零信任和安全架構(gòu)傳道者。專注于解析國(guó)外先進(jìn)網(wǎng)絡(luò)安全體系，為國(guó)內(nèi)軍政企首席安全官提供參考。帳號(hào)主體為柯善學(xué)博士，現(xiàn)任職360研發(fā)中心。自2020年7月起，本訂閱號(hào)只做原創(chuàng)，其中文章觀點(diǎn)，不代表所在公司立場(chǎng)。謝謝關(guān)注！

　　零信任硬幣的一面是訪問(wèn)控制和身份管理，硬幣的另一面是主機(jī)微分段。前者本質(zhì)上仍是由外到內(nèi)的方法，而后者則是由內(nèi)到外的方法。兩者雖然都要解決訪問(wèn)問(wèn)題，但前者是從用戶角度來(lái)看，而后者則是從應(yīng)用程序和工作負(fù)載的角度來(lái)看。

　　實(shí)現(xiàn)國(guó)防部零信任網(wǎng)絡(luò)安全框架的目標(biāo)，是一個(gè)多階段的過(guò)程。在實(shí)現(xiàn)了訪問(wèn)控制和身份管理等基本階段后，國(guó)防部可能開(kāi)始向零信任的中高級(jí)階段邁進(jìn)，即更加以數(shù)據(jù)為中心的安全方法。

　　訪問(wèn)控制永遠(yuǎn)是至關(guān)重要的，但它只是零信任旅程中重要的第一步。SolarWinds復(fù)雜網(wǎng)絡(luò)攻擊事件為美國(guó)國(guó)防部加速向零信任的中高級(jí)階段邁進(jìn)，提供了更具說(shuō)服力的理由。

　　本文是《Illumio六部曲》系列的第5篇，重點(diǎn)揭示了美國(guó)國(guó)防部零信任與主機(jī)微分段技術(shù)的關(guān)系。

　　從本文的邏輯看，在統(tǒng)領(lǐng)零信任框架方面，Gartner的零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）的確是不完整的，而Forrester的零信任生態(tài)擴(kuò)展（ZTX）框架顯然更勝一籌。

　　目  錄

　　1. 零信任硬幣的兩面

　　1）零信任的兩種視角

　　2）硬幣的一面是訪問(wèn)控制和身份管理

　　3）硬幣的另一面是主機(jī)微分段

　　2. 為何要重視主機(jī)微分段

　　1）實(shí)現(xiàn)微分段的三種途徑辨析

　　2）兩種零信任視角的對(duì)比

　　3. 國(guó)防部零信任的兩個(gè)階段

　　1）國(guó)防部零信任的基本階段

　　2）國(guó)防部零信任的中高級(jí)階段

　　3）現(xiàn)實(shí)示例：用事實(shí)說(shuō)話

　　4）讓兩種方法并駕齊驅(qū)

　　一、零信任硬幣的兩面

　　01  零信任的兩種視角

　　NIST SP 800-207（零信任架構(gòu)指南）指出，“零信任是一套不斷發(fā)展的網(wǎng)絡(luò)安全模式的術(shù)語(yǔ)，它將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界，轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源上。”  筆者認(rèn)為，這里的“用戶、資產(chǎn)和資源”應(yīng)該被分解為兩部分：一是用戶（訪問(wèn)）；二是資產(chǎn)和資源。因?yàn)閮烧邔?duì)應(yīng)于不同的視角。

　　我們知道，最小權(quán)限訪問(wèn)是零信任的核心。這表明，國(guó)防部需改變傳統(tǒng)的“允許所有訪問(wèn)、拒絕指定訪問(wèn)”的理念，轉(zhuǎn)向“拒絕所有訪問(wèn)、允許指定訪問(wèn)”的原則。

　　問(wèn)題的關(guān)鍵在于，對(duì)于所有這些訪問(wèn)：一方面是從用戶角度來(lái)看；另一方面是從應(yīng)用程序和工作負(fù)載的角度來(lái)看。

　　顯然，美國(guó)聯(lián)邦政府和國(guó)防部已經(jīng)在致力于改善零信任的用戶訪問(wèn)；然而，在一個(gè)零信任環(huán)境中，關(guān)注點(diǎn)正在逐漸轉(zhuǎn)移到保護(hù)其資產(chǎn)和資源上。

　　02  硬幣的一面是訪問(wèn)控制和身份管理

　　美國(guó)聯(lián)邦政府和國(guó)防部已經(jīng)開(kāi)始認(rèn)真考慮零信任。而且零信任的一個(gè)重要方面，即關(guān)于零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA，Zero Trust Network Access）的初步工作已經(jīng)完成。

