专栏首页网络安全观美国国家安全局发布零信任安全模型指南

美国国家安全局发布零信任安全模型指南

全文约30004图表 阅读约6分钟

2021年2月25日,美国国家安全局(NSA)发布关于零信任安全模型的指南《拥抱零信任安全模型》(Embracing a Zero Trust Security Model)。

NSA是美国情报界的中流砥柱,是美国国家安全系统的技术权威,是美国网络司令部的摇篮。由于它深不可测,大家对它的了解多来自于斯诺登的曝光。这次的指南发布,可视为NSA对零信任的明确表态

在美军网络空间安全领域,笔者认为DISA(国防信息系统局)和NSA是“雌雄双煞”:DISA主内,NSA主外;DISA管防御,NSA管进攻;DISA管非涉密安全,NSA管涉密安全。他俩还都具有独特的双帽体制

既然NSA已经发布零信任指南,而DISA早就宣布要发布零信任参考架构,那么,关于美国国防部对零信任的拥护立场,几乎没有什么悬念了

接下来,我们继续等待DISA的零信任参考架构NSA的附加零信任实施指南

《拥抱零信任安全模型》原文下载地址:https://media.defense.gov/2021/Feb/25/2002588479/-1/-1/0/CSI_EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF

目 录

1. NSA指南概要

2. NSA与DISA

3. NSA指南目录

4. 使用中的零信任示例

5. 零信任成熟度

6. 下一步期待

01

NSA指南概要

NSA网络安全指南《拥抱零信任安全模型》的制定,是为了促进NSA的网络安全任务,即识别和传播对国家安全系统(NSS)、国防部(DoD)和国防工业基础(DIB)信息系统的威胁,以及制定和发布网络安全规范和缓解措施

本指南展示了如何遵循零信任安全原则,以更好地指导网络安全专业人员保护企业网络和敏感数据。为了让NSA的客户对零信任有一个基本的了解,本指南讨论了它的好处和潜在的挑战,并提出了在他们的网络中实现零信任的建议。

零信任模型通过假设失陷是不可避免的或已经发生的,消除了对任何一个元素、节点、服务的信任。以数据为中心的安全模型,在持续控制访问的同时,寻找异常或恶意的活动。

采用零信任思想和利用零信任原则,将使系统管理员能够控制用户、进程、设备如何处理数据。这些原则可以防止滥用泄露的用户凭证、远程利用或内部威胁、缓解供应链恶意活动影响。(注:参见本文第4节(使用中的零信任示例)

NSA强烈建议国家安全系统(NSS)内的所有关键网络、国防部(DoD)的关键网络、国防工业基础(DIB)关键网络和系统考虑零信任安全模型。(注:NSA负责保护国家安全系统(NSS),即敏感程度较高的网络和系统,如涉密信息系统。所以,这条建议对于高敏感网络在应用零信任理念方面,具有很强的权威性。

NSA指出,网络及其运营生态系统的大多数方面都应实施零信任原则,以使其充分有效。

为了应对实施零信任解决方案的潜在挑战,NSA正在制定并将在未来几个月发布额外的指南

02

NSA与DISA

美国军方在网络空间作战领域占据主导地位,四只主要力量是:美国国家安全局(NSA)、国防信息系统局(DISA)、美国网络司令部(USCYBERCOM)、联合部队总部国防部信息网络部(JFHQ-DODIN)。这四个机构之间具有双帽关系:

图1:美国国防部内四大网络空间作战机构之间的“双帽”关系

该图显示了四个机构之间的双帽体制:国家安全局(NSA)局长与美国网络司令部司令官是同一人(现为Paul M. Nakasone);国防信息系统局(DISA)局长与JFHQ-DODIN司令官也是同一个人(现为Nancy Norton)。两人的相片如下:

图2:NSA(左)/DISA(右)“雌雄双煞”

NSA的工作侧重于涉密侧进攻侧,敏感程度较高,所以不像DISA那么开放。NSA曾在2018年11月发布了《NSA/CSS技术网络威胁框架v2》(NSA/CSS Technical Cyber Threat Framework v2)。

03

NSA指南目录

1. 执行摘要

2. 已经落伍的方法

3. 日益复杂的威胁

4. 什么是零信任

5. 采取零信任思维

5.1 拥抱零信任指导原则

5.2 利用零信任设计理念

5.3 使用中的零信任示例

5.3.1 泄露的用户凭据

5.3.2 远程利用或内部威胁

5.3.3 供应链受损

5.4 零信任成熟度

6. 零信任道路上的潜在挑战

7. 小心地最小化嵌入的信任可以实现更安全的任务

7.1 进一步的指南

7.2 引用的工作

7.3 背书免责声明

7.4 目的

7.5 联系方式

简单评述

  • 笔者在对NSA零信任指南快速浏览后,觉得没必要粘贴全文译文。因为NSA指南中关于零信任的理念、思路、原则、挑战等,与NIST零信任架构指南是一致的,只是换了些说法,无需赘述。
  • 这篇NSA零信任指南的译文不到6千字;而NIST零信任架构指南(SP 800-207)则超过了3万7千字。若为更好地理解零信任架构,直接参考NIST零信任架构指南(SP 800-207)的译文即可。

