2021年2月25日，美國國家安全局（NSA）發(fā)布關(guān)于零信任安全模型的指南《擁抱零信任安全模型》（Embracing a Zero Trust Security Model）。這份指南篇幅不長總共7頁，它的發(fā)布更多地是向外界明確傳達出NSA對零信任的一種立場和態(tài)度：擁護零信任。

　　一 背　景

　　零信任早已在美國國防部受到關(guān)注，但零信任方法的實施，直到2019年7月才成為一個具體目標被納入《國防部數(shù)字現(xiàn)代化戰(zhàn)略》。在美國國家標準技術(shù)研究所（NIST）于2019-2020年連續(xù)發(fā)布多版《零信任架構(gòu)》標準草案并且形成最終版本的同時，美國防部創(chuàng)新委員會（DIB）在2019年7月9日通過了《通往零信任安全之路》白皮書，敦促美軍方盡快實施零信任架構(gòu)（ZTA）。白皮書描述了零信任安全架構(gòu)所涉及的內(nèi)容，對傳統(tǒng)邊界安全架構(gòu)與零信任安全架構(gòu)進行對比，探討國防部如何實施該技術(shù)，并提出一系列問題以了解技術(shù)實施是否有效；緊接著，2019年10月24日，DIB又發(fā)布《零信任架構(gòu)建議》報告，其中第一條建議就是：國防部應(yīng)將零信任實施列為最高優(yōu)先事項。DIB稱，國防部安全架構(gòu)的現(xiàn)狀是不可持續(xù)的，國防部應(yīng)將實施零信任列為最高優(yōu)先事項，同時明確分配實施和管理責任，在整個國防部內(nèi)迅速采取行動?？梢姡瑖绖?chuàng)新委員會認為：零信任架構(gòu)是美國國防部網(wǎng)絡(luò)安全架構(gòu)的必然演進方向。

　　2020年，美國國防部進行了幾個零信任網(wǎng)絡(luò)試點項目，并計劃從這些項目以及遠程工作相關(guān)數(shù)據(jù)中吸取經(jīng)驗教訓(xùn)，以確定零信任網(wǎng)絡(luò)的前進道路。其中，NSA、美國防信息系統(tǒng)局（DISA）和網(wǎng)絡(luò)司令部聯(lián)合啟動了一項針對“零信任”技術(shù)的試點項目，并總結(jié)試點項目已取得的成果，探討如何將“零信任”技術(shù)融入到美國防部體系中。在剛剛過去的幾個月中，DISA一直在與NSA、美軍網(wǎng)絡(luò)司令部以及網(wǎng)絡(luò)私營部門之間合作，共同開發(fā)美國防部的零信任參考體系架構(gòu)。

　　NSA是美國情報界的中流砥柱，是美國國家安全系統(tǒng)的技術(shù)權(quán)威，是美國網(wǎng)絡(luò)司令部的搖籃。由于NSA的工作側(cè)重于涉密側(cè)和進攻側(cè)，敏感程度較高，所以不像DISA那么開放。這份零信任安全模型指南則是少見的NSA對于零信任的明確表態(tài)，它與DISA年內(nèi)將要發(fā)布的國防部初始零信任參考體系架構(gòu)在某種程度具有一脈相連的關(guān)系。對于其與DISA和美軍網(wǎng)絡(luò)司令部共同開發(fā)的零信任框架，NSA明確表示，希望利用這套新的網(wǎng)絡(luò)安全體系預(yù)防、檢測、響應(yīng)并恢復(fù)針對關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)攻擊活動。

　　二 指南主要內(nèi)容

　　1.概述實施零信任的好處

　　該指南指出，基于當前的威脅環(huán)境，傳統(tǒng)的基于邊界的網(wǎng)絡(luò)防御安全技術(shù)已證明無法滿足網(wǎng)絡(luò)安全需求。而采用零信任這種現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略，可以從多個有利位置來整合可見性，做出具有風險意識的訪問決策，并自動執(zhí)行檢測和響應(yīng)操作，網(wǎng)絡(luò)防御者將能夠更好地保護敏感數(shù)據(jù)、系統(tǒng)、應(yīng)用程序和服務(wù)。NSA強烈建議國家安全系統(tǒng)（NSS）內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國防部（DoD）的關(guān)鍵網(wǎng)絡(luò)、國防工業(yè)基礎(chǔ)（DIB）關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型。