　　然而，這主要還是一種由外到內(nèi)（outside-in）實(shí)現(xiàn)零信任的方法。

　　03  硬幣的另一面是主機(jī)微分段

　　零信任更加重要的一個(gè)方面，與應(yīng)用程序和工作負(fù)載的連接有關(guān)。而這正是攻擊者的目標(biāo)所在，但目前聯(lián)邦政府和國(guó)防部在這一方面還沒(méi)有得到足夠保護(hù)。

　　零信任的“另一面”，即基于主機(jī)的微分段方法，將帶來(lái)由內(nèi)到外（inside-out）的更高安全性，并將阻止惡意軟件的橫向移動(dòng)。

　　NIST SP 800-207專門(mén)將微分段定義為在一個(gè)或多個(gè)端點(diǎn)資產(chǎn)上使用軟件代理或防火墻。這些網(wǎng)關(guān)設(shè)備動(dòng)態(tài)地向來(lái)自客戶端、資產(chǎn)或服務(wù)的單個(gè)請(qǐng)求授予訪問(wèn)權(quán)限。而這也是在《2020財(cái)年FISMA首席信息官指標(biāo)》報(bào)告中專門(mén)提出的保護(hù)高價(jià)值資產(chǎn)（HVA）的最佳方式。

　　二、為何要重視主機(jī)微分段

　　01  實(shí)現(xiàn)微分段的三種途徑辨析

　　因?yàn)榱阈湃蔚暮诵氖亲钚?quán)限的概念，所以如果發(fā)生失陷，則失陷理應(yīng)被鎖定在一臺(tái)服務(wù)器、工作負(fù)載或筆記本電腦上。這是實(shí)現(xiàn)零信任的由內(nèi)到外的方法。

　　從系統(tǒng)架構(gòu)的角度來(lái)看，這種零信任的方法可以通過(guò)三種方式實(shí)現(xiàn)：軟件定義網(wǎng)絡(luò)（SDN）、網(wǎng)絡(luò)防火墻、基于主機(jī)的微分段。

　　1）SDN或網(wǎng)絡(luò)虛擬化方法：是實(shí)施強(qiáng)制執(zhí)行的一個(gè)弱安全選項(xiàng)，因?yàn)樗P(guān)注網(wǎng)絡(luò)安全并使用自由形式的標(biāo)記和標(biāo)簽結(jié)構(gòu)。由于在管理用于標(biāo)識(shí)工作負(fù)載的元數(shù)據(jù)方面缺乏治理，使得管理和提供策略變得困難。跟蹤IP地址會(huì)增加復(fù)雜性并阻止規(guī)模的擴(kuò)展。它還需要一個(gè)完整的網(wǎng)絡(luò)升級(jí)，并且是昂貴的。記?。篠DN中的“N”代表網(wǎng)絡(luò)。因此，任何SDN控制器部署的任何分段，都是一種以網(wǎng)絡(luò)為中心的方法，都被實(shí)現(xiàn)為聚焦網(wǎng)絡(luò)挑戰(zhàn)，而非主機(jī)挑戰(zhàn)。

　　2）網(wǎng)絡(luò)防火墻方法：為了控制東西向流量的移動(dòng)，需要部署額外的防火墻。然而，硬件防火墻太“硬”了，缺乏靈活性。而對(duì)于內(nèi)部/數(shù)據(jù)中心防火墻，當(dāng)環(huán)境被虛擬化和高度自動(dòng)化時(shí)，要想跟蹤區(qū)域、子網(wǎng)、IP地址、規(guī)則順序，也變得相當(dāng)笨拙和困難。隨著環(huán)境變得更加復(fù)雜，在防火墻規(guī)則變更期間中斷應(yīng)用程序的可能性也會(huì)增加。與SDN方法類似，應(yīng)用程序到應(yīng)用程序的流量缺乏可見(jiàn)性，大型部署可能很昂貴，并且這仍然是一種以網(wǎng)絡(luò)為中心的方法。

　　3）基于主機(jī)的微分段方法：是對(duì)駐留在每個(gè)主機(jī)中的本機(jī)狀態(tài)防火墻進(jìn)行編程。從本質(zhì)上講，關(guān)注應(yīng)用程序，可以將分段與網(wǎng)絡(luò)架構(gòu)解耦。它部署簡(jiǎn)單，易于擴(kuò)展，成本較低，可以在任何架構(gòu)中推出，包括云、容器、混合和裸機(jī)。它可以與防火墻、負(fù)載均衡器、網(wǎng)絡(luò)交換機(jī)等異構(gòu)硬件資產(chǎn)協(xié)同工作，并提供實(shí)時(shí)應(yīng)用程序和工作負(fù)載依賴關(guān)系圖。首席信息官和首席信息安全官終于頭一回可以看到，他們的應(yīng)用程序和工作負(fù)載在做什么。

