零信任和安全架構(gòu)傳道者。專注于解析國外先進(jìn)網(wǎng)絡(luò)安全體系，為國內(nèi)軍政企首席安全官提供參考。帳號主體為柯善學(xué)博士，現(xiàn)任職360研發(fā)中心。自2020年7月起，本訂閱號只做原創(chuàng)，其中文章觀點(diǎn)，不代表所在公司立場。謝謝關(guān)注！

　　零信任硬幣的一面是訪問控制和身份管理，硬幣的另一面是主機(jī)微分段。前者本質(zhì)上仍是由外到內(nèi)的方法，而后者則是由內(nèi)到外的方法。兩者雖然都要解決訪問問題，但前者是從用戶角度來看，而后者則是從應(yīng)用程序和工作負(fù)載的角度來看。

　　實(shí)現(xiàn)國防部零信任網(wǎng)絡(luò)安全框架的目標(biāo)，是一個多階段的過程。在實(shí)現(xiàn)了訪問控制和身份管理等基本階段后，國防部可能開始向零信任的中高級階段邁進(jìn)，即更加以數(shù)據(jù)為中心的安全方法。

　　訪問控制永遠(yuǎn)是至關(guān)重要的，但它只是零信任旅程中重要的第一步。SolarWinds復(fù)雜網(wǎng)絡(luò)攻擊事件為美國國防部加速向零信任的中高級階段邁進(jìn)，提供了更具說服力的理由。

　　本文是《Illumio六部曲》系列的第5篇，重點(diǎn)揭示了美國國防部零信任與主機(jī)微分段技術(shù)的關(guān)系。

　　從本文的邏輯看，在統(tǒng)領(lǐng)零信任框架方面，Gartner的零信任網(wǎng)絡(luò)訪問（ZTNA）的確是不完整的，而Forrester的零信任生態(tài)擴(kuò)展（ZTX）框架顯然更勝一籌。

　　目  錄

　　1. 零信任硬幣的兩面

　　1）零信任的兩種視角

　　2）硬幣的一面是訪問控制和身份管理

　　3）硬幣的另一面是主機(jī)微分段

　　2. 為何要重視主機(jī)微分段

　　1）實(shí)現(xiàn)微分段的三種途徑辨析

　　2）兩種零信任視角的對比

　　3. 國防部零信任的兩個階段

　　1）國防部零信任的基本階段

　　2）國防部零信任的中高級階段

　　3）現(xiàn)實(shí)示例：用事實(shí)說話

　　4）讓兩種方法并駕齊驅(qū)

　　一、零信任硬幣的兩面

　　01  零信任的兩種視角

　　NIST SP 800-207（零信任架構(gòu)指南）指出，“零信任是一套不斷發(fā)展的網(wǎng)絡(luò)安全模式的術(shù)語，它將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界，轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源上?！?nbsp; 筆者認(rèn)為，這里的“用戶、資產(chǎn)和資源”應(yīng)該被分解為兩部分：一是用戶（訪問）；二是資產(chǎn)和資源。因?yàn)閮烧邔?yīng)于不同的視角。

　　我們知道，最小權(quán)限訪問是零信任的核心。這表明，國防部需改變傳統(tǒng)的“允許所有訪問、拒絕指定訪問”的理念，轉(zhuǎn)向“拒絕所有訪問、允許指定訪問”的原則。

　　問題的關(guān)鍵在于，對于所有這些訪問：一方面是從用戶角度來看；另一方面是從應(yīng)用程序和工作負(fù)載的角度來看。

　　顯然，美國聯(lián)邦政府和國防部已經(jīng)在致力于改善零信任的用戶訪問；然而，在一個零信任環(huán)境中，關(guān)注點(diǎn)正在逐漸轉(zhuǎn)移到保護(hù)其資產(chǎn)和資源上。