　　2.定義零信任的概念與內(nèi)涵

　　該指南將零信任定義為一種安全模型、一套系統(tǒng)設(shè)計原則以及基于承認傳統(tǒng)網(wǎng)絡(luò)邊界內(nèi)外都存在威脅的協(xié)調(diào)網(wǎng)絡(luò)安全和系統(tǒng)的管理策略。指南進一步解釋指出，零信任安全模型消除了對任何一個元素、節(jié)點或服務(wù)的隱式信任，它是通過從多個來源反饋的實時信息來連續(xù)驗證操作情況，以確定訪問和其他系統(tǒng)響應(yīng)。零信任嵌入了全面的安全監(jiān)控，是基于風險的細粒度訪問控制和系統(tǒng)安全自動化，可以在動態(tài)威脅環(huán)境中實時保護關(guān)鍵資產(chǎn)（數(shù)據(jù)）。這種以數(shù)據(jù)為中心的安全模型允許對每個訪問決策應(yīng)用最低特權(quán)訪問的概念，允許或拒絕基于幾個上下文因素的組合來訪問資源。

　　3.示例零信任的應(yīng)用場景

　　該指南著筆最多的一個部分就是對幾種使用中的零信任場景進行示例，這幾種零信任應(yīng)用分別是：泄露的用戶憑據(jù)、遠程利用或內(nèi)部威脅、供應(yīng)鏈受損。指南通過示例表明，一個成熟的零信任實現(xiàn)可以比傳統(tǒng)架構(gòu)更好地檢測惡意活動。比如，在泄露的用戶憑據(jù)示例場景中，指南建議在零信任環(huán)境中使用強多因素用戶身份驗證，從而使竊取用戶的憑據(jù)變得更加困難；在遠程利用或內(nèi)部威脅示例場景中，指南指出成熟的零信任環(huán)境可以限制對已被泄露的用戶憑證和設(shè)備進行枚舉和橫向移動的機會，且數(shù)據(jù)加密和數(shù)字權(quán)限管理可以通過限制哪些數(shù)據(jù)可以訪問以及即使允許訪問也可以對敏感數(shù)據(jù)采取的操作來提供額外的保護；在供應(yīng)鏈受損場景中，零信任架構(gòu)的成熟實現(xiàn)可以讓設(shè)備或應(yīng)用程序本身獲得真正的防御網(wǎng)絡(luò)安全優(yōu)勢，其特權(quán)和對數(shù)據(jù)的訪問將被嚴格控制、最小化和監(jiān)控，分割（宏觀和微觀）將通過政策來實施，等等。

　　4.規(guī)劃零信任架構(gòu)成熟的路線圖

　　NSA指南強調(diào)，零信任的實施需要時間和精力，沒有必要一次性過渡到成熟的零信任架構(gòu)。指南建議將零信任架構(gòu)規(guī)劃成從初始準備階段到基本、中級、高級階段這樣一個逐步成熟的過程，逐漸增強其可見性和自動化響應(yīng)，將使防御者能夠跟上威脅的步伐，同時將零信任功能作為戰(zhàn)略計劃的一部分逐步整合，可以降低每一步的風險。

　　三 幾點啟示

　　1.美軍方已對零信任架構(gòu)的推行達成全面共識

　　NSA、DISA、美國網(wǎng)絡(luò)司令部（USCYBERCOM）、聯(lián)合部隊總部國防部信息網(wǎng)絡(luò)部（JFHQ-DODIN）是美國軍方在網(wǎng)絡(luò)空間作戰(zhàn)領(lǐng)域的四只主要力量，而這四個機構(gòu)之間又具有雙帽關(guān)系。所以，NSA和DISA的態(tài)度可以視為代表美軍方的態(tài)度。如果說美軍之前對采用零信任架構(gòu)還持某種謹慎或者懷疑態(tài)度的話，那么，從這份關(guān)于零信任安全模型的指南中所傳達出來的NSA的態(tài)度，再結(jié)合近期DISA領(lǐng)導(dǎo)層在多個重要場合下的表態(tài)，可以看出美軍在全軍范圍內(nèi)推行零信任架構(gòu)這一點上已達成多方共識，2021年全面推行零信任架構(gòu)已成為美國防部的重要計劃目標。

　　2.美軍將探索涉密網(wǎng)和非密網(wǎng)統(tǒng)一的零信任架構(gòu)

