實(shí)施建議

基于現有國防部（DoD）的網(wǎng)絡(luò )脆弱性和未來(lái)的網(wǎng)絡(luò )需求，國防創(chuàng )新委員會(huì )（DIB）建議國防部開(kāi)始朝著(zhù)非機密互聯(lián)網(wǎng)協(xié)議路由器網(wǎng)絡(luò )（NIPRNET）和機密互聯(lián)網(wǎng)協(xié)議路由器網(wǎng)絡(luò )（SIPRNET）的零信任安全架構模型邁進(jìn)。雖然零信任的實(shí)施將是一個(gè)跨不同國防部網(wǎng)絡(luò )的迭代過(guò)程，但國防部的所有零信任工作都應努力實(shí)現以下網(wǎng)絡(luò )生態(tài)系統最終狀態(tài)：

繼續在網(wǎng)絡(luò )周邊使用邊界安全措施，但承認可能會(huì )發(fā)生網(wǎng)絡(luò )失陷。

在“最低權限訪(fǎng)問(wèn)模型”下運行，默認情況下網(wǎng)絡(luò )用戶(hù)無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò )中的任何應用程序或服務(wù)。即使未經(jīng)授權的用戶(hù)闖入網(wǎng)絡(luò )，該用戶(hù)也不能訪(fǎng)問(wèn)任何敏感數據或服務(wù)。

根據用戶(hù)的角色，在（角色）粒度級別授予訪(fǎng)問(wèn)權限（屬性包括但不限于組織、項目和許可級別）。這些屬性應跨國防部網(wǎng)絡(luò )進(jìn)行共享，以實(shí)現高效、有針對性的訪(fǎng)問(wèn)管理。

始終利用多因素認證（MFA）驗證網(wǎng)絡(luò )邊界和每個(gè)網(wǎng)絡(luò )資源的身份和訪(fǎng)問(wèn)。

監控接入國防部網(wǎng)絡(luò )的任何設備的健康狀況，以阻止失陷設備的訪(fǎng)問(wèn)，并推動(dòng)設備配置最佳實(shí)踐。

為了實(shí)現這些長(cháng)期目標，DIB已制定了近期的實(shí)施建議。ZTA要求從DevSecOps到任務(wù)系統軟件管理的網(wǎng)絡(luò )安全的整體視角，但在本文中，DIB的重點(diǎn)是國防部的認證、授權和加密方法。

這些建議的目的是作為一個(gè)共同的基準，供組織之間同步他們的零信任工作，并避免每個(gè)組織開(kāi)發(fā)多個(gè)彼此不兼容的安全架構的風(fēng)險。這些建議是對“國防部數字現代化戰略”的補充，在該戰略中，國防部首席信息官制定了一個(gè)路線(xiàn)圖，通過(guò)云、人工智能、指揮、控制和通信以及網(wǎng)絡(luò )安全等方面支持國防戰略的實(shí)施。

特別是，這些建議可用于支持數字現代化戰略的第三個(gè)目標，即“使網(wǎng)絡(luò )安全朝著(zhù)靈活和彈性的防御態(tài)勢發(fā)展”。此外，這些建議與國防部2018年網(wǎng)絡(luò )戰略相一致，該戰略側重于私營(yíng)部門(mén)的伙伴關(guān)系和網(wǎng)絡(luò )彈性。

DIB先前在一份名為“通往零信任（安全）之路”的白皮書(shū)中描述了零信任架構（ZTA）。該白皮書(shū)旨在供國防部?jì)韧獾募夹g(shù)和非技術(shù)網(wǎng)絡(luò )安全干系人使用，以提供對ZTA原則和術(shù)語(yǔ)的共同理解，以下建議旨在使決策者與國防部的技術(shù)領(lǐng)導協(xié)同工作。

DIB的白皮書(shū)列出了ZTA在網(wǎng)絡(luò )中的應用和服務(wù)級別的三個(gè)重點(diǎn)領(lǐng)域：

1.用戶(hù)身份認證

2.設備身份認證

3.“最低權限訪(fǎng)問(wèn)”授權

對于用戶(hù)身份認證，國防部人員目前使用通用訪(fǎng)問(wèn)卡（CAC），通過(guò)硬件支持的MFA，在邊界處獲得NIPRnet的訪(fǎng)問(wèn)權限。通過(guò)從通用數據庫（國防注冊資格報告系統，Defense Enrollment Eligibility Reporting System，簡(jiǎn)稱(chēng)DEERS）中提取數據，CAC在整個(gè)國防部網(wǎng)絡(luò )中得到識別。

