信息來源：Freebuf

2021年2月25日，美國國家安全局（NSA）發(fā)布關(guān)于零信任安全模型的指南《擁抱零信任安全模型》（Embracing a Zero Trust Security Model）。

NSA是美國情報界的中流砥柱，是美國國家安全系統(tǒng)的技術(shù)權(quán)威，是美國網(wǎng)絡(luò)司令部的搖籃。由于它深不可測，大家對它的了解多來自于斯諾登的曝光。這次的指南發(fā)布，可視為NSA對零信任的明確表態(tài)。

在美軍網(wǎng)絡(luò)空間安全領(lǐng)域，筆者認為DISA（國防信息系統(tǒng)局）和NSA是“雌雄雙煞”：DISA主內(nèi)，NSA主外；DISA管防御，NSA管進攻；DISA管非涉密安全，NSA管涉密安全。他倆還都具有獨特的雙帽體制。

既然NSA已經(jīng)發(fā)布零信任指南，而DISA早就宣布要發(fā)布零信任參考架構(gòu)，那么，關(guān)于美國國防部對零信任的擁護立場，幾乎沒有什么懸念了。

接下來，我們繼續(xù)等待DISA的零信任參考架構(gòu)和NSA的附加零信任實施指南。

一、NSA指南概要

NSA網(wǎng)絡(luò)安全指南《擁抱零信任安全模型》的制定，是為了促進NSA的網(wǎng)絡(luò)安全任務(wù)，即識別和傳播對國家安全系統(tǒng)（NSS）、國防部（DoD）和國防工業(yè)基礎(chǔ)（DIB）信息系統(tǒng)的威脅，以及制定和發(fā)布網(wǎng)絡(luò)安全規(guī)范和緩解措施。

本指南展示了如何遵循零信任安全原則，以更好地指導(dǎo)網(wǎng)絡(luò)安全專業(yè)人員保護企業(yè)網(wǎng)絡(luò)和敏感數(shù)據(jù)。為了讓NSA的客戶對零信任有一個基本的了解，本指南討論了它的好處和潛在的挑戰(zhàn)，并提出了在他們的網(wǎng)絡(luò)中實現(xiàn)零信任的建議。

零信任模型通過假設(shè)失陷是不可避免的或已經(jīng)發(fā)生的，消除了對任何一個元素、節(jié)點、服務(wù)的信任。以數(shù)據(jù)為中心的安全模型，在持續(xù)控制訪問的同時，尋找異?；驉阂獾幕顒?。

采用零信任思想和利用零信任原則，將使系統(tǒng)管理員能夠控制用戶、進程、設(shè)備如何處理數(shù)據(jù)。這些原則可以防止濫用泄露的用戶憑證、遠程利用或內(nèi)部威脅、緩解供應(yīng)鏈惡意活動影響。（注：參見本文第4節(jié)（使用中的零信任示例））

NSA強烈建議國家安全系統(tǒng)（NSS）內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國防部（DoD）的關(guān)鍵網(wǎng)絡(luò)、國防工業(yè)基礎(chǔ)（DIB）關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型。（注：NSA負責(zé)保護國家安全系統(tǒng)（NSS），即敏感程度較高的網(wǎng)絡(luò)和系統(tǒng)，如涉密信息系統(tǒng)。所以，這條建議對于高敏感網(wǎng)絡(luò)在應(yīng)用零信任理念方面，具有很強的權(quán)威性。）

NSA指出，網(wǎng)絡(luò)及其運營生態(tài)系統(tǒng)的大多數(shù)方面都應(yīng)實施零信任原則，以使其充分有效。

為了應(yīng)對實施零信任解決方案的潛在挑戰(zhàn)，NSA正在制定并將在未來幾個月發(fā)布額外的指南。

二、NSA與DISA

美國軍方在網(wǎng)絡(luò)空間作戰(zhàn)領(lǐng)域占據(jù)主導(dǎo)地位，四只主要力量是：美國國家安全局（NSA）、國防信息系統(tǒng)局（DISA）、美國網(wǎng)絡(luò)司令部（USCYBERCOM）、聯(lián)合部隊總部國防部信息網(wǎng)絡(luò)部（JFHQ-DODIN）。這四個機構(gòu)之間具有雙帽關(guān)系：

圖1：美國國防部內(nèi)四大網(wǎng)絡(luò)空間作戰(zhàn)機構(gòu)之間的“雙帽”關(guān)系

該圖顯示了四個機構(gòu)之間的雙帽體制：國家安全局（NSA）局長與美國網(wǎng)絡(luò)司令部司令官是同一人（現(xiàn)為Paul M. Nakasone）；國防信息系統(tǒng)局（DISA）局長與JFHQ-DODIN司令官也是同一個人（現(xiàn)為Nancy Norton）。兩人的相片如下：

圖2：NSA（左）/DISA（右）“雌雄雙煞”

NSA的工作側(cè)重于涉密側(cè)和進攻側(cè)，敏感程度較高，所以不像DISA那么開放。NSA曾在2018年11月發(fā)布了《NSA/CSS技術(shù)網(wǎng)絡(luò)威脅框架v2》（NSA/CSS Technical Cyber Threat Framework v2）。

三、NSA指南目錄

1. 執(zhí)行摘要

2. 已經(jīng)落伍的方法

3. 日益復(fù)雜的威脅

4. 什么是零信任

5. 采取零信任思維

5.1 擁抱零信任指導(dǎo)原則

5.2 利用零信任設(shè)計理念

5.3 使用中的零信任示例

5.3.1 泄露的用戶憑據(jù)