下面主要介绍其中的第5.3节(使用中的零信任示例)5.4节(零信任成熟度)的内容。

04

使用中的零信任示例

1)泄露的用户凭据

示例场景:在本示例中,恶意网络行为体将窃取合法用户的凭据并尝试访问组织资源。在这种情况下,恶意行为体试图使用未经授权的设备,要么通过远程访问,要么利用已加入组织无线局域网的恶意设备。

在传统网络中,仅用户的凭据就足以授予访问权限。

在零信任环境中,由于设备是未知的,因此设备无法通过身份验证和授权检查,因此被拒绝访问并记录下恶意活动。此外,零信任要求对用户和设备身份进行强身份验证。

建议在零信任环境中使用强多因素用户身份验证,这会使窃取用户的凭据变得更加困难。

2)远程利用或内部威胁

示例场景:在本示例中,恶意网络行为体通过基于互联网的移动代码漏洞利用,来入侵用户的设备;或者,行为体是具有恶意意图的内部授权用户

在一个典型的非零信任场景中,行为体使用用户的凭据,枚举网络,提升权限,并在网络中横向移动,以破坏大量的数据存储,并最终实现持久化。

在一个零信任网络中,失陷的用户的证书和设备被默认为是恶意的,除非被证明清白;并且网络是分段的,从而限制了枚举和横向移动的机会。尽管恶意行为体可以同时作为用户和设备进行身份验证,但对数据的访问将受到基于安全策略、用户角色、用户和设备属性的限制

在成熟的零信任环境中,数据加密和数字权限管理可以通过限制可以访问的数据可以对敏感数据采取的操作类型,来提供额外的保护。此外,分析能力可以持续监视帐户、设备、网络活动和数据访问中的异常活动。尽管在这种情况下仍可能出现一定程度的失陷,但损害程度却是有限的,而且防御系统用来检测和启动缓解响应措施的时间将大大缩短。

上述文字描述,可对照下图理解:

图3:零信任远程利用场景的示例

3)供应链受损

示例场景:在此示例中,恶意行为体在流行的企业网络设备或应用程序中嵌入恶意代码。而设备或应用程序也已按照最佳实践要求,在组织网络上进行维护和定期更新。

在传统的网络架构中,这个设备或应用程序是内部的,并且是完全可信的。这种类型的失陷可能会特别严重,因为它隐含了太多的信任。

在零信任架构的成熟实现中,由于设备或应用程序本身默认不可信,因此获得了真正的防御效果。设备或应用程序的权限和对数据的访问,将受到严格的控制、最小化和监控;分段(包括宏观和微观粒度)将依据策略来强制执行分析将用于监控异常活动。此外,尽管设备可能能够下载已签名的应用程序更新(恶意或非恶意),但设备在零信任设计下允许的网络连接将采用默认拒绝安全策略,因此任何连接到其他远程地址以进行命令和控制(C&C)的尝试都可能被阻止。此外,网络监视可以检测并阻止来自设备或应用程序的恶意横向移动。

05

零信任成熟度

NSA指南也再次强调,零信任的实施需要时间和精力:不可能一蹴而就

NSA指南进一步指出:一次性过渡到成熟的零信任架构是没有必要的。将零信任功能作为战略计划的一部分逐步整合,可以降低每一步的风险。随着“零信任”实现的逐步成熟,增强的可见性和自动化响应,将使防御者能够跟上威胁的步伐。

NSA建议:将零信任工作规划为一个不断成熟的路线图,从初始准备阶段基本、中级、高级阶段,随着时间的推移,网络安全保护、响应、运营将得到改进。如下图所示:

图4:逐步成熟的零信任实现

06

下一步期待

NSA指南中提到,NSA正在协助国防部客户试验零信任系统,协调与现有国家安全系统(NSS)和国防部计划的活动,并制定附加的零信任指南,以支持系统开发人员克服在NSS(国家安全系统)、DoD(国防部)、DIB(国防工业基础)环境中集成零信任的挑战。即将发布的附加指南将有助于组织、指导、简化将零信任原则和设计纳入企业网络的过程。

另外,大家也许还记得,DISA(国防信息系统局)局长曾宣称在2020日历年年底前发布初始零信任参考架构,然后将花几个月时间征求行业和政府的意见建议,然后再发布完整的文件。故从时间上估计,目前应该处于征求行业和政府意见的过程中。

不论是NSA下一步的实施指南,还是DISA正在征求意见的参考架构,笔者都认为:

  • 从零信任的架构层面看:与NIST零信任架构相比,可能不会有大的变化。
  • 从零信任的实施层面看:则会结合美军网络的现实情况,有更加具体的建设思路、落地指导、应用示例。

所以,让我们继续期待吧。

本文分享自微信公众号 - 网络安全观(SecurityInsights),作者:柯善学@360

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 改善国家网络安全行政命令

    2021年5月初,负责美国东海岸45%燃料运输的科洛尼尔管道运输公司(ColonialPipeline)因遭遇勒索软件网络攻击暂停运营。这只是犯罪集团利用美国网...