該數據庫包括基本的相關(guān)屬性，例如人員類(lèi)別（例如，聯(lián)系人、現役人員、文職人員等）和高層級組織（例如，驅逐艦研發(fā)（OUSD R&E）、驅逐艦A&S（OUSD A&S）、陸軍中隊等）。

SIPRNet同樣依賴(lài)于使用SIPR令牌的硬件支持的MFA；與CAC一樣，SIPR令牌在SIPRNet的邊界處，使用基本屬性（如用戶(hù)名和高層級組織）授予訪(fǎng)問(wèn)權限。NIPRNet和SIPRNet都依賴(lài)域控制器來(lái)處理身份認證請求，但是很少有域控制器被聯(lián)合到一個(gè)可以為域森林提供身份認證的公共系統中。

零信任用戶(hù)身份認證系統可以利用任意數量的身份識別/標識機制，無(wú)論是CAC、SIPR令牌還是其他。不論機制如何，這些屬性最終都應該在國防部網(wǎng)絡(luò )中共享，以便在更精細的層次上創(chuàng )建用戶(hù)身份和相關(guān)屬性的通用圖片。

對于設備認證，國防部必須確保使用標準化的健康合規要求，在國防部網(wǎng)絡(luò )生態(tài)系統中對接入NIPRNet的設備進(jìn)行一致的掃描和監測。如果沒(méi)有這些措施，將很難在整個(gè)網(wǎng)絡(luò )上運行健康檢查，也將為惡意行為體提供訪(fǎng)問(wèn)網(wǎng)絡(luò )和網(wǎng)絡(luò )資源的機會(huì )。

這也會(huì )為零信任的實(shí)施制造屏障，因為它要求對尋求訪(fǎng)問(wèn)的設備進(jìn)行映射，以便在這些設備上運行健康檢查。由于與網(wǎng)絡(luò )連接的設備數量較少，SIPRNet目前比NIPRNet具有更好的網(wǎng)絡(luò )設備感知，但SIPRNet和NIPRNet都應繼續努力在國防部網(wǎng)絡(luò )生態(tài)系統中實(shí)現一致的設備管理標準。

國防部授權，目前僅在本地網(wǎng)絡(luò )級別運行，沒(méi)有與一個(gè)聯(lián)合授權源同步。同時(shí)，數據和資源沒(méi)有以允許更精確授權的粒度級別進(jìn)行標記，因此，某些網(wǎng)絡(luò )和網(wǎng)絡(luò )飛地的訪(fǎng)問(wèn)固有地包括了混雜的權限。

這一挑戰并非國防部獨有：一些大公司擁有類(lèi)似的本地管理授權結構，但通過(guò)應用商業(yè)軟件解決方案，將每個(gè)本地網(wǎng)絡(luò )的屬性輸入“翻譯”成一種公認的語(yǔ)言，成功地同步了每個(gè)本地網(wǎng)絡(luò )中的信息。類(lèi)似地，擁有大量網(wǎng)絡(luò )資源的商業(yè)公司（如Google）實(shí)現更細粒度的數據標記，以實(shí)現更精確的授權。

這三個(gè)重點(diǎn)領(lǐng)域都應該積極尋求，隨著(zhù)時(shí)間的推移，增加分配給用戶(hù)、設備、數據和應用程序的屬性的粒度。此詳細信息將允許在網(wǎng)絡(luò )資源中進(jìn)行更有針對性和目的性的數據傳輸、管理和使用，允許創(chuàng )建上下文檢查以確保用戶(hù)、設備、數據和應用程序被正確的相互映射。

每一步都有獨特的實(shí)施挑戰。以下建議為零信任領(lǐng)導和在整個(gè)國防部應用零信任原則提供了指導，使用了有針對性但可擴展的方法。

1）零信任：同步工作

建議1.1：國防部部長(cháng)辦公室應優(yōu)先考慮零信任安全架構，并支持國防部實(shí)施零信任。

國防部安全架構的現狀是不可持續的。正在進(jìn)行的安全演習已顯示出明顯的漏洞，這些漏洞只會(huì )隨著(zhù)網(wǎng)絡(luò )攻擊面的擴大而繼續增長(cháng)。然而，如果國防部不能及時(shí)做出反應，它就有陷入自身惰性的風(fēng)險。

國防部部長(cháng)辦公室可以通過(guò)明確和一致地將零信任實(shí)施列為最高優(yōu)先事項，同時(shí)明確分配實(shí)施和管理責任，在整個(gè)國防部?jì)妊杆俨扇⌒袆?dòng)。

