|
全文約4000字 7圖表 閱讀約10分鐘 在2020年9月16日舉行的“TechNet網(wǎng)絡(luò)研討會(huì)”上,DISA(國(guó)防信息系統(tǒng)局)新成立的新興技術(shù)局局長(zhǎng)Stephen Wallace,,以《零信任和身份:DISA如何繼續(xù)保護(hù)網(wǎng)絡(luò)空間中的戰(zhàn)士》為題,,介紹了國(guó)防部零信任工作進(jìn)展。筆者經(jīng)過(guò)不懈努力,,近日終于觀看到Wallace的演講視頻,,特在本文進(jìn)行總結(jié)分享。 Wallace站在國(guó)防部的視角,,結(jié)合國(guó)防部網(wǎng)絡(luò)架構(gòu)的三次演進(jìn),,總結(jié)了國(guó)防部零信任的七大支柱,強(qiáng)調(diào)了身份的奠基作用,,提及了零信任與微分段和SDP的聯(lián)系,。 Wallace曾講述過(guò)自己從零信任的懷疑者變成信徒的轉(zhuǎn)化過(guò)程。并強(qiáng)調(diào),,“零信任思想具有很大的包容性,。” 筆者非常贊同:零信任遵循了安全演進(jìn)規(guī)律,,承上啟下,、繼往開(kāi)來(lái)。零信任的包容性蘊(yùn)含了它的生命力,。 下一步預(yù)計(jì),,國(guó)防部零信任初始參考架構(gòu)將在2020年日歷年末發(fā)布,之后DISA將征求業(yè)界和政府的意見(jiàn)和建議,,然后在幾個(gè)月后發(fā)布完整的文檔,。讓我們耐心等待。 1. DISA會(huì)議背景 2. 零信任的七個(gè)支柱 3. 零信任與身份:將網(wǎng)絡(luò)邊界變?yōu)樯矸葸吔?/p> 4. 零信任與微分段:將粗略邊界變?yōu)榫?xì)邊界
5. 零信任與SDP:將硬件邊界變?yōu)檐浖吔?br> 6. 國(guó)防部網(wǎng)絡(luò)架構(gòu)演進(jìn)
1)2010年前:以邊界為中心的封閉網(wǎng)絡(luò)3)2020年代:云優(yōu)先,,端點(diǎn)無(wú)處不在7. 從零信任的懷疑者變成信徒
8. 零信任沒(méi)有銀彈 零信任早已在美國(guó)國(guó)防部受到關(guān)注。但零信任方法的實(shí)施,,直到2019年7月才成為一個(gè)具體目標(biāo)被納入《國(guó)防部數(shù)字現(xiàn)代化戰(zhàn)略》,。在過(guò)去的幾個(gè)月中,,國(guó)防信息系統(tǒng)局(DISA)一直在與國(guó)家安全局、國(guó)防部首席信息官,、其他機(jī)構(gòu)合作,,以最終確定零信任初始參考架構(gòu)。在2020年7月15日的“陸軍虛擬2020信號(hào)會(huì)議”上,,DISA局長(zhǎng),、美國(guó)海軍中將、聯(lián)合部隊(duì)總部國(guó)防信息網(wǎng)絡(luò)司令部司令Nancy Norton表示:“零信任架構(gòu)將確保每個(gè)想要使用DoD信息網(wǎng)絡(luò)的人都能被識(shí)別,,每個(gè)試圖接入的設(shè)備都被認(rèn)證,。”(參見(jiàn)《美軍網(wǎng)絡(luò)安全 | 2020年底國(guó)防部將提供零信任架構(gòu)》)在2020年9月16日舉行的“TechNet網(wǎng)絡(luò)研討會(huì)”上,,DISA新成立的新興技術(shù)局(Emerging Technology Directorate)局長(zhǎng)Steve Wallace,,以《零信任和身份:DISA如何繼續(xù)保護(hù)網(wǎng)絡(luò)空間中的戰(zhàn)士》(Zero Trust and Identity: How DISA Continues to Protect the Warfighter in Cyberspace)為題,介紹了DISA零信任方面的最新工作進(jìn)展,。Wallace表示,,向零信任架構(gòu)的過(guò)渡,將為國(guó)防部作戰(zhàn)人員帶來(lái)更多安全性,、靈活性,、更高效的設(shè)備使用、更快的數(shù)據(jù)訪問(wèn),。
