美军JIE(联合信息环境)的目标是实现“三个任意”的愿景——美军作战人员能够用任意设备、在任意时间、在任意地方获取经授权的所需信息,以满足联合作战的需求。
JIE的关键领域是:1)网络现代化(网络规范化);2)网络安全体系架构(单一安全架构-SSA/CCA);3)身份和访问管理(IdAM/ICAM);4)企业运营;5)企业服务;6)云计算;7)数据中心整合;8)任务伙伴环境(MPE);9)移动性。“美军网络安全”系列将围绕这些主题进行介绍。
本系列第一篇(美军网络安全 | 开篇:JIE(联合信息环境)概述)介绍了美军JIE(联合信息环境)的总体情况。
本系列第二篇(美军网络安全 | 第2篇:JIE网络安全架构SSA(单一安全架构))和第三篇(美军网络安全 | 第3篇:JIE联合区域安全栈JRSS)分别介绍了JIE网络安全体系架构和重要实现。
本系列第四篇(美军网络安全 | 第4篇:跨域解决方案(CDS))介绍了不同密级网络之间安全连接的解决方案。
本篇(即第五篇),将介绍身份和访问安全的解决方案——IdAM(身份与访问管理)。它在JIE框架中的地位如下图所示:
我们曾经提到过,在下面的JIE框架图中,所有深红色部分都属于网络安全内容,即SSA(单一安全架构)涵盖的范畴。然而IdAM并不是深红色,而是浅蓝色。这种颜色主要代表的是企业化能力和服务。(细节是魔鬼,这张图中的各种颜色,都是有特定含义的)
笔者推测,美军这么看待IdAM的原因是:IdAM与传统的PKI/CA认证体系一脉相承,早已成为美国国防部一项非常基础、非常重要的服务——信任基础设施。
笔者提示:对Gartner自适应安全防护模型和Gartner自适应访问控制模型比较熟悉的同学知道,安全和信任分别解决了防护侧和访问侧的问题。从这个意义上讲,信任是与安全并驾齐驱的领域。所以,本次介绍的IdAM(解决信任问题)与前面强调过的单一安全架构SSA(解决安全问题)在JIE中的地位是可以类比的。
说明:在较新的国防部文件中,IdAM也经常被称为ICAM(身份、凭证与访问管理)。
二、IdAM背景(GIG时代)
1、GIG2.0中的全球访问愿景
先看一张2009年国防部GIG(全球信息栅格)2.0的作战概念图:
左边是美军当时的访问能力状态,右侧是美军希望达到的目标状态。很明显,那时的认证基础设施和访问目录都是分散的,他们希望能够实现大统一,将认证和访问控制集中统管起来。
注意,这是2009年的图。当时,JIE(联合信息环境)概念尚未提出。2012年后提出的JIE,也非常推崇统管制,其目的是冲破组织烟囱和功能烟囱的藩篱。这是美军IT管理机制的一次影响深远的重大变革,树立了管理制度大胆变革的榜样。
从集中统管这种思路上看,IdAM毫无疑问走在了前头。当然,这也与其作为基础设施的地位分不开。无论是GIG时代,还是JIE时代,都是如此。
全球认证、访问控制、目录服务是GIG2.0作战概念的3个关键特征,用于确保任何授权用户,利用通用和移动的身份证书,能够从任意地点访问全球网络基础设施,并使所有授权的作战人员、业务支持人员或情报人员都能获得与其任务相关的和可视的信息、服务和应用,同时做到单一签名,在任意时间和地点,实现对网络、信息技术、国家安全系统服务的访问,以及对整个国防部全球地址清单的访问。《全企业访问网络和协同服务参考体系结构》(EANCE RA)正是着眼全球可访问资源的全球认证、授权和访问控制,进行了体系结构设计。
2、信息保障基础设施中的身份访问控制
在GIG(全球信息栅格)时代,IdAM的功能主要被包含在信息保障(IA)基础设施中。信息保障基础设施由各种软硬件以及管理系统和安全保密设备组成,用于维持和保护GIG网络的正常运行以及身份识别与授权、访问控制、用户信息保护、动态管理、资源分配、网络防御与态势感知等功能,确保GIG网络的有效操作和安全可靠。2006年,美国国防部颁布了“全球信息栅格信息保障体系结构”1.1版,确定了GIG信息保障任务的6个能力域、15种能力要求、19项基本系统功能。
信息保障机制包括:基于策略决策服务(PDS)、策略检索服务(PRS)、策略管理服务(PoAS)、证书确认服务(CVS)、主要特征识别服务(PrAS)等5项“核心”功能。基于这些功能形成的保护机制,基本上可以确保其他服务功能的安全调用。DoD信息保障服务机制如下图所示:
这种保障机制可以实现:
3、PKI/PKE
国防部PKI(公共密钥基础设施):负责公钥证书及其相应私钥的生成、生产、分发、控制、撤销、恢复和跟踪。
公钥启用(PKE, Public Key Enablement ):是确保应用程序可以使用由PKI颁发的证书来支持标识和身份验证、数据完整性、机密性和/或技术不可否认性的过程。
PKE的常见用例包括启用:
当前,国防部PKI的发展方向:
PKI有两种基本类型:
对于DoD PKI:
对于ECA PKI:
PKI互操作性是国防部及其联邦政府和行业内合作伙伴之间安全信息共享的重要组成部分。这些年来,国防部PKI不断扩展与外部的互操作性。下面2016年的国防部PKI外部互操作性架构图,说明了国防部如何通过联邦桥与批准的外部PKI进行交互。
4、军事人员的通用访问卡
1999年开始,美国国防部开始为现役人员、预备役人员、文职雇员制发新式通用访问卡(CAC卡,Commom Access Card)。
2006年,美国国防部开始对个人发放新一代通用访问卡(CAC)。新卡大约相当于标准信用卡大小,在一个集成电路芯片上存储144K的数据存储和内存。新型通用访问卡提供统一的电子结构,增加了身份欺骗防护措施,并升级了安全和隐私能力。新卡的芯片上保存了PKI证书、两枚指纹、一张数码照片、个人身份验证(PIV)证书、人事关系、社会保险号、机构、卡片有效期。同时,在发卡前还将对人员进行背景检查。
CAC卡允许对所有物理和逻辑访问,进行快速身份验证和增强安全性。
CAC卡存储的数据只能通过安全的CAC应用程序访问。事实上,如果没有以下条件,就无法访问存储在CAC上的信息:
三、IdAM内涵(JIE时代)
1、IdAM概念和作用
IdAM(身份和访问管理服务,Identity and Access Management)定义:IdAM是创建、定义和管理身份信息的使用/保护的技术系统、策略和过程的组合。也称为ICAM(Identity, Credential, and Access Management)。
IdAM主管部门:国防部信息系统局(DISA)、国防人力数据中心(DMDC )、国家安全局(NSA)组合资源,为国防部提供IdAM解决方案。
在JIE的概念体系中,IdAM是实现数据安全及与任务伙伴安全共享信息的根本。“身份”可在整个企业,在所有网络上,对人员和机器,实现端到端的、唯一的、明确的区分。这些能力对于提高国防部IT安全性及任务有效性的双重目标至关重要。这种能力与基于访问的控制相结合,可以使得人员实体和非人员实体,能够在任意时间、在任意地点、安全地访问经过授权的国防部信息,得以实现“三个任意”的目标。
IdAM能够正确识别国防部信息网络上的用户(人员或软件),并对用户访问网络资源和服务进行高效管理。通过将用户活动与数字身份进行绑定,确保所有用户都必须经过强有力的认证,且只能访问其经过授权的资源,并能对所有用户进行监控,从而降低内部和外部威胁风险。
国防部PKI(公钥基础设施)认证的使用范围将最大化,可以用于 NIPRNET/SIPRNET的所有登录和 NIPR/SIPR国防部网站的每次访问。国防部PKI认证的使用,也将提供更有效的监控和追溯能力。
简而言之,IdAM可以生成全军全网唯一且可追溯的“身份”,既使得作战人员可以实现三个任意的全球访问,又使得国防部可以有效管理网络上的所有人员和系统。
为了改变和提升国防部过去那种人工密集的、不一致的、耗时的、资源繁重的本地管理归档和信息系统访问管理能力,新的IdAM能力将可最大程度地实现对IT系统的日常访问控制的自动化,将使系统访问更具动态性,确保实体发现,并可实现活动监控与追溯。
2、IdAM能力模型
IdAM产品高层能力模型如下图所示:
可见,IdAM解决方案包含三个部分:
其中,不同颜色有不同的含义:
主要功能模块的含义如下:
下图所示的IdAM产品架构,包含了各个组件之间的访问逻辑和流程:
IdAM能力将包括:
3、IdAM目标状态
国防部ICAM的目标状态是实现动态访问控制,如下图所示:
其中的主体功能是基于策略的授权服务、身份与凭证管理、策略管理、资源管理四个方面。