建議1.2：國防部部長(cháng)辦公室應在國防部?jì)戎付阈湃尉W(wǎng)絡(luò )管理（“零信任管理者”）的具體職責。

如果沒(méi)有一個(gè)單獨的實(shí)體，協(xié)調各種正在進(jìn)行的零信任工作，國防部將可能繼續在松散地遵守零信任原則但不同步且無(wú)法利用通用訪(fǎng)問(wèn)規則的口袋中運作。

零信任管理者還應制定并闡明國防部網(wǎng)絡(luò )安全戰略，以包括零信任原則?；谶@一戰略，國防部可以識別并獲得符合該戰略的商業(yè)產(chǎn)品，而不是在沒(méi)有更廣泛架構視野的情況下拼湊商業(yè)產(chǎn)品。這將使國防部能夠通過(guò)創(chuàng )建一個(gè)安全產(chǎn)品獲取和實(shí)施框架，最大限度地降低成本，并提高網(wǎng)絡(luò )安全的有效性。

為了支持網(wǎng)絡(luò )安全戰略，國防部應制定一份記分卡，其中包含可以比較國防部?jì)龋ǜ骶W(wǎng)絡(luò )）相對網(wǎng)絡(luò )安全性的指標。這些指標可以包括以下項目：運行防病毒軟件的網(wǎng)絡(luò )設備的百分比、使用MFA的資源的百分比、持久管理帳戶(hù)和服務(wù)帳戶(hù)的數量等。

建議1.3：在擴展到其他網(wǎng)絡(luò )資源之前，先從關(guān)鍵網(wǎng)絡(luò )資源開(kāi)始，在這些接入點(diǎn)建立零信任原則。

無(wú)需采取“全部或全無(wú)”的方式來(lái)實(shí)現零信任。采取分階段的方式，可以鼓勵更多的組織開(kāi)始實(shí)施零信任，但這些組織最終需要零信任管理者的支持和協(xié)調，以幫助他們確定零信任的優(yōu)先級，快速地實(shí)施零信任，并與國防部其他零信任工作保持一致。

關(guān)鍵資源可以被封鎖，通過(guò)使用代理來(lái)過(guò)濾用戶(hù)和設備訪(fǎng)問(wèn)，而將遺留系統逐漸變成零信任遵從性。

建議1.4：100%加密在設備之間傳輸的數據（“傳輸數據”）或在大容量存儲器中存儲的數據（“靜止數據”），并促進(jìn)利用現有標準（例如，CNSSP 15）進(jìn)行的跨國防部的互操作加密。

數據加密將需要組織范圍內的穩健和安全的加密密鑰管理策略。

加密是零信任安全的一個(gè)關(guān)鍵組件，因為它假定網(wǎng)絡(luò )本身不可信任，網(wǎng)絡(luò )上的任何數據都必須相應地受到保護。今后，國防部還應考慮與過(guò)程/處理中數據相關(guān)的風(fēng)險，并鼓勵對該階段的數據管理進(jìn)行加密，此外還應考慮傳輸或靜止的數據。

2）用戶(hù)認證

建議2.1：使用基于CAC和SIPR令牌的方法，探索和測試更細粒度的用戶(hù)屬性（例如，工作組合和項目）的使用。

本地網(wǎng)絡(luò )可以開(kāi)發(fā)細粒度屬性，但這些屬性最終必須同步并更新到國防部范圍的管理系統。

零信任管理者必須一致地為每個(gè)參與組織，實(shí)施屬性更新和同步標準，以確保屬性管理系統跨不同網(wǎng)絡(luò )為每個(gè)用戶(hù)維護最新的屬性集。

對更細粒度屬性的訪(fǎng)問(wèn)可以是有時(shí)間限制的，這取決于用戶(hù)對該資源或數據的參與所需的時(shí)間長(cháng)度，系統管理員應能夠在分配的時(shí)間內的任何時(shí)候，根據需要快速切斷訪(fǎng)問(wèn)。

但僅當授權訪(fǎng)問(wèn)的組織流程是及時(shí)的，時(shí)間限制才是有效的。如果用戶(hù)的訪(fǎng)問(wèn)被阻止，并且重新應用和重新獲得訪(fǎng)問(wèn)的時(shí)間被禁止，用戶(hù)就不會(huì )被激勵去構建能夠提供更高訪(fǎng)問(wèn)保真度的粒度屬性。