　　NSA在指南中強烈建議國家安全系統(tǒng)（NSS）內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國防部（DoD）的關(guān)鍵網(wǎng)絡(luò)、國防工業(yè)基礎(chǔ)（DIB）關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型。NSA負責保護國家安全系統(tǒng)（NSS），即敏感程度較高的網(wǎng)絡(luò)和系統(tǒng)，如涉密信息系統(tǒng)。所以，這條建議對于高敏感網(wǎng)絡(luò)在應(yīng)用零信任理念方面，具有很強的權(quán)威性。再結(jié)合之前國防創(chuàng)新委員會的建議，可以預(yù)測，未來美軍非密網(wǎng)（NIPRNet）和機密網(wǎng)（SIPRNet）都要向零信任安全架構(gòu)邁進。簡單的說，就是全網(wǎng)統(tǒng)一零信任架構(gòu)，無論涉密網(wǎng)還是非密網(wǎng)。國防部將探索將NIPRNet和SIPRNet融合到同一網(wǎng)絡(luò)上的可能性，依靠零信任原則來保護訪問，并將用戶許可級別作為訪問的核心屬性。NIPRNet和SIPRNet均采用SIPRNet的邊界安全措施，以保持更高的邊界安全水平，作為進入的初始屏障。美軍認為，零信任架構(gòu)可以融合這兩張不同密級的網(wǎng)絡(luò)，化繁為簡。當前暫不論兩網(wǎng)融合的可行性，這種觀點至少充分反映出美軍對零信任架構(gòu)安全性和先進性的極其認可。

　　3.美軍零信任架構(gòu)的實施仍面臨眾多挑戰(zhàn)

　　NSA指南同時指出，美軍實施零信任解決方案還存在眾多潛在挑戰(zhàn)。這些挑戰(zhàn)來自于管理和技術(shù)二個層面。管理層面的挑戰(zhàn)，比如有，缺乏來自從領(lǐng)導(dǎo)層、管理員或用戶層面的整個企業(yè)的全面支持，以及存在阻礙零信任策略采用的專業(yè)知識的缺乏，為了使系統(tǒng)正常運行或確保外圍安全，需要正確的策略以及思維方式的轉(zhuǎn)變，才能從基于隱性信任模式過渡到顯性驗證模式，即不信任任何人，等等。技術(shù)層面的挑戰(zhàn)，比如，在新的零信任環(huán)境下，如何重新搭建一個高性能可橫向擴展的權(quán)限引擎，處理更復(fù)雜更細粒度的訪問策略，包括國防部統(tǒng)一的身份管理目錄、密鑰管理系統(tǒng)（KMS）（或公鑰基礎(chǔ)設(shè)施PKI）、風險評估、SIEM與日志審計等都必須利用更成熟的技術(shù)、更先進的科技、更安全的算法，突破舊的安全瓶頸，才能將國防部網(wǎng)絡(luò)的安全水平提升到全新的級別。為了應(yīng)對實施零信任解決方案的潛在挑戰(zhàn)，NSA正在制定并將在未來幾個月發(fā)布額外的指南。

　　四 結(jié)　語

　　零信任架構(gòu)將于2021年落地美國國防部，這個架構(gòu)指南將為國防機構(gòu)和IT部門提供了一個藍圖，使網(wǎng)絡(luò)過渡到這樣一個模型，使每個用戶都具有相同的高安全級別。從本質(zhì)上講，網(wǎng)絡(luò)對用戶的信任為零。這個架構(gòu)指南以及NSA下一步將發(fā)布的實施指南，都代表著國防部網(wǎng)絡(luò)架構(gòu)的全面轉(zhuǎn)變。值得注意的是，此次在美全軍范圍內(nèi)推行的零信任架構(gòu)將與其他以往需要大規(guī)模推廣的計劃有所不同，零信任將不是孤立的計劃，而是國防部網(wǎng)絡(luò)架構(gòu)的一次大規(guī)模轉(zhuǎn)型，架構(gòu)指南將為國防部提供一種正確使用現(xiàn)有工具的全新思路，將會結(jié)合美軍網(wǎng)絡(luò)的現(xiàn)實情況在零信任的實施層面，提出更加具體的建設(shè)思路、落地指導(dǎo)、應(yīng)用示例，值得密切關(guān)注。