　　02  兩種零信任視角的對(duì)比

　　用戶采取何種角度/路線來(lái)實(shí)現(xiàn)零信任架構(gòu)，將決定其實(shí)現(xiàn)的難易程度。

　　如果用戶可以實(shí)時(shí)創(chuàng)建應(yīng)用程序和工作負(fù)載地圖時(shí)，則他們可以顯著降低零信任的實(shí)施復(fù)雜性。因?yàn)椋_地創(chuàng)建一個(gè)基準(zhǔn)應(yīng)用程序和工作負(fù)載依賴關(guān)系圖，對(duì)于在整個(gè)機(jī)構(gòu)的計(jì)算體系架構(gòu)中嵌入安全性非常重要。用戶得以查看應(yīng)用到應(yīng)用和工作負(fù)載的流量，以便正確分段。

　　雖然，零信任需要強(qiáng)大的身份管理工具；但用戶還需要對(duì)工作負(fù)載和應(yīng)用程序進(jìn)行分段，以防止可能?chē)?yán)重影響機(jī)構(gòu)或任務(wù)的非法橫向移動(dòng)。

　　兩種不同的方法：用戶到應(yīng)用和設(shè)備到應(yīng)用的流量監(jiān)控，需要對(duì)憑證托管、強(qiáng)身份驗(yàn)證、身份管理的顯著依賴關(guān)系；而機(jī)器到機(jī)器或工作負(fù)載到工作負(fù)載的連接，通常是基于API的，需要不同的方法。

　　兩面可以同時(shí)進(jìn)行。憑證依賴于網(wǎng)絡(luò)安全；強(qiáng)制執(zhí)行策略則側(cè)重于應(yīng)用程序安全，而應(yīng)用程序安全并不需要網(wǎng)絡(luò)。所以，事實(shí)上，零信任硬幣的兩面都可以同時(shí)進(jìn)行。

　　零信任的前進(jìn)之路意味著，過(guò)去對(duì)網(wǎng)絡(luò)邊界的強(qiáng)調(diào)，必須由對(duì)用戶、數(shù)據(jù)、應(yīng)用程序的更加重視所取代。

　　更進(jìn)一步講，采用由內(nèi)到外（inside-out）的方式保障高價(jià)值資產(chǎn)，是啟動(dòng)零信任試點(diǎn)項(xiàng)目的最審慎的方式。這個(gè)建議，與2019年11月國(guó)土安全部發(fā)布微分段作為CDM（持續(xù)診斷和緩解）計(jì)劃的推薦能力，是一致的。

　　三、美國(guó)國(guó)防部零信任的兩個(gè)階段

　　01  國(guó)防部零信任的基本階段

　　實(shí)現(xiàn)零信任愿景，是一個(gè)多階段的努力。美國(guó)國(guó)防信息系統(tǒng)局（DISA）和國(guó)家安全局（NSA）正在合作開(kāi)發(fā)零信任參考架構(gòu)，也在建立新的零信任實(shí)驗(yàn)室。

　　如果詢問(wèn)美國(guó)聯(lián)邦和國(guó)防部IT部門(mén)的人“零信任意味著什么”，你可能會(huì)聽(tīng)說(shuō)它是關(guān)于訪問(wèn)控制的：即在沒(méi)有首先驗(yàn)證用戶或設(shè)備的情況下，決不允許訪問(wèn)任何系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)，即便用戶是內(nèi)部人士。

　　在國(guó)防信息系統(tǒng)局（DISA）對(duì)零信任的解釋清單上，排名第一的術(shù)語(yǔ)是“從不信任、始終驗(yàn)證”，緊隨其后的是“始終假設(shè)網(wǎng)絡(luò)環(huán)境中已經(jīng)存在對(duì)手”和“顯式驗(yàn)證”。這些都對(duì)應(yīng)于國(guó)防部零信任成熟度模型的基本階段。

