20212月25日,美国国家安全局(NSA)发布《拥抱零信任安全模型》指南(Embracing a Zero Trust Security Model)。
NSA它是美国情报产业的支柱,是美国国家安全系统的技术权威,是美国 *** 总部的摇篮。由于它是不可预测的,人们对它的理解主要来自斯诺登的曝光。本指南的发布可视为NSA对零信任的明确表态。
在美军 *** 空间安全领域,笔者认为DISA(国防信息系统局)和NSA是“雌雄双煞”:DISA主内,NSA主外;DISA管防御,NSA管进攻;DISA管非涉密安全,NSA保密安全。他们都有独特的双帽系统。
既然NSA零信任指南已经发布,DISA早就宣布要发布零信任参考架构,所以美国国防部对零信任的支持立场几乎没有悬念。
接下来,我们将继续等待DISA的零信任参考架构和NSA附加零信任实施指南。
拥抱零信任安全模型的原始下载地址:下载原始文本
一、NSA指南概要
NSA为促进 *** 安全指南《拥抱零信任安全模型》的制定NSA *** 安全任务,即识别和传播国家安全系统(NSS)、国防部(DoD)和国防工业基础(DIB)威胁信息系统,制定和发布 *** 安全规范和缓解措施。
本指南展示了如何遵循零信任安全的原则,以更好地指导 *** 安全专业人员保护企业 *** 和敏感数据。NSA客户对零信任有了基本的了解。本指南讨论了其优势和潜在挑战,并提出了在其 *** 中实现零信任的建议。
零信任模型消除了对任何元素、节点和服务的信任,假设失败是不可避免的或已经发生的。以数据为中心的安全模型在不断控制访问的同时寻找异常或恶意活动。
采用零信任思想和零信任原则,系统管理员可以控制用户、过程和设备如何处理数据。这些原则可以防止用户凭证的滥用、远程利用或内部威胁,减轻供应链恶意活动的影响。(注:见本文第4节(使用中的零信任示例)
NSA强烈建议国家安全系统(NSS)国防部(DoD)关键 *** ,国防工业基础(DIB)关键 *** 和系统考虑零信任安全模型。NSA负责保护国家安全系统(NSS),即敏感程度较高的 *** 和系统,如涉密信息系统。所以,这条建议对于高敏感 *** 在应用零信任理念方面,具有很强的权威性。)
NSA指出, *** 及其生态系统运行的大部分方面应实行零信任原则,使其充分有效。
为应对实施零信任解决方案的潜在挑战,NSA在未来几个月制定并发布额外指南。
二、NSA与DISA
美军在 *** 空间作战领域占据主导地位,四大力量是:美国国家安全局(NSA)、国防信息系统局(DISA)、美国 *** 司令部(USCYBERCOM)、联合部队总部国防部信息 *** 部(JFHQ-DODIN)。这四个机构之间有双帽关系:
图1:美国国防部四大 *** 空间作战机构之间“双帽”关系
该图显示了四个机构之间的双帽系统:国家安全局(NSA)导演和美国 *** 指挥部指挥官是一样的(现在是Paul M. Nakasone);国防信息系统局(DISA)局长与JFHQ-DODIN司令官也是同一个人(现在是Nancy Norton)。两人的照片如下:
图2:NSA(左)/DISA(右)“雌雄双煞”
NSA工作侧重于涉密侧和进攻侧,敏感度高,不像DISA那么开放。NSA2018年11月发布《NSA/CSS技术 *** 威胁框架v2》(NSA/CSS Technical Cyber Threat Framework v2)。
三、NSA指南目录
1. 执行摘要
2. 过时的 ***
3. 威胁越来越复杂
4. 什么是零信任
5. 采用零信任思维
(1) 拥抱零信任指导原则
(2) 零信任设计理念
(3) 使用中的零信任示例
- 用户凭证泄露
- 远程利用或内部威胁
- 供应链受损
(4) 零信任的成熟度
6. 零信任道路上的潜在挑战
7. 最小化嵌入式信任可以实现更安全的任务
(1) 进一步指南
(2) 引用的工作
(3) 背书免责声明
(4) 目的
(5) 联系方式
简单评述:
笔者在对NSA快速浏览零信任指南后,我觉得没有必要粘贴全文译文。NSA指南中关于零信任的概念、思想、原则、挑战等NIST零信任架构指南是一致的,但有些说法不需要重复。