用戶(hù)認證應該是“白癡校對”，以允許不可避免的人為錯誤（例如，不需要長(cháng)而復雜的密碼，因為人類(lèi)將不可避免地寫(xiě)下來(lái)，留在一目了然的地方）。從長(cháng)遠來(lái)看，國防部應該考慮像生物認證這樣的解決方案來(lái)降低這種風(fēng)險。

建議2.2：通過(guò)將責任交給聯(lián)合身份供應商/管理者，減輕單個(gè)本地網(wǎng)絡(luò )和網(wǎng)絡(luò )資源的認證負擔。

國防部的活動(dòng)目錄（AD）當前沒(méi)有聯(lián)合到森林中，而聯(lián)合有助于跨網(wǎng)絡(luò )同步身份認證。此功能可由第三方身份管理供應商進(jìn)行管理（對于此類(lèi)管理者，商業(yè)部門(mén)有多種選擇）。

由于網(wǎng)絡(luò )飛地之間缺乏信任，AD聯(lián)合有時(shí)會(huì )遇到猶豫（既在國防部，又在商業(yè)部門(mén)）。有些人認為聯(lián)合是一個(gè)漏洞，因為網(wǎng)絡(luò )訪(fǎng)問(wèn)經(jīng)常伴隨著(zhù)對某些網(wǎng)絡(luò )資源的自動(dòng)訪(fǎng)問(wèn)，這種考慮導致每個(gè)組織都不愿意與不需要直接訪(fǎng)問(wèn)其網(wǎng)絡(luò )的新用戶(hù)和設備連接。一旦單個(gè)飛地采取更主動(dòng)的步驟來(lái)構建細粒度的身份屬性并強制設備合規性，則AD聯(lián)合可能會(huì )更容易接受。網(wǎng)絡(luò )訪(fǎng)問(wèn)不應與網(wǎng)絡(luò )內的任何自動(dòng)資源訪(fǎng)問(wèn)相關(guān)聯(lián)，這將降低感知到的聯(lián)合風(fēng)險。

建議2.3：將常設管理職權改為臨時(shí)的、依賴(lài)任務(wù)的管理職權。

任何用戶(hù)都不應被授予“超級用戶(hù)”的廣泛、持續訪(fǎng)問(wèn)權限。用戶(hù)應在必要時(shí)接收選擇性訪(fǎng)問(wèn)，然后在用戶(hù)完成其管理任務(wù)后將其刪除。

建議2.4：投資于“分類(lèi)作為屬性”的研發(fā)和探路者，其中用戶(hù)許可級別可被用作一種檢查以授予對網(wǎng)絡(luò )資源內特定數據的訪(fǎng)問(wèn)權限。

國防部應探索將NIPRNet和SIPRNet融合到同一網(wǎng)絡(luò )上的可能性，依靠零信任原則來(lái)保護訪(fǎng)問(wèn)，并將用戶(hù)許可級別作為訪(fǎng)問(wèn)的核心屬性。NIPRNet和SIPRNet均應采用SIPRNet的邊界安全措施，以保持更高的邊界安全水平，作為進(jìn)入的初始屏障。

建議2.5：在國防部各組織之間制定一項共同戰略，將非國防部用戶(hù)（如國防承包商、盟國和沒(méi)有CAC的合作伙伴）整合到網(wǎng)絡(luò )生態(tài)系統中，將零信任原則作為用戶(hù)和設備的基線(xiàn)。

國防部已經(jīng)在研究和尋求更好地將非國防部用戶(hù)集成到國防部網(wǎng)絡(luò )中的方案，同時(shí)保持零信任安全標準（如國防部企業(yè)DevSecOps計劃）。國防部應繼續尋找在整個(gè)國防工業(yè)基地被一致應用的CAC替代方案，依靠零信任最佳實(shí)踐（例如，MFA，可根據需要快速刪除訪(fǎng)問(wèn)的有時(shí)間限制的訪(fǎng)問(wèn)）。

國防部還應繼續研究更好地將沒(méi)有美國公民身份的盟國和伙伴納入作戰行動(dòng)的方法，可以根據需要提供狹窄的、有針對性的網(wǎng)絡(luò )訪(fǎng)問(wèn)。

3）設備認證

建議3.1：一致地掃描NIPRNet和SIPRNet，以發(fā)現連接到每個(gè)網(wǎng)絡(luò )的所有設備。

國防部的零信任架構需要一個(gè)全面的設備清單，跟蹤連接到NIPRNet和SIPRNet的所有設備，類(lèi)似于DEERS數據庫跟蹤所有國防部用戶(hù)的方式。