　　基本階段，即訪問(wèn)控制和身份管理，確實(shí)是零信任的第一個(gè)重要組成部分，國(guó)防部正在積極開(kāi)展這項(xiàng)工作。目前，美國(guó)陸軍、空軍、海軍、DISA都有一些試點(diǎn)項(xiàng)目在進(jìn)行中，這些項(xiàng)目側(cè)重于從外到內(nèi)（outside-in）的零信任，其重點(diǎn)是使用零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）方法，來(lái)升級(jí)身份管理和用戶憑證。然而，ZTNA并不顯示工作負(fù)載到工作負(fù)載的連接和數(shù)據(jù)流。這些工作只能說(shuō)明問(wèn)題的一半。

　　在之前的《美國(guó)國(guó)防部零信任的支柱》和《美軍網(wǎng)絡(luò)安全 | 用零信任替代中間層安全？》中，介紹過(guò)國(guó)防部的零信任建設(shè)思路，的確主要是以身份管理和SDP為主的。

　　02  國(guó)防部零信任的中高級(jí)階段

　　國(guó)防部零信任之旅并沒(méi)有就此結(jié)束。國(guó)防部（DoD）和國(guó)土安全部（DHS）網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）的官員在2月說(shuō)，要針對(duì)SolarWinds攻擊中使用的復(fù)雜網(wǎng)絡(luò)攻擊建立真正有效的防御措施，需要進(jìn)一步采用零信任安全。該事件也為美國(guó)國(guó)防部加速向零信任的中高級(jí)階段邁進(jìn)，提供了一個(gè)更具說(shuō)服力的理由。

　　再者，美國(guó)國(guó)防部一直尋求，在無(wú)需購(gòu)買(mǎi)新設(shè)備的條件下，利用零信任來(lái)改善網(wǎng)絡(luò)安全，而基于主機(jī)的微分段，通過(guò)允許代理來(lái)編程本地防火墻，使得國(guó)防部的安全思路成為可能。

　　另外，國(guó)防部的數(shù)字現(xiàn)代化戰(zhàn)略（DMS，Digital Modernization Strategy）已將“將數(shù)據(jù)視為戰(zhàn)略資產(chǎn)”作為其主要目標(biāo)之一，國(guó)防部最近發(fā)布了一份單獨(dú)的《國(guó)防部數(shù)據(jù)戰(zhàn)略》，將“數(shù)據(jù)治理”列為實(shí)施該戰(zhàn)略的第一步。應(yīng)用層即第七層，是零信任的核心，它涉及應(yīng)用程序和以數(shù)據(jù)為中心的安全性。

　　把零信任的基本階段（身份/訪問(wèn)控制）想象成一個(gè)類似于保護(hù)一個(gè)房子的前門(mén)，甚至可能是從一個(gè)房間通向另一個(gè)房間的內(nèi)門(mén)。你要確保每個(gè)進(jìn)入者都經(jīng)過(guò)驗(yàn)證和認(rèn)證，即使他們想從家里進(jìn)入另一個(gè)房間。

　　但是前門(mén)并不是唯一的入口。還有側(cè)門(mén)、后門(mén)、地下室的門(mén)、各種窗戶，也需要保護(hù)。對(duì)于這些門(mén)窗，主要關(guān)注的應(yīng)該是數(shù)據(jù)。國(guó)防部IT人員需要確保他們能夠通過(guò)多云/多應(yīng)用程序可見(jiàn)性以及對(duì)進(jìn)出側(cè)門(mén)和后門(mén)的任何數(shù)據(jù)進(jìn)行命令和控制，以了解所有門(mén)窗的活動(dòng)。如果沒(méi)有這些控制，數(shù)據(jù)可能會(huì)泄漏，從而暴露敏感信息。

　　上一任DISA局長(zhǎng)、美國(guó)海軍中將Nancy Norton曾說(shuō)，“零信任將影響我們網(wǎng)絡(luò)領(lǐng)域的每一個(gè)領(lǐng)域，允許我們通過(guò)關(guān)閉船上的每個(gè)隔間來(lái)更好地保護(hù)我們的數(shù)據(jù)?！?要做到這些，顯然需要超越訪問(wèn)控制或只保護(hù)前門(mén)。

　　隨著國(guó)防部向零信任成熟度模型的中級(jí)和高級(jí)階段邁進(jìn)，確保其成功的關(guān)鍵能力包括：對(duì)多云環(huán)境的完全可見(jiàn)性；用于評(píng)估用戶行為的安全分析；針對(duì)已批準(zhǔn)應(yīng)用程序、未經(jīng)批準(zhǔn)應(yīng)用程序、和更重要的國(guó)防部編寫(xiě)的任務(wù)應(yīng)用程序的高級(jí)數(shù)據(jù)保護(hù)的動(dòng)態(tài)策略執(zhí)行；在混合云環(huán)境中自動(dòng)化和編排的威脅檢測(cè)。