理解国防部IdAM的关键是基于属性的访问控制(ABAC)模型。ABAC体系结构如下所示:
四、ICAM战略目标
在《美国国防部数字现代化战略:国防部信息资源管理战略计划FY19-23》中,列出了如下所示的战略目标:
其中,ICAM位列第3大战略目标(即“3:发展网络安全,形成灵活和弹性的防御态势”)的第2子目标(即“3.2部署端到端ICAM基础设施”),主要内容如下:
目标描述:
战略要素:
ICAM的四个支柱:
五、IdAM发展路线图
IdAM未来几年的路线图如下图所示:
下面,主要介绍其中提到的可靠身份、纯种移动认证、证书缩减。
1、可靠身份
可靠身份(Assured Identity) :建立并持续验证数字身份,然后为该身份分配属性,并将其与个人或可信设备强关联。
可靠身份的目标:对使用移动设备的作战人员的身份的保证和保护。
可靠身份的基础能力:
可靠身份的关键步骤如下:
1)硬件认证:
2)CMFA(持续多因素认证):
3)个性化上下文认证:
基于可靠身份,可以实现虚拟传输解决方案:
2、纯种移动认证
纯种(Purebred)移动安全凭证:
纯种启用了空中证书认证,取代了对智能卡读卡器的需求。
纯种由DISA PKI工程公司开发,旨在为DoD PKI用户在商用移动设备上使用提供一种安全、可扩展的分发软件证书的方法。系统首先建立对用于加密绑定到设备的配置数据的设备证书的信任,然后允许订户演示其CAC的拥有和使用,以生成两个新的派生凭据并恢复现有的电子邮件加密密钥。
3、证书缩减
CAC包含四种PKI证书:
在2019财年,IdAM团队计划减少国防部颁发的CAC证书数量。减少证书数量后,会减少证书吊销列表的大小,并使用更少的资源来维护PKI基础设施,从而提高效率。
证书缩减将消除国防部身份证书,并使用已经存在于CAC上的PIV认证证书替换认证功能。
目的是对所有已颁发的CAC使用PIV认证证书。军方早在2018年2月份就开始了这项工作。
六、走向零信任
在《美国国防部数字现代化战略:国防部信息资源管理战略计划FY19-23》中,提及了国防部向零信任发展的明确方向。主要内容如下:
零信任安全:零信任是一种网络安全策略,它将安全嵌入到整个体系结构中,以阻止数据泄露。
零信任安全是国防部首席信息官正在与DISA、美国网络司令部、国家安全局合作探索的一项新举措。
零信任安全的优势:
零信任的实现复杂性:
零信任适合云部署:
零信任需要安全自动化:
零信任需要密码现代化:
零信任需要新的分析能力:
更进一步,在《DISA(国防信息系统局)战略计划2019-2022》中,给出了如下的DISA技术路线图:
很明显,在积极追求ICAM、持续多因素认证、区块链技术的基础上,DISA已经把零信任架构、软件定义企业、机器学习&人工智能摆到了发展道路上。
七、零信任广告
零信任广告一:零信任提出者所著的《零信任网络》的中文译本,由奇安信身份安全团队翻译,已经面市,欢迎阅读。BCS大会就有签赠会噢:
零信任广告二:奇安信零信任安全产品体系和解决方案已经基本成熟,并在国内重大部委率先落地。
八、总结和预告
在本系列的介绍中,限于众所周知的原因,笔者只能采取蜻蜓点水的全景方式,介绍了美军网络安全的方方面面。
即便如此,也已经比网上的公开资料涵盖了更多、更深入的信息。毕竟,大部分英文原文资料是需要FanQ的。而不同来源之间的矛盾、不同版本之间的冲突,都需要关联和厘清。
在JIE的关键领域中,网络规范化、企业运营、企业服务、云计算、数据中心整合、任务伙伴环境、移动性等内容都还没有介绍,会在后期一一概述。
笔者深深地感到一种无奈:美军网络安全的博大精深,绝非朝夕之间可以理解。毕竟,美国国防部自己都在与时俱进,不断调整和优化自身的网络安全战略方向和技术路线。
笔者暗暗地感到一种喜悦:美国密级划分有非常精细化的处理手段(精细到字段级),只要是能公开的信息和技术资料都会尽量公开,因为他们以普世价值和理念宣扬为荣。作为一个技术人员,能与强者的技术理念共振,实属幸事。
笔者默默地感到一种无助:如何把美军网络安全理念和技术应用于我军、我国的实际环境,切实提升网络安全水平,更多地取决于用户自己,而非对手。作为第三方安全厂商,我们只能建议,却未必有足够的影响力。
以上观点,仅代表个人。