2021年2月25日,美國國家安全域性(NSA)釋出關於零信任安全模型的指南《擁抱零信任安全模型》(Embracing a Zero Trust Security Model)。
這次的指南釋出,可視為NSA對零信任的明確表態。而早在這之前,美國國防資訊系統局DISA就宣佈要釋出零信任參考架構,那麼,關於美國國防部對零信任的擁護立場,幾乎沒有什麼懸念了。
NSA指南概要NSA網路安全指南《擁抱零信任安全模型》的制定,是為了促進NSA的網路安全任務,即識別和傳播對國家安全系統(NSS)、國防部(DoD)和國防工業基礎(DIB)資訊系統的威脅,以及制定和釋出網路安全規範和緩解措施。
本指南展示了如何遵循零信任安全原則,以更好地指導網路安全專業人員保護企業網路和敏感資料。為了讓NSA的客戶對零信任有一個基本的瞭解,本指南討論了它的好處和潛在的挑戰,並提出了在他們的網路中實現零信任的建議。
零信任模型透過假設失陷是不可避免的或已經發生的,消除了對任何一個元素、節點、服務的信任。以資料為中心的安全模型,在持續控制訪問的同時,尋找異常或惡意的活動。
採用零信任思想和利用零信任原則,將使系統管理員能夠控制使用者、程序、裝置如何處理資料。這些原則可以防止濫用洩露的使用者憑證、遠端利用或內部威脅、緩解供應鏈惡意活動影響。
NSA強烈建議國家安全系統(NSS)內的所有關鍵網路、國防部(DoD)的關鍵網路、國防工業基礎(DIB)關鍵網路和系統考慮零信任安全模型。(注:NSA負責保護國家安全系統(NSS),即敏感程度較高的網路和系統,如涉密資訊系統。所以,這條建議對於高敏感網路在應用零信任理念方面,具有很強的權威性。)
NSA指出,網路及其運營生態系統的大多數方面都應實施零信任原則,以使其充分有效。
為了應對實施零信任解決方案的潛在挑戰,NSA正在制定並將在未來幾個月釋出額外的指南。
使用中的零信任示例1. 洩露的使用者憑據
在傳統網路中,僅使用者的憑據就足以授予訪問許可權。
在零信任環境中,由於裝置是未知的,因此裝置無法透過身份驗證和授權檢查,因此被拒絕訪問並記錄下惡意活動。此外,零信任要求對使用者和裝置身份進行強身份驗證。
建議在零信任環境中使用強多因素使用者身份驗證,這會使竊取使用者的憑據變得更加困難。
2. 遠端利用或內部威脅
示例場景:在本示例中,惡意網路行為體透過基於網際網路的移動程式碼漏洞利用,來入侵使用者的裝置;或者,行為體是具有惡意意圖的內部授權使用者。
在一個典型的非零信任場景中,行為體使用使用者的憑據,列舉網路,提升許可權,並在網路中橫向移動,以破壞大量的資料儲存,並最終實現持久化。
在一個零信任網路中,失陷的使用者的證書和裝置被預設為是惡意的,除非被證明清白;並且網路是分段的,從而限制了列舉和橫向移動的機會。儘管惡意行為體可以同時作為使用者和裝置進行身份驗證,但對資料的訪問將受到基於安全策略、使用者角色、使用者和裝置屬性的限制。
在成熟的零信任環境中,資料加密和數字許可權管理可以透過限制可以訪問的資料和可以對敏感資料採取的操作型別,來提供額外的保護。此外,分析能力可以持續監視帳戶、裝置、網路活動和資料訪問中的異常活動。儘管在這種情況下仍可能出現一定程度的失陷,但損害程度卻是有限的,而且防禦系統用來檢測和啟動緩解響應措施的時間將大大縮短。
上述文字描述,可對照下圖理解:
3. 供應鏈受損
在傳統的網路架構中,這個裝置或應用程式是內部的,並且是完全可信的。這種型別的失陷可能會特別嚴重,因為它隱含了太多的信任。
在零信任架構的成熟實現中,由於裝置或應用程式本身預設不可信,因此獲得了真正的防禦效果。裝置或應用程式的許可權和對資料的訪問,將受到嚴格的控制、最小化和監控;分段(包括宏觀和微觀粒度)將依據策略來強制執行;分析將用於監控異常活動。此外,儘管裝置可能能夠下載已簽名的應用程式更新(惡意或非惡意),但裝置在零信任設計下允許的網路連線將採用預設拒絕安全策略,因此任何連線到其他遠端地址以進行命令和控制(C&C)的嘗試都可能被阻止。此外,網路監視可以檢測並阻止來自裝置或應用程式的惡意橫向移動。
五、零信任成熟度
NSA指南也再次強調,零信任的實施需要時間和精力:不可能一蹴而就。
NSA指南進一步指出:一次性過渡到成熟的零信任架構是沒有必要的。將零信任功能作為戰略計劃的一部分逐步整合,可以降低每一步的風險。隨著“零信任”實現的逐步成熟,增強的可見性和自動化響應,將使防禦者能夠跟上威脅的步伐。
NSA建議:將零信任工作規劃為一個不斷成熟的路線圖,從初始準備階段到基本、中級、高階階段,隨著時間的推移,網路安全保護、響應、運營將得到改進。如下圖所示:
下一步期待NSA指南中提到,NSA正在協助國防部客戶試驗零信任系統,協調與現有國家安全系統(NSS)和國防部計劃的活動,並制定附加的零信任指南,以支援系統開發人員克服在NSS(國家安全系統)、DoD(國防部)、DIB(國防工業基礎)環境中整合零信任的挑戰。即將釋出的附加指南將有助於組織、指導、簡化將零信任原則和設計納入企業網路的過程。
另外,大家也許還記得,DISA(國防資訊系統局)局長曾宣稱在2020日曆年年底前釋出初始零信任參考架構,然後將花幾個月時間徵求行業和政府的意見建議,然後再發布完整的檔案。故從時間上估計,目前應該處於徵求行業和政府意見的過程中。
所以說,未來可期。