美军网络安全 | 2020年底国防部将提供零信任架构

 

文章目录

  • 前言
  • 一、国防部零信任架构推进计划
  • 二、零信任引领国防部安全架构的转型
  • 三、理解国防部网络安全架构的演进过程

 

一、国防部零信任架构推进计划

1.女性中将公布国防部零信任架构年底发布计划

2020年7月15日,美国海军中将、DISA局长、JFHD-DoDIN司令南希·诺顿(Nancy Norton),在由AFCEA(武装部队通讯与电子协会)主办的“陆军虚拟2020信号会议(Army’s virtual 2020 Signal Conference)上称,美国国防部将在日历年年底发布一个初始零信任架构,以改善整个国防部的网络安全。该会议的目的之一就是,将零信任从流行语变为现实。初始零信任架构预计将在2020日历年年底发布,然后DISA将花几个月时间征求行业和政府的意见建议,然后再发布完整的文件。

2.DISA与NSA合作开发国防部初始零信任参考架构

南希·诺顿领导的DISA(国防信息系统局)是整个国防部信息网络的IT支持机构,其职责可参见《美军网络安全 | 我们需要自己的DISA》。她说,当前DISA正在与国家安全局(NSA)、零信任团队、国防部首席信息官(DOD CIO)及其他机构合作,开发初始零信任参考架构,该架构从本质上确保每个想使用国防部信息网络(DODIN)的人都被识别出来,每个尝试连接的设备都经过身份验证。陆军和国防部的组成部门,将能够使用该参考架构,以指导他们在零信任架构的最佳实践方面取得进展。

零信任意味着组织不会默认信任任何用户和设备,必须以细粒度的方式,持续评估和授予信任。这正好使得国防机构可以创建策略,为从任意用户/设备,在任意时间、任意地点提供对信息资源的安全访问。

解读:零信任恰好提供了国防部联合信息环境“三个任意”目标的实现可能性。

3.初始零信任参考架构正在JITC实验室中构建和测试

她说,初始参考架构正在联合互操作性测试司令部( JITC , Joint Interoperability Test Command)实验室中进行构建和测试,并将用于“协调零信任所需的核心能力, 并指导我们的实验室测试”。

虽然在当前支持零信任参考架构开发的测试过程中,使用了代表当前国防部企业级网络能力的特定(供应商)产品,但最终目标是开发出一个不受供应商限制的解决方案。

国防部转向零信任架构演进的方式: 吸收整合

向零信任架构的演进,将是一个巨大的变化。零信任架构包括网络和其他基础设施、用户身份认证、授权和监控、可见性和分析、自动化和编排、最终用户设备活动、应用程序和工作负载以及数据租户等,是信息技术的自然演变。需要复杂的分析软件、身份和认证系统以及相关政策。

但是国防部承担不起淘汰整个IT系统并购买替代品的沉重负担。诺顿说:“我们非常明白,通往新架构之路将不会是一个大规模的绿地方式。”(绿地方式指推倒重来、全面替换)新的架构将利用现有的能力,同时吸收新的原则、分析、策略、设备和自动化。诺顿中将解释说:“我们将利用我们的旧设备,……结合新的原理、新的分析方法和特定的策略,……将设备和自动化添加到我们已经拥有的架构中。” “它不会替换我们现有的许多系统、工具、技术,但它将使我们能够采取更全面的方法,来集成、增强、优化现有功能,以演进我们的企业架构。”

零信任将是一个旅程,国防部将采用向现有系统添加零信任的方式。而在国防部当前网络上实施零信任原则的真正含义是:将促使国防部提出一个更好的架构。当前,陆军的网络企业技术司令部(NETCOM)已经在与JFHQ-DODIN进行零信任试验项目。

二、零信任引领国防部安全架构的转型

1.零信任引领国防部下一代安全架构

这项工作将为国防部向下一代架构演进提供信息和指导。它将统筹网络安全工作和IT工作,基于性能和安全性,来优化可定制的、基于风险的决策。它还将作为一个框架和架构,指导我们如何运行和保护我们的信息环境的文化变革。”

2.以网络为中心转变到“ 以数据为中心

零信任有望消除国防部传统的以网络为中心的安全模式。南希·诺顿说:“这种从以网络为中心向以数据为中心的安全模式的转变,将影响我们网络空间的每个领域,应该首先关注如何保护我们的数据和关键资源,然后才关注我们的网络。” “在我们传统的纵深防御方式下,我们试图使DODIN成为可信和安全的领土。而在我们新的零信任模型下,我们总是假设我们的内部网络和外部网络一样具有敌意。”

解读:怎么理解“从以网络为中心到以数据为中心”?这句话原本指的是指国防部IT(信息化)建设的模式转换,即从网络中心战要求的网络建设,转变到以数据使用和共享为目的的数据建设。而在网络安全建设的场景下理解,就是指从网络边界防护转变为数据安全防护。当然,这个数据安全防护并非仅指狭义的数据安全(如数据防泄漏技术),而是以数据和资源为中心的安全防护理念,这与当前流行的零信任思想完美契合。

3.从“ 允许所有” 转变到“ 拒绝所有”

向零信任架构的转变,将是国防部的一个重大变化。南希·诺顿补充说:“这改变了一个基本前提,即拒绝所有、允许例外,而非之前的允许所有、拒绝例外。”