設備掃描/管理過(guò)程可以（也應該）跨網(wǎng)絡(luò )分階段進(jìn)行，而非試圖一次性地在整個(gè)國防部實(shí)施。組織應識別其網(wǎng)絡(luò )上的高價(jià)值資產(chǎn)，并專(zhuān)注于掃描/管理連接到這些資產(chǎn)的設備。

掃描和監控連接到網(wǎng)絡(luò )的設備，以識別不健康/不合規的設備，然后切斷其訪(fǎng)問(wèn)或完全移除設備。

建議3.2：確保一致和健壯的跨網(wǎng)絡(luò )和網(wǎng)絡(luò )飛地的設備使用日志記錄，以檢測特定設備上的用戶(hù)行為模式，并標記行為中的異常以供管理員監控。

網(wǎng)絡(luò )流量和網(wǎng)絡(luò )上用戶(hù)/設備行為的日志和監控，應在國防部范圍內標準化。這將提供對網(wǎng)絡(luò )映射的更好理解，并使識別可能指示對網(wǎng)絡(luò )資源的未經(jīng)許可訪(fǎng)問(wèn)的異常行為變得更加容易。

建議3.3：以SIPRNet為基礎，構建“以便攜為中心”的設備管理（專(zhuān)注于移動(dòng)電話(huà)、筆記本電腦等）。應要求便攜式網(wǎng)絡(luò )設備滿(mǎn)足健康和配置合規性要求，這些標準最終也應適用于非便攜式設備。

目前與SIPRNet網(wǎng)絡(luò )相關(guān)的便攜式設備數量有限。這提供了一個(gè)“空白板”，以對添加到網(wǎng)絡(luò )中的任何新便攜式設備強制要求合規性，同時(shí)也鼓勵整個(gè)網(wǎng)絡(luò )減少對作為安全源頭的封閉物理位置的依賴(lài)。作為這項工作的一部分，所有的便攜式設備都應該被要求對靜止和傳輸中的數據進(jìn)行加密。

國防部最終應更廣泛地應用該“便攜性”模型，以便所有設備（如臺式機）具有相同的合規性要求，無(wú)論是否便攜。

建議3.4：確保國防部在其整個(gè)網(wǎng)絡(luò )中定期和一致地進(jìn)行設備健康檢查，利用現有的商業(yè)解決方案來(lái)監控設備的合規性，并在未符合合規性的情況下驅動(dòng)設備重新配置。

各種各樣的商業(yè)解決方案可以解決這個(gè)挑戰，例如殺毒軟件。國防部應該能夠以最小化改動(dòng)來(lái)應用商業(yè)解決方案。

商業(yè)解決方案將有助于識別不健康/不合規的設備。這些設備要么在合規之前被切斷，要么被完全移除。這種“遵從連接”（C2C，Comply to Connect）的方法已經(jīng)在國防部范圍進(jìn)行了探索，但需要強制實(shí)施，以提供網(wǎng)絡(luò )安全的基線(xiàn)。

除了在接收到訪(fǎng)問(wèn)請求時(shí)檢查設備健康狀況外，網(wǎng)絡(luò )還應定期運行設備健康檢查，以維持安全基線(xiàn)。檢查的速度越快越好。

4）“最小權限訪(fǎng)問(wèn)”授權

建議4.1：部署現有的商業(yè)解決方案，以將本地網(wǎng)絡(luò )屬性輸入轉換為單一聯(lián)合授權源。

建議4.2：在國防部網(wǎng)絡(luò )中以更精細的級別標記數據和資源，以便對請求訪(fǎng)問(wèn)的用戶(hù)和設備進(jìn)行更精確的授權，從而限制雜亂的權限。

國防數字服務(wù)（DDS，Defense Digital Service）目前正在設計零信任“包裝器”（ wrappers），可以放置在網(wǎng)絡(luò )資源周?chē)?，以更有針對性的方式運行身份認證和授權。零信任管理者應與DDS協(xié)調，以驗證這一概念，并考慮在國防部范圍廣泛部署的實(shí)施步驟。

建議4.3：將用戶(hù)和設備的位置與授權解耦。連接點(diǎn)不應驅動(dòng)訪(fǎng)問(wèn)（例如，五角大樓的連接不應提供超出基本互聯(lián)網(wǎng)連接以外的任何自動(dòng)訪(fǎng)問(wèn)）。

相反，除了對設備配置合規性和加密標準進(jìn)行基本檢查外，訪(fǎng)問(wèn)應在很大程度上取決于用戶(hù)和設備的身份屬性。

來(lái)源：信息安全與通信保密雜志社