　　02  硬幣的一面是訪問控制和身份管理

　　美國聯(lián)邦政府和國防部已經(jīng)開始認(rèn)真考慮零信任。而且零信任的一個重要方面，即關(guān)于零信任網(wǎng)絡(luò)訪問（ZTNA，Zero Trust Network Access）的初步工作已經(jīng)完成。

　　然而，這主要還是一種由外到內(nèi)（outside-in）實(shí)現(xiàn)零信任的方法。

　　03  硬幣的另一面是主機(jī)微分段

　　零信任更加重要的一個方面，與應(yīng)用程序和工作負(fù)載的連接有關(guān)。而這正是攻擊者的目標(biāo)所在，但目前聯(lián)邦政府和國防部在這一方面還沒有得到足夠保護(hù)。

　　零信任的“另一面”，即基于主機(jī)的微分段方法，將帶來由內(nèi)到外（inside-out）的更高安全性，并將阻止惡意軟件的橫向移動。

　　NIST SP 800-207專門將微分段定義為在一個或多個端點(diǎn)資產(chǎn)上使用軟件代理或防火墻。這些網(wǎng)關(guān)設(shè)備動態(tài)地向來自客戶端、資產(chǎn)或服務(wù)的單個請求授予訪問權(quán)限。而這也是在《2020財年FISMA首席信息官指標(biāo)》報告中專門提出的保護(hù)高價值資產(chǎn)（HVA）的最佳方式。

　　二、為何要重視主機(jī)微分段

　　01  實(shí)現(xiàn)微分段的三種途徑辨析

　　因?yàn)榱阈湃蔚暮诵氖亲钚?quán)限的概念，所以如果發(fā)生失陷，則失陷理應(yīng)被鎖定在一臺服務(wù)器、工作負(fù)載或筆記本電腦上。這是實(shí)現(xiàn)零信任的由內(nèi)到外的方法。

　　從系統(tǒng)架構(gòu)的角度來看，這種零信任的方法可以通過三種方式實(shí)現(xiàn)：軟件定義網(wǎng)絡(luò)（SDN）、網(wǎng)絡(luò)防火墻、基于主機(jī)的微分段。

　　1）SDN或網(wǎng)絡(luò)虛擬化方法：是實(shí)施強(qiáng)制執(zhí)行的一個弱安全選項(xiàng)，因?yàn)樗P(guān)注網(wǎng)絡(luò)安全并使用自由形式的標(biāo)記和標(biāo)簽結(jié)構(gòu)。由于在管理用于標(biāo)識工作負(fù)載的元數(shù)據(jù)方面缺乏治理，使得管理和提供策略變得困難。跟蹤IP地址會增加復(fù)雜性并阻止規(guī)模的擴(kuò)展。它還需要一個完整的網(wǎng)絡(luò)升級，并且是昂貴的。記?。篠DN中的“N”代表網(wǎng)絡(luò)。因此，任何SDN控制器部署的任何分段，都是一種以網(wǎng)絡(luò)為中心的方法，都被實(shí)現(xiàn)為聚焦網(wǎng)絡(luò)挑戰(zhàn)，而非主機(jī)挑戰(zhàn)。

　　2）網(wǎng)絡(luò)防火墻方法：為了控制東西向流量的移動，需要部署額外的防火墻。然而，硬件防火墻太“硬”了，缺乏靈活性。而對于內(nèi)部/數(shù)據(jù)中心防火墻，當(dāng)環(huán)境被虛擬化和高度自動化時，要想跟蹤區(qū)域、子網(wǎng)、IP地址、規(guī)則順序，也變得相當(dāng)笨拙和困難。隨著環(huán)境變得更加復(fù)雜，在防火墻規(guī)則變更期間中斷應(yīng)用程序的可能性也會增加。與SDN方法類似，應(yīng)用程序到應(yīng)用程序的流量缺乏可見性，大型部署可能很昂貴，并且這仍然是一種以網(wǎng)絡(luò)為中心的方法。