解读:这里的意思是,过去的安全模式类似黑名单方式——允许绝大多数网络访问,仅拒绝少数例外情况;而零信任带来的安全模式类似白名单方式——拒绝大多数网络访问,仅允许少数例外情况,而这少数“例外”情况才是经过认证和授权的合法访问。

这种安全架构的转变是必要的,因为美国国防部经常被网络攻击淹没。南希·诺顿讲述道,“其他国家和非国家行为体,每天都试图攻击我们的网络,而攻击面遍及世界各地的每一个军种、作战司令部和作战领域。对于我们的国家和战士来说,这是一个不可失败的任务。” “JFHQ-DODIN每天指挥着国防部网络应对所有攻击面的数百万起事件的防御行动。聪明的对手总是试图窃取我们的证书凭证,提升特权,渗取数据。这就是为什么我们拥抱零信任的原因——阻止数据泄露。”

4.从“ 边界防护” 转变到“ 零信任”

诺顿中将还表示,旧的以网络为中心的模式已经不够了。标准的比喻是带有护城河的城堡。在传统的边界防御模式中,边界安全检查人员在护城河上的吊桥处检查游客,如果我们的对手设法越过了护城河,他们就可以在城堡内自由走动。国防部正在努力结束这一局面。通过零信任模式,在城堡内的每个房间门口派驻守卫

三、理解国防部网络安全架构的演进过程

要理解美国国防部将如何从这种零信任架构中受益,需要更深入地了解国防部当前的联合信息环境(JIE)的初衷、弱点、演进过程

1.单一安全架构( SSA) 启动国防部安全架构转型之旅

国防部自2012年左右提出联合信息环境(JIE)框架,是为了解决各军种/部门自建孤岛架构的低效率问题。JIE架构的最大创新之处,在于JIE将国防部IT架构从分散式架构(即每个部门/机构管理自己的网络安全策略)转变为集中式架构

单一安全架构(SSA)正好配合了国防部IT架构的转型趋势,启动了国防部安全架构转型之旅。单一安全架构(SSA)的核心优势在

  1. 破除安全壁垒:可以打破国防部各部门各自为政建设的安全壁垒;
  2. 减少攻击面:可以减少国防部的外部攻击面。之前,美军全球兵营基地有190 多个机构安全栈。现在,采用JIE架构,只需由DISA集中管理的22联合区域安全(JRSS),就可以为国防部所有用户提供一致的安全性,而无论其位置在哪里
  3. 增加网络纵深:通过部署JRSS(联合区域安全栈),
  4. 实现集中管控:还可以通过标准化管理和运行实现集中管控;
  5. 减少开支:可以减少所需的维护和持续的基础设施支出。

2.安全云计算架构( SCCA) 为国防部云战略保驾护航

伴随着国防部云战略的推进, 云上安全日益紧迫。但是, 在JIE的单一安全架构

 SSA) 中, 主要依靠联合区域安全栈 JRSS) 家族的互联网访问点 IAP) 云访问点 CAP) 传统上只专注于保护网络安全, 而非数据或身份安全。而随着越来越多的Do D员工和承包商开展远程工作并且数据量增加, 传统硬件无法扩展以支持他们。这又引起了对性能、可靠性、延迟和成本的持续关注。

作为对云安全和性能等问题的回应, 美国国防部利用了来自联邦风险与授权管理计划 Fed RAMP) 的授权解决方案, 而它参考了《安全云计算架构 SCCA) 指南》, 为托管在商业云环境中的4 级和5 级数据, 提供边界和应用级安全的标准方法。SCCA的目的是在国防部信息网络和国防部使用的商业云服务之间, 提供保护屏障, 并优化网络安全的性价比。

解读: 一句话总结, SCCA是一个非常高明的云安全架构。

3.零信任架构( ZTA) 引领国防部下一代安全架构

经历了单一安全架构(SSA)和安全云计算架构(SCCA)的发展,仍然不能认为JIE已经实现了从以网络为中心向以数据为中心的转变。

保护DISA和国防部网络的下一步演进,是拥抱具有零信任能力的安全访问边缘模型SASE模型将基本的安全功能(例如Web网关防火墙、零信任能力、数据防泄漏、安全网络连接等),全都移到云中。这样一来,国防部雇员可以直接访问云,而安全性则被推到尽可能接近用户/数据/设备的位置。

NIST SP 800-27零信任架构指南,提供了在整个企业环境中迁移和部署零信任的路线图。本指南概述了零信任的必要原则,包括保护所有通信(无论网络位置如何)和基于会话授予访问权限。这将创建最小特权访问模型,以确保合适的人员、设备和服务可以访问他们所需的数据,同时保护高价值资产。

随着国防部将JIE架构转变为具有零信任能力的即服务模式,国防机构将节省成本,提高可扩展性,为最终用户和作战人员提供更好的性能,提高可见性,对国防部全网进行控制,最终将获得更强大、更全面的网络安全能力。

参考资料:

  1. 2020年7月15日《DOD to Offer Zero Trust Architecture This Year》(国防部今年将提供零信任架构);
  2. 2020 年 7 月 15 日 《 ‘Zero Trust’ Cybersecurity Plan This Year From DISA & NSA》(DISA和NSA今年的“零信任”网络安全计划);
  3. 2020年9月29日《The DoD needs data-centric security, and here’s why 防部需要以数据为中心的安全

你可能感兴趣的:(大数据,网络,区块链,安全)