Wallace預(yù)計(jì),國(guó)防部零信任初始參考架構(gòu)將在2020年日歷年末發(fā)布,,然后DISA將征求業(yè)界和政府的意見(jiàn)和建議,,然后在幾個(gè)月后發(fā)布完整的文檔。由于疫情原因,,本次會(huì)議以遠(yuǎn)程在線會(huì)議的方式舉辦,。會(huì)議主角是國(guó)防信息系統(tǒng)局(DISA)。在所有會(huì)議議題中,,Wallace的議題與DISA零信任工作密切相關(guān),。該會(huì)議于9月16日召開(kāi)。筆者找了Wallace演示PPT很久,,但一直沒(méi)有找到,,幾乎放棄。念念不忘,,必有回響,。近日,筆者終于找到線索,,并成功注冊(cè)會(huì)議賬號(hào),,完整觀看了本場(chǎng)在線會(huì)議的視頻內(nèi)容。如下圖會(huì)議截屏所示:圖1-遠(yuǎn)程視頻會(huì)議截圖(Wallace演講) 筆者發(fā)現(xiàn),在本場(chǎng)視頻會(huì)議中,,Wallace演講PPT中的核心內(nèi)容只有5頁(yè)(即本文中的圖2,、圖4-7)。畢竟是互聯(lián)網(wǎng)在線會(huì)議的方式,,而且涉及美國(guó)國(guó)防部的關(guān)鍵進(jìn)展,。Wallace在視頻中一再提到,有些內(nèi)容不能說(shuō)更多,。但毫無(wú)疑問(wèn),,該次會(huì)議是目前最能反映美國(guó)國(guó)防部零信任思路的信息來(lái)源。而且也驗(yàn)證了筆者之前對(duì)國(guó)防部零信任思路的種種判斷,。Wallace說(shuō):“零信任思想具有很大的包容性,。” 零信任實(shí)際上包含了下圖中的七大支柱,,即數(shù)據(jù),、用戶(hù)、設(shè)備,、網(wǎng)絡(luò),、工作負(fù)載、可見(jiàn)性與分析,、自動(dòng)化與編排,。 圖2-國(guó)防部零信任實(shí)施的七個(gè)支柱
解讀1:國(guó)防部零信任的七大支柱也可以被稱(chēng)為:零信任數(shù)據(jù)、零信任用戶(hù),、零信任設(shè)備,、零信任網(wǎng)絡(luò)、零信任應(yīng)用和工作負(fù)載,、可見(jiàn)性與分析,、自動(dòng)化與編排。過(guò)去,,大家經(jīng)常認(rèn)為零信任主要強(qiáng)調(diào)兩個(gè)方面:一是身份安全,,比如“身份是零信任的基石”;二是零信任網(wǎng)絡(luò),,比如Evan Gilman的書(shū)《零信任網(wǎng)絡(luò)》,、Gartner提到的ZTNA(零信任網(wǎng)絡(luò)接入)、SDP(軟件定義邊界),。而七大支柱表明:零信任不只是某個(gè)安全領(lǐng)域,,而是幾乎涉及整個(gè)安全領(lǐng)域。解讀2:剛看到上圖時(shí),,筆者會(huì)心一笑——這不正是ACT(美國(guó)技術(shù)委員會(huì))和Forrester的零信任支柱嘛,!分別如下兩圖所示:
圖3-ACT(美國(guó)技術(shù)委員會(huì))《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》中的零信任支柱 
圖3-Forrester“零信任擴(kuò)展(ZTX)生態(tài)系統(tǒng)”中的零信任支柱 解讀3:應(yīng)該承認(rèn),,七大零信任支柱的提法,源自Forrester的“零信任擴(kuò)展(ZTX)生態(tài)系統(tǒng)”,。我們知道,,“零信任”概念是由Forrester首席分析師John Kindervag多年前提出的;而這個(gè)“零信任擴(kuò)展(ZTX)生態(tài)系統(tǒng)”則是其繼任者(也是現(xiàn)任)Forrester首席分析師Chase Cunningham提出的,。Forrester將零信任概念擴(kuò)大為生態(tài)系統(tǒng),,無(wú)疑是為了將零信任做大做強(qiáng)。而Gartner將零信任限定為“ZTNA(零信任網(wǎng)絡(luò)接入)”,,并將零信任僅僅視作CARTA(持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估)路線圖的初始步驟(Zero Trust Is an Initial Step on the Roadmap to CARTA),,則肯定是往小里說(shuō)了。這其中滋味,,請(qǐng)自行體會(huì),。解讀4:通過(guò)上面的分析,筆者想說(shuō):Forrester才是零信任的真正權(quán)威,。而美國(guó)國(guó)防部沿用七個(gè)支柱的零信任表述方式(即圖2),,無(wú)疑也是對(duì)此論斷的再一次佐證。沒(méi)錯(cuò),,Wallace在展示了國(guó)防部零信任的七大支柱后,,第一件事就是強(qiáng)調(diào)身份的奠基作用,展示了國(guó)防部幾十年來(lái)身份現(xiàn)代化的進(jìn)程: 