　　3）基于主機(jī)的微分段方法：是對駐留在每個主機(jī)中的本機(jī)狀態(tài)防火墻進(jìn)行編程。從本質(zhì)上講，關(guān)注應(yīng)用程序，可以將分段與網(wǎng)絡(luò)架構(gòu)解耦。它部署簡單，易于擴(kuò)展，成本較低，可以在任何架構(gòu)中推出，包括云、容器、混合和裸機(jī)。它可以與防火墻、負(fù)載均衡器、網(wǎng)絡(luò)交換機(jī)等異構(gòu)硬件資產(chǎn)協(xié)同工作，并提供實(shí)時應(yīng)用程序和工作負(fù)載依賴關(guān)系圖。首席信息官和首席信息安全官終于頭一回可以看到，他們的應(yīng)用程序和工作負(fù)載在做什么。

　　02  兩種零信任視角的對比

　　用戶采取何種角度/路線來實(shí)現(xiàn)零信任架構(gòu)，將決定其實(shí)現(xiàn)的難易程度。

　　如果用戶可以實(shí)時創(chuàng)建應(yīng)用程序和工作負(fù)載地圖時，則他們可以顯著降低零信任的實(shí)施復(fù)雜性。因?yàn)?，正確地創(chuàng)建一個基準(zhǔn)應(yīng)用程序和工作負(fù)載依賴關(guān)系圖，對于在整個機(jī)構(gòu)的計算體系架構(gòu)中嵌入安全性非常重要。用戶得以查看應(yīng)用到應(yīng)用和工作負(fù)載的流量，以便正確分段。

　　雖然，零信任需要強(qiáng)大的身份管理工具；但用戶還需要對工作負(fù)載和應(yīng)用程序進(jìn)行分段，以防止可能嚴(yán)重影響機(jī)構(gòu)或任務(wù)的非法橫向移動。

　　兩種不同的方法：用戶到應(yīng)用和設(shè)備到應(yīng)用的流量監(jiān)控，需要對憑證托管、強(qiáng)身份驗(yàn)證、身份管理的顯著依賴關(guān)系；而機(jī)器到機(jī)器或工作負(fù)載到工作負(fù)載的連接，通常是基于API的，需要不同的方法。

　　兩面可以同時進(jìn)行。憑證依賴于網(wǎng)絡(luò)安全；強(qiáng)制執(zhí)行策略則側(cè)重于應(yīng)用程序安全，而應(yīng)用程序安全并不需要網(wǎng)絡(luò)。所以，事實(shí)上，零信任硬幣的兩面都可以同時進(jìn)行。

　　零信任的前進(jìn)之路意味著，過去對網(wǎng)絡(luò)邊界的強(qiáng)調(diào)，必須由對用戶、數(shù)據(jù)、應(yīng)用程序的更加重視所取代。

　　更進(jìn)一步講，采用由內(nèi)到外（inside-out）的方式保障高價值資產(chǎn)，是啟動零信任試點(diǎn)項(xiàng)目的最審慎的方式。這個建議，與2019年11月國土安全部發(fā)布微分段作為CDM（持續(xù)診斷和緩解）計劃的推薦能力，是一致的。

　　三、美國國防部零信任的兩個階段

　　01  國防部零信任的基本階段

　　實(shí)現(xiàn)零信任愿景，是一個多階段的努力。美國國防信息系統(tǒng)局（DISA）和國家安全局（NSA）正在合作開發(fā)零信任參考架構(gòu)，也在建立新的零信任實(shí)驗(yàn)室。

　　如果詢問美國聯(lián)邦和國防部IT部門的人“零信任意味著什么”，你可能會聽說它是關(guān)于訪問控制的：即在沒有首先驗(yàn)證用戶或設(shè)備的情況下，決不允許訪問任何系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)，即便用戶是內(nèi)部人士。

　　在國防信息系統(tǒng)局（DISA）對零信任的解釋清單上，排名第一的術(shù)語是“從不信任、始終驗(yàn)證”，緊隨其后的是“始終假設(shè)網(wǎng)絡(luò)環(huán)境中已經(jīng)存在對手”和“顯式驗(yàn)證”。這些都對應(yīng)于國防部零信任成熟度模型的基本階段。