　　03  現(xiàn)實(shí)示例：用事實(shí)說(shuō)話

　　上面說(shuō)了一堆大道理和邏輯，現(xiàn)在讓我們舉幾個(gè)現(xiàn)實(shí)中的例子。

　　眾所周知，在疫情大流行期間，云的使用率和威脅情況都急劇上升。國(guó)防部在短短幾個(gè)月內(nèi)就向一百多萬(wàn)用戶部署了商用虛擬遠(yuǎn)程（CVR）云生產(chǎn)力工具，并在2020年迅速擴(kuò)大了他們的云使用量。最近的一份報(bào)告發(fā)現(xiàn)，2020年前4個(gè)月里，來(lái)自非托管設(shè)備的云使用量翻了一番，而針對(duì)云帳戶的外部攻擊則增加了6倍以上。因此，通過(guò)保護(hù)前門(mén)以外的安全來(lái)保護(hù)數(shù)據(jù)尤其重要，因?yàn)閲?guó)防部的許多人都在遠(yuǎn)程環(huán)境中工作，從多個(gè)云環(huán)境和混合云環(huán)境訪問(wèn)數(shù)據(jù)和應(yīng)用程序。

　　假設(shè)某個(gè)軍種成員正在個(gè)人計(jì)算設(shè)備上工作，而不是通過(guò)該部門(mén)的VPN，并且希望通過(guò)云服務(wù)Microsoft Teams訪問(wèn)一個(gè)應(yīng)用程序。雖然該部門(mén)有與Microsoft Teams的安全連接，但應(yīng)用程序插件可能由另一個(gè)云提供商托管，它可能是安全的，但也可能不安全。這種云到云的連接，打開(kāi)了一個(gè)洞、一扇側(cè)門(mén)，需要被鎖上以防止敏感數(shù)據(jù)暴露。訪問(wèn)控制無(wú)助于這種情況；這是統(tǒng)一云策略數(shù)據(jù)保護(hù)的角色。

　　讓我們舉一個(gè)更具技術(shù)性的后門(mén)例子。Open S3（簡(jiǎn)單存儲(chǔ)服務(wù)）數(shù)據(jù)桶是最近數(shù)據(jù)泄露的罪魁禍?zhǔn)?，因?yàn)楫?dāng)配置錯(cuò)誤時(shí)，可能導(dǎo)致數(shù)據(jù)泄漏。一個(gè)開(kāi)放的數(shù)據(jù)桶，就像是一個(gè)沒(méi)有安全保護(hù)的后門(mén)。S3桶可以設(shè)置為公開(kāi)或者私有，可能出現(xiàn)錯(cuò)誤的設(shè)置，尤其是當(dāng)技術(shù)人員過(guò)度工作和跨企業(yè)管理多個(gè)桶時(shí)。選擇錯(cuò)誤的設(shè)置，將會(huì)意外地向公眾打開(kāi)這扇后門(mén)。同樣，訪問(wèn)控制和身份管理不能解決這個(gè)問(wèn)題，但是中間階段的多云數(shù)據(jù)保護(hù)解決方案可以解決這個(gè)問(wèn)題。

　　04  讓兩種方法并駕齊驅(qū)

　　實(shí)現(xiàn)國(guó)防部零信任網(wǎng)絡(luò)安全框架的目標(biāo)，是一個(gè)多階段的過(guò)程。計(jì)劃推出的DISA/NSA零信任參考架構(gòu)將有助于國(guó)防部更好地前進(jìn)。在實(shí)現(xiàn)了訪問(wèn)控制、身份管理、從端點(diǎn)到云端的數(shù)據(jù)流加密等基本階段后，國(guó)防部可能開(kāi)始向零信任的中高級(jí)階段邁進(jìn)。

　　初期行動(dòng)正在從身份管理或ZTNA的角度展開(kāi)；然而，下一步需要更多地關(guān)注由內(nèi)到外的方法，即一種基于主機(jī)的微分段方法，來(lái)實(shí)現(xiàn)零信任。這樣做將有助于防止橫向移動(dòng)的蔓延，利用現(xiàn)有設(shè)備改善國(guó)防部機(jī)構(gòu)或司令部的網(wǎng)絡(luò)安全態(tài)勢(shì)，并提供前所未有的實(shí)時(shí)可見(jiàn)性地圖。

　　總之，要以零信任方式關(guān)閉國(guó)防部的所有網(wǎng)絡(luò)門(mén)窗。零信任硬幣的兩面可以同時(shí)進(jìn)行，也應(yīng)該并駕齊驅(qū)。