圖4-國(guó)防部身份現(xiàn)代化 Wallace還說(shuō),,“我們將在明年推出一些功能,,這些功能將幫助我們實(shí)現(xiàn)更強(qiáng)的身份認(rèn)證,基于云的身份認(rèn)證,,比我們現(xiàn)有的或過(guò)去所做的更具可擴(kuò)展性,。” “這些新的身份能力,,對(duì)于零信任的未來(lái)有多重要,?他們絕對(duì)是關(guān)鍵,?!?/section>解讀1:在NIST零信任架構(gòu)標(biāo)準(zhǔn)中,明確列出了當(dāng)前實(shí)現(xiàn)零信任的三大技術(shù)路線:1)增強(qiáng)型IAM(身份與訪問(wèn)管理),;2)微分段,;3)SDP(軟件定義邊界)。這三種技術(shù)路線既可以單獨(dú)實(shí)現(xiàn)零信任方案,,也可以配合起來(lái)實(shí)現(xiàn)更加全面的零信任架構(gòu),。解讀2:云IAM是國(guó)防部零信任的絕對(duì)關(guān)鍵。
Wallace提到,,“零信任以一個(gè)簡(jiǎn)單的概念運(yùn)行:不要相信任何在您的網(wǎng)絡(luò)內(nèi)部運(yùn)行的人,,并使他們一次又一次地驗(yàn)證其身份,。零信任意味著用于分段和管理網(wǎng)絡(luò)的下一代防火墻架構(gòu),有時(shí)稱(chēng)為微分段(micro-segmentation)和微邊界(micro-perimeters),。每個(gè)人(無(wú)一例外)都必須在訪問(wèn)IP地址,、服務(wù)器、數(shù)據(jù)和計(jì)算機(jī)的每個(gè)步驟中,,提供多種身份認(rèn)證方法,。………零信任既針對(duì)已經(jīng)突破網(wǎng)絡(luò)的外部攻擊者,又針對(duì)惡意內(nèi)部人員,,旨在阻止他們?cè)诰W(wǎng)絡(luò)內(nèi)橫向移動(dòng)以尋找敏感數(shù)據(jù),。………例如,斯諾登(Edward Snowden)擁有合法憑證,,在國(guó)家安全局(NSA)網(wǎng)絡(luò)中擔(dān)任分包商,。但是,我們沒(méi)有辦法知道他正在下載有關(guān)NSA監(jiān)視計(jì)劃的最高絕密材料,,因?yàn)闆](méi)有另外的微邊界可以阻止未經(jīng)適當(dāng)身份驗(yàn)證的下載,。” 解讀:微分段作為零信任的三大技術(shù)路線之一,,對(duì)東西向流量的防護(hù)功不可沒(méi),。Wallace說(shuō),“DISA還正在研究SDP(軟件定義邊界)配置,,旨在為戰(zhàn)士提供更高的安全性和靈活性,,從本質(zhì)上使用戶(hù)更快、更直接地獲取數(shù)據(jù),?!?“與過(guò)去使用的傳統(tǒng)分段和邊界保護(hù)不同,我們需要朝著軟件驅(qū)動(dòng)邏輯模型發(fā)展,,在這種模型中,,我們實(shí)際上是在實(shí)時(shí)鋪設(shè)用戶(hù)可以遍歷的本地或虛擬基礎(chǔ)設(shè)施”,他解釋說(shuō),?!拔艺J(rèn)為,SDP(軟件定義邊界)方面正在非常迅速地整合,,尤其是當(dāng)我們希望利用越來(lái)越多的云服務(wù)時(shí),。DISA參與了許多原型設(shè)計(jì),對(duì)此我們感到非常興奮,?!?/section>解讀:SDP作為零信任的三大技術(shù)路線之一,在大尺度網(wǎng)云融合環(huán)境中發(fā)揮至關(guān)重要的作用,。
國(guó)防部網(wǎng)絡(luò)架構(gòu)演進(jìn)Wallace給我們展示的最后三張圖都在這里了,,它們集中反映了國(guó)防部網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)安全架構(gòu)的演變過(guò)程,。 解讀:這里的三個(gè)階段的劃分,與筆者之前關(guān)于美國(guó)國(guó)防部網(wǎng)絡(luò)安全架構(gòu)演進(jìn)三階段劃分的推測(cè)(即單一安全架構(gòu)->云安全架構(gòu)->零信任架構(gòu))是一致的,,總算是印證了筆者的推測(cè),。