　　基本階段，即訪問控制和身份管理，確實(shí)是零信任的第一個重要組成部分，國防部正在積極開展這項(xiàng)工作。目前，美國陸軍、空軍、海軍、DISA都有一些試點(diǎn)項(xiàng)目在進(jìn)行中，這些項(xiàng)目側(cè)重于從外到內(nèi)（outside-in）的零信任，其重點(diǎn)是使用零信任網(wǎng)絡(luò)訪問（ZTNA）方法，來升級身份管理和用戶憑證。然而，ZTNA并不顯示工作負(fù)載到工作負(fù)載的連接和數(shù)據(jù)流。這些工作只能說明問題的一半。

　　在之前的《美國國防部零信任的支柱》和《美軍網(wǎng)絡(luò)安全 | 用零信任替代中間層安全？》中，介紹過國防部的零信任建設(shè)思路，的確主要是以身份管理和SDP為主的。

　　02  國防部零信任的中高級階段

　　國防部零信任之旅并沒有就此結(jié)束。國防部（DoD）和國土安全部（DHS）網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）的官員在2月說，要針對SolarWinds攻擊中使用的復(fù)雜網(wǎng)絡(luò)攻擊建立真正有效的防御措施，需要進(jìn)一步采用零信任安全。該事件也為美國國防部加速向零信任的中高級階段邁進(jìn)，提供了一個更具說服力的理由。

　　再者，美國國防部一直尋求，在無需購買新設(shè)備的條件下，利用零信任來改善網(wǎng)絡(luò)安全，而基于主機(jī)的微分段，通過允許代理來編程本地防火墻，使得國防部的安全思路成為可能。

　　另外，國防部的數(shù)字現(xiàn)代化戰(zhàn)略（DMS，Digital Modernization Strategy）已將“將數(shù)據(jù)視為戰(zhàn)略資產(chǎn)”作為其主要目標(biāo)之一，國防部最近發(fā)布了一份單獨(dú)的《國防部數(shù)據(jù)戰(zhàn)略》，將“數(shù)據(jù)治理”列為實(shí)施該戰(zhàn)略的第一步。應(yīng)用層即第七層，是零信任的核心，它涉及應(yīng)用程序和以數(shù)據(jù)為中心的安全性。

　　把零信任的基本階段（身份/訪問控制）想象成一個類似于保護(hù)一個房子的前門，甚至可能是從一個房間通向另一個房間的內(nèi)門。你要確保每個進(jìn)入者都經(jīng)過驗(yàn)證和認(rèn)證，即使他們想從家里進(jìn)入另一個房間。

　　但是前門并不是唯一的入口。還有側(cè)門、后門、地下室的門、各種窗戶，也需要保護(hù)。對于這些門窗，主要關(guān)注的應(yīng)該是數(shù)據(jù)。國防部IT人員需要確保他們能夠通過多云/多應(yīng)用程序可見性以及對進(jìn)出側(cè)門和后門的任何數(shù)據(jù)進(jìn)行命令和控制，以了解所有門窗的活動。如果沒有這些控制，數(shù)據(jù)可能會泄漏，從而暴露敏感信息。

　　上一任DISA局長、美國海軍中將Nancy Norton曾說，“零信任將影響我們網(wǎng)絡(luò)領(lǐng)域的每一個領(lǐng)域，允許我們通過關(guān)閉船上的每個隔間來更好地保護(hù)我們的數(shù)據(jù)?！?要做到這些，顯然需要超越訪問控制或只保護(hù)前門。

　　隨著國防部向零信任成熟度模型的中級和高級階段邁進(jìn)，確保其成功的關(guān)鍵能力包括：對多云環(huán)境的完全可見性；用于評估用戶行為的安全分析；針對已批準(zhǔn)應(yīng)用程序、未經(jīng)批準(zhǔn)應(yīng)用程序、和更重要的國防部編寫的任務(wù)應(yīng)用程序的高級數(shù)據(jù)保護(hù)的動態(tài)策略執(zhí)行；在混合云環(huán)境中自動化和編排的威脅檢測。