    绿盟科技研究通讯
  • 美国国土安全部发布《物联网安全指导原则》

    物联网在内的网络互联服务为社会发展创造了机会和利益,而物联网自身的安全却跟不上创新和部署的快速步伐。如今,网络连接设备无处不在,物联网的增长和普及大大方便了人们...

    FB客服
  • 美国网络安全体系架构简介(2017-08-03)

    网络安全体系是一项复杂的系统工程,需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合,构建一体化的整体安全屏障。针对网络安全防护,美...

    网络安全观
  • 零信任硬币的两面

    零信任硬币的一面是访问控制和身份管理,硬币的另一面是主机微分段。前者本质上仍是由外到内的方法,而后者则是由内到外的方法。两者虽然都要解决访问问题,但前者是从用户...

    网络安全观
  • 【AI TOP 10】今年最值得关注的三项大脑技术;北京首条自动驾驶测试道路将落地亦庄;中国军工厂用机器人生产弹药

    编辑:刘光明 【新智元导读】近日,美国《科学美国人》刊发文章,对2018年大脑技术的发展做了预测,认为将会出现脑控技术、神经颗粒和微型大脑。而日产也正计划用脑波...

    新智元
  • 深度长文:中国产业大迁移全景图

    中国产业大迁移并没有发生在传统产业,而是发生在新兴产业。传统制造在出清过程中向低成本、高效率地区集聚。新兴制造向地理纵深发展的过程中,中部核心二线城市群逐渐崛起...

    钱塘数据
  • 三六零发布半年报,一点两翼何时展翅高飞?

    8月28日晚上,三六零发布2018年半年度报告。期内,三六零实现营业收入60.25亿元,同比增长13.95%;实现归属于上市公司股东的净利润为15.37亿,同比...

    罗超频道
  • 从“边界信任”到“零信任”,安全访问的“决胜局”正提前上演

    对大多数人来说,对数字化变革的切身体验从未像2020年新冠疫情爆发以来这般强烈。这一年,各类“无接触”新业态争相冒头,企业竞相入局。

    腾讯安全
  • 美国网络安全 | NIST身份和访问管理(IAM)

    笔者一直对身份和访问管理(IAM)念念不忘。IAM的目标是实现“三个恰当”或“三个任意”,IAM是实现访问自由的基础。笔者认为它既是基础,也是未来。而且它与零信...

    网络安全观
  • Facebook借稳定币取代美元?比特大陆8000万美元的矿机已就位;深圳千余家企业接入区块链发票 | 一分钟链圈

    据CCN消息,Vitalik Buterin表示,考虑到以太坊引导协议通过的问题,目前的以太坊治理模型工作得相当好。但他认为以太坊的治理在这一点上被低估了。此外...

    区块链大本营
  • 2017年中国网络安全报告

    本报告涵盖恶意软件与恶意网址、移动安全、互联网安全、趋势展望等多个章节,从解各方面分析 2017 中国网络安全态势。 一、恶意软件与恶意网址 (一)恶意软件 1...

    FB客服
  • 1分钟链圈 | 越来越多律师接受加密货币付费,称“没有选择余地”;日本将在3月份推出虚拟货币自动兑换机,方便虚拟货币兑换成日元

    区块链大本营
  • 黑客如何窃取你的秘密:互联网战场漏洞成武器

    美国《时代》周刊7月21日一期发表题为《零世界大战——黑客如何窃取你的秘密》的封面文章,作者是列夫·格罗斯曼。文章称,互联网是一个战场,战利品是...

    安恒信息
  • 业界 | 大败笔:回顾2018年IT界十大故障

    2018年再次证明了IT故障是普遍而没有偏见的,它可以发生在任何国家,不论是大公司还是小公司,不论是在商业、非营利组织还是政府组织中。

    大数据文摘
  • BankInfo Security发布金融信息安全界Top 10 影响力排行榜

    BankInfo Security发布了其第四年度银行业信息安全影响力排行榜,他们在塑造银行业与信息安全相连的方式上取得了突出成绩和贡献。 2016年的榜单中的...

    FB客服
  • 1分钟链圈|比特币昨涨至8100美元,今年可能上涨3倍!人才遭疯抢,浙大开设区块链课程!

    区块链大本营
  • 早报:在线数字支付市场规模到2020年将超8万亿美元

    1、中国大数据行业自律公约将于明年1月份正式发布 C114讯 11月7日消息(岳明)今天,由中国信息通信研究院、数据中心联盟主办的“2017大数据发展促进委员...

    用户1335017
  • 全球首个区块链大农场

    区块链大本营
  • 1分钟链圈|区块链技术薪酬猛增30%,增幅居所有岗位之首!全球区块链市场规模2022年将达139.6亿美元

    区块链大本营

扫码关注云+社区

领取腾讯云代金券