这篇NSA零信任指南的译文不到6000字;NIST零信任架构指南(SP 800-207)超过3.7万字。直接参考零信任架构,以便更好地理解零信任架构NIST零信任架构指南(SP 800-207)可以翻译。
下面主要介绍之一个5.3节(使用中的零信任示例)和5.4节(零信任成熟度)内容。
四、使用中的零信任示例
1. 用户凭证泄露
示例场景:在本示例中,恶意 *** 行为人将窃取合法用户的证据,并尝试访问组织资源。在这种情况下,恶意行为人试图使用未经授权的设备,要么远程访问,要么使用已加入组织无线局域网的恶意设备。
在传统 *** 中,仅用户的凭证就足以授予访问权限。
在零信任环境中,由于设备未知,设备无法通过身份验证和授权检查,因此被拒绝访问并记录恶意活动。此外,零信任需要强身份验证用户和设备的身份。
建议在零信任环境中使用强多因素的用户身份验证,这将使窃取用户凭证更加困难。
2. 远程利用或内部威胁
示例场景:在本示例中,恶意 *** 行为体利用基于互联网的移动代码漏洞入侵用户设备;或者,行为体是具有恶意图的内部授权用户。
在典型的非零信任场景中,行为人使用用户的凭证,列举 *** ,增强权限,并在 *** 中横向移动,破坏大量数据存储,最终实现持久性。
在零信任 *** 中,除非被证明是无辜的,否则失去用户的证书和设备被默认为恶意; *** 被分割,限制了枚举和横向移动的机会。虽然恶意行为可以同时作为用户和设备进行身份验证,但数据访问将受到基于安全策略、用户角色、用户和设备属性的限制。
在成熟的零信任环境中,数据加密和数字权限管理可以通过限制可访问的数据和敏感数据的操作类型来提供额外的保护。此外,分析能力可以继续监控账户、设备、 *** 活动和数据访问中的异常活动。虽然在这种情况下仍可能出现一定程度的损失,但损失有限,防御系统检测和启动缓解措施的时间将大大缩短。
对比下图可以理解以上文字描述:
图3:零信任远程利用场景的示例
3. 供应链损坏
示例场景:在此示例中,恶意行为体在流行的企业 *** 设备或应用程序中嵌入恶意代码。设备或应用程序也按照更佳实际要求定期维护和更新。
在传统的 *** 架构中,该设备或应用程序是内部和完全可信的。这种类型的失败可能特别严重,因为它含有太多的信任。
在零信任架构的成熟实现中,由于设备或应用程序本身的默认不可信度,它取得了真正的防御效果。严格控制、最小化和监控设备或应用程序的权限和数据访问;分段(包括宏观和微粒度)将按策略执行;分析将用于监控异常活动。此外,虽然设备可以下载签名应用程序更新(恶意或非恶意),但在零信任设计下允许的 *** 连接将采用默认拒绝安全策略,因此任何连接到其他远程地址进行命令和控制(C&C)所有的尝试都可能被阻止。此外, *** 监控还可以检测和阻止来自设备或应用程序的恶意横向移动。
五、零信任成熟度
NSA指南也再次强调,零信任的实施需要时间和精力:不可能一蹴而就。
NSA指南进一步指出,没有必要一次性过渡到成熟的零信任架构。逐步整合零信任功能作为战略计划的一部分,可以降低每一步的风险。“零信任”逐渐成熟,增强可见性和自动响应,使防御者能够跟上威胁。
NSA建议:将零信任工作计划成一个不断成熟的路线图。随着时间的推移, *** 安全保护、响应和运行将得到改进,从初始准备阶段到基本、中、高级阶段。如下图所示:
图4:逐渐成熟的零信任实现
六、下一步期待
NSA指南中提到,NSA协助国防部客户测试零信任系统,协调现有国家安全系统(NSS)为了支持系统开发人员克服与国防部计划的活动,制定额外的零信任指南NSS(国家安全系统),DoD(国防部),DIB集成零信任的挑战(国防工业基础)环境。即将到来的附加指南将有助于组织、指导和简化零信任原则和设计进入企业 *** 的过程。
另外,你可能还记得,DISA(国防信息系统局)局长曾声称,他将在2020年底前发布最初的零信任参考架构,然后花几个月的时间征求行业和 *** 的意见和建议,然后发布完整的文件。因此,从时间上看,应该在征求行业和 *** 意见的过程中。
不论是NSA下一步的实施指南,还是DISA作者认为,正在征求意见的参考结构:
- 从零信任的架构层面看:与NIST与零信任架构相比,可能没有太大变化。
- 从零信任的实施层面来看,会有更具体的建设思路、落地指导、应用示例,结合美军 *** 的实际情况。
所以,让我们继续期待吧。