可參見(jiàn)《美軍網(wǎng)絡(luò)安全 | 2020年底國(guó)防部將提供零信任架構(gòu)》之“三,、理解國(guó)防部網(wǎng)絡(luò)安全架構(gòu)的演進(jìn)過(guò)程”,。這里就不詳細(xì)解釋了。 1)2010年前:以邊界為中心的封閉網(wǎng)絡(luò)圖5-2010年前:以邊界為中心的封閉網(wǎng)絡(luò) 2)2010年代:采用云技術(shù),,邊界不太明確圖6-2010年代:采用云技術(shù),,邊界不太明確 3)2020年代:云優(yōu)先,用戶(hù)/端點(diǎn)無(wú)處不在圖7-2020年代:云優(yōu)先,,用戶(hù)/端點(diǎn)無(wú)處不在 解讀:圖中的SDP環(huán),,是對(duì)國(guó)防部計(jì)劃實(shí)施零信任的最好注解。
國(guó)防信息系統(tǒng)局(DISA)雖然具有業(yè)界知名的“國(guó)防部速度”,,但它并非以迅速接受新概念,、新熱詞而聞名。實(shí)際上,,DISA一直對(duì)采用“零信任”概念,,持謹(jǐn)慎態(tài)度。早期,,DISA新興技術(shù)局局長(zhǎng)Wallace也是零信任的“懷疑論者”,,他說(shuō)“由于它典型的流行語(yǔ)特性,我一開(kāi)始就非常懷疑,?!?因?yàn)殇N(xiāo)售零信任的產(chǎn)品廠商,錯(cuò)誤地暗示零信任是一種產(chǎn)品,,可以購(gòu)買(mǎi)并安裝在客戶(hù)網(wǎng)絡(luò)上,,從而立即獲得零信任。但其實(shí)它不是,。但這種情況已經(jīng)在改變,。為什么改變主意?Wallace說(shuō),,當(dāng)他看到零信任真地運(yùn)行起來(lái),,他立即成為零信任的信徒,。Wallace說(shuō),,“我們?cè)谖骱0杜c一家供應(yīng)商會(huì)面,我不能說(shuō)是誰(shuí),,我看到他們?nèi)绾卧谧约旱幕A(chǔ)架構(gòu)中端到端地實(shí)施零信任,。他們從用戶(hù)身份,、端點(diǎn)身份、應(yīng)用程序,,全面地研究了(零信任),。他們的所作所為,給我留下了非常深刻的印象,?!?nbsp;注:筆者非常想知道,Wallace會(huì)見(jiàn)的那家供應(yīng)商究竟是誰(shuí),?Wallace接著說(shuō),,“這件事讓我開(kāi)始認(rèn)真思考:任何事都只是一個(gè)屬性(attribute)。傳統(tǒng)上,,我們只是擔(dān)心CAC(通用訪問(wèn)卡)和用戶(hù)的真實(shí)性,,但是我們不會(huì)查看會(huì)話(huà)的其他屬性,比如用戶(hù),、網(wǎng)絡(luò),、時(shí)間、設(shè)備,。我們將這些都視為屬性,。應(yīng)用程序具有其自己的屬性集。零信任成為基于屬性的訪問(wèn)決策,。多年來(lái),,我們一直在談?wù)?strong>ABAC(基于屬性的訪問(wèn)控制),通常只是圍繞用戶(hù)本身,。但是,,在我看來(lái),零信任關(guān)系到整個(gè)技術(shù)棧的屬性,?!虼耍@就是我們正在關(guān)注的重點(diǎn),。用戶(hù)訪問(wèn)給定數(shù)據(jù)集的途徑中所有事物的屬性是什么,,我們?nèi)绾螌?duì)此做出正確的決策?解讀:零信任本質(zhì)上是ABAC(基于屬性的訪問(wèn)控制),,但它又超越了ABAC,。零信任超越ABAC之處在于:零信任將屬性從用戶(hù)維度推廣到整個(gè)技術(shù)棧(包括用戶(hù)、網(wǎng)絡(luò),、設(shè)備,、應(yīng)用、數(shù)據(jù)等),。關(guān)于國(guó)防部的零信任實(shí)施計(jì)劃,,Wallace表示,,“這不是一夜之間的旅程,這是一個(gè)多年的旅程,。我們得花點(diǎn)時(shí)間才能到那里,。” “零信任沒(méi)有銀彈,,而且我們不希望有,。” “我們將盡可能在所有地方采用零信任原則,,但是要真正達(dá)到和諧零信任環(huán)境的愿景,,需要解決互操作性問(wèn)題,這將是一個(gè)挑戰(zhàn),。互操作性絕對(duì)是關(guān)鍵,。”解讀:零信任不是簡(jiǎn)單地“按動(dòng)開(kāi)關(guān)”(電燈亮了)或“扭開(kāi)龍頭”(水流出來(lái)),。銀彈(silver bullet)是銀質(zhì)子彈,,在西方傳說(shuō)中,是針對(duì)狼人等超自然怪物的特效武器,。在漢語(yǔ)中,,指靈丹妙藥或終極大殺器。(本篇完) 
|
