遭到Amazon Web Services抗议)是第一个尝试安装DoD范围的云计算架构的合同。
现代化战略指出:“云部署是实施零信任概念的绝佳候选者,尤其是在使用商业云时”。“如果云基础架构本身遭到破坏,那么符合零信任关系的架构将为那些试图在我们的虚拟网络中立足的对手提供保护。
“尽管商业云为扩展能力和控制成本提供了绝佳的机会,但由于我们无法控制基础架构,而且可能存在沟通妥协的延迟,因此它们带来了风险。零信任使您受到损害的假设特别适合于云基础架构。”
尽管国防部没有为实施“零信任”规定任何时间表,但它确实承认时间表具有不确定的性质,因为整个国防部都有大量孤立的网络。与任何可能削弱个人在组织中的权力的管理活动一样(在这种情况下,这可能是某些网络特权的潜在丧失),还必须解决文化方面的问题。
国防创新委员会表示:“向(零信任)的任何转变都可能必须是渐进的,首先是针对应用程序和服务的标准身份检查集,这些检查可以逐步集成到跨国防部的身份验证和授权的通用机制中。” “作为这项工作的一部分,国防部将需要改善其数字管理并跟踪整个组织中的用户角色(以及这些角色的更改),以便为特定应用程序和服务建立访问控制。
“尽管其中一些工作需要重新配置安全体系结构,但还需要在整个国防部中改变安全文化,以促进角色和其他身份特征的准确一致的记录保持。”
閱讀更多 明日情報 的文章