　　03  現(xiàn)實(shí)示例：用事實(shí)說話

　　上面說了一堆大道理和邏輯，現(xiàn)在讓我們舉幾個現(xiàn)實(shí)中的例子。

　　眾所周知，在疫情大流行期間，云的使用率和威脅情況都急劇上升。國防部在短短幾個月內(nèi)就向一百多萬用戶部署了商用虛擬遠(yuǎn)程（CVR）云生產(chǎn)力工具，并在2020年迅速擴(kuò)大了他們的云使用量。最近的一份報告發(fā)現(xiàn)，2020年前4個月里，來自非托管設(shè)備的云使用量翻了一番，而針對云帳戶的外部攻擊則增加了6倍以上。因此，通過保護(hù)前門以外的安全來保護(hù)數(shù)據(jù)尤其重要，因?yàn)閲啦康脑S多人都在遠(yuǎn)程環(huán)境中工作，從多個云環(huán)境和混合云環(huán)境訪問數(shù)據(jù)和應(yīng)用程序。

　　假設(shè)某個軍種成員正在個人計算設(shè)備上工作，而不是通過該部門的VPN，并且希望通過云服務(wù)Microsoft Teams訪問一個應(yīng)用程序。雖然該部門有與Microsoft Teams的安全連接，但應(yīng)用程序插件可能由另一個云提供商托管，它可能是安全的，但也可能不安全。這種云到云的連接，打開了一個洞、一扇側(cè)門，需要被鎖上以防止敏感數(shù)據(jù)暴露。訪問控制無助于這種情況；這是統(tǒng)一云策略數(shù)據(jù)保護(hù)的角色。

　　讓我們舉一個更具技術(shù)性的后門例子。Open S3（簡單存儲服務(wù)）數(shù)據(jù)桶是最近數(shù)據(jù)泄露的罪魁禍?zhǔn)?，因?yàn)楫?dāng)配置錯誤時，可能導(dǎo)致數(shù)據(jù)泄漏。一個開放的數(shù)據(jù)桶，就像是一個沒有安全保護(hù)的后門。S3桶可以設(shè)置為公開或者私有，可能出現(xiàn)錯誤的設(shè)置，尤其是當(dāng)技術(shù)人員過度工作和跨企業(yè)管理多個桶時。選擇錯誤的設(shè)置，將會意外地向公眾打開這扇后門。同樣，訪問控制和身份管理不能解決這個問題，但是中間階段的多云數(shù)據(jù)保護(hù)解決方案可以解決這個問題。

　　04  讓兩種方法并駕齊驅(qū)

　　實(shí)現(xiàn)國防部零信任網(wǎng)絡(luò)安全框架的目標(biāo)，是一個多階段的過程。計劃推出的DISA/NSA零信任參考架構(gòu)將有助于國防部更好地前進(jìn)。在實(shí)現(xiàn)了訪問控制、身份管理、從端點(diǎn)到云端的數(shù)據(jù)流加密等基本階段后，國防部可能開始向零信任的中高級階段邁進(jìn)。

　　初期行動正在從身份管理或ZTNA的角度展開；然而，下一步需要更多地關(guān)注由內(nèi)到外的方法，即一種基于主機(jī)的微分段方法，來實(shí)現(xiàn)零信任。這樣做將有助于防止橫向移動的蔓延，利用現(xiàn)有設(shè)備改善國防部機(jī)構(gòu)或司令部的網(wǎng)絡(luò)安全態(tài)勢，并提供前所未有的實(shí)時可見性地圖。

　　總之，要以零信任方式關(guān)閉國防部的所有網(wǎng)絡(luò)門窗。零信任硬幣的兩面可以同時進(jìn)行，也應(yīng)該并駕齊驅(qū)。