5.3.2 遠程利用或內(nèi)部威脅

5.3.3 供應(yīng)鏈受損

5.4 零信任成熟度

6. 零信任道路上的潛在挑戰(zhàn)

7. 小心地最小化嵌入的信任可以實現(xiàn)更安全的任務(wù)

7.1 進一步的指南

7.2 引用的工作

7.3 背書免責(zé)聲明

7.4 目的

7.5 聯(lián)系方式

簡單評述：

筆者在對NSA零信任指南快速瀏覽后，覺得沒必要粘貼全文譯文。因為NSA指南中關(guān)于零信任的理念、思路、原則、挑戰(zhàn)等，與NIST零信任架構(gòu)指南是一致的，只是換了些說法，無需贅述。

這篇NSA零信任指南的譯文不到6千字；而NIST零信任架構(gòu)指南（SP 800-207）則超過了3萬7千字。若為更好地理解零信任架構(gòu)，直接參考NIST零信任架構(gòu)指南（SP 800-207）的譯文即可。

下面主要介紹其中的第5.3節(jié)（使用中的零信任示例）和5.4節(jié)（零信任成熟度）的內(nèi)容。

四、使用中的零信任示例

1）泄露的用戶憑據(jù)

示例場景：在本示例中，惡意網(wǎng)絡(luò)行為體將竊取合法用戶的憑據(jù)并嘗試訪問組織資源。在這種情況下，惡意行為體試圖使用未經(jīng)授權(quán)的設(shè)備，要么通過遠程訪問，要么利用已加入組織無線局域網(wǎng)的惡意設(shè)備。

在傳統(tǒng)網(wǎng)絡(luò)中，僅用戶的憑據(jù)就足以授予訪問權(quán)限。

在零信任環(huán)境中，由于設(shè)備是未知的，因此設(shè)備無法通過身份驗證和授權(quán)檢查，因此被拒絕訪問并記錄下惡意活動。此外，零信任要求對用戶和設(shè)備身份進行強身份驗證。

建議在零信任環(huán)境中使用強多因素用戶身份驗證，這會使竊取用戶的憑據(jù)變得更加困難。

2）遠程利用或內(nèi)部威脅

示例場景：在本示例中，惡意網(wǎng)絡(luò)行為體通過基于互聯(lián)網(wǎng)的移動代碼漏洞利用，來入侵用戶的設(shè)備；或者，行為體是具有惡意意圖的內(nèi)部授權(quán)用戶。

在一個典型的非零信任場景中，行為體使用用戶的憑據(jù)，枚舉網(wǎng)絡(luò)，提升權(quán)限，并在網(wǎng)絡(luò)中橫向移動，以破壞大量的數(shù)據(jù)存儲，并最終實現(xiàn)持久化。

在一個零信任網(wǎng)絡(luò)中，失陷的用戶的證書和設(shè)備被默認為是惡意的，除非被證明清白；并且網(wǎng)絡(luò)是分段的，從而限制了枚舉和橫向移動的機會。盡管惡意行為體可以同時作為用戶和設(shè)備進行身份驗證，但對數(shù)據(jù)的訪問將受到基于安全策略、用戶角色、用戶和設(shè)備屬性的限制。

在成熟的零信任環(huán)境中，數(shù)據(jù)加密和數(shù)字權(quán)限管理可以通過限制可以訪問的數(shù)據(jù)和可以對敏感數(shù)據(jù)采取的操作類型，來提供額外的保護。此外，分析能力可以持續(xù)監(jiān)視帳戶、設(shè)備、網(wǎng)絡(luò)活動和數(shù)據(jù)訪問中的異常活動。盡管在這種情況下仍可能出現(xiàn)一定程度的失陷，但損害程度卻是有限的，而且防御系統(tǒng)用來檢測和啟動緩解響應(yīng)措施的時間將大大縮短。

上述文字描述，可對照下圖理解：

圖3：零信任遠程利用場景的示例

3）供應(yīng)鏈受損

示例場景：在此示例中，惡意行為體在流行的企業(yè)網(wǎng)絡(luò)設(shè)備或應(yīng)用程序中嵌入惡意代碼。而設(shè)備或應(yīng)用程序也已按照最佳實踐要求，在組織網(wǎng)絡(luò)上進行維護和定期更新。

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，這個設(shè)備或應(yīng)用程序是內(nèi)部的，并且是完全可信的。這種類型的失陷可能會特別嚴重，因為它隱含了太多的信任。

在零信任架構(gòu)的成熟實現(xiàn)中，由于設(shè)備或應(yīng)用程序本身默認不可信，因此獲得了真正的防御效果。設(shè)備或應(yīng)用程序的權(quán)限和對數(shù)據(jù)的訪問，將受到嚴格的控制、最小化和監(jiān)控；分段（包括宏觀和微觀粒度）將依據(jù)策略來強制執(zhí)行；分析將用于監(jiān)控異?；顒?。此外，盡管設(shè)備可能能夠下載已簽名的應(yīng)用程序更新（惡意或非惡意），但設(shè)備在零信任設(shè)計下允許的網(wǎng)絡(luò)連接將采用默認拒絕安全策略，因此任何連接到其他遠程地址以進行命令和控制（C&C）的嘗試都可能被阻止。此外，網(wǎng)絡(luò)監(jiān)視可以檢測并阻止來自設(shè)備或應(yīng)用程序的惡意橫向移動。

五、零信任成熟度

NSA指南也再次強調(diào)，零信任的實施需要時間和精力：不可能一蹴而就。

NSA指南進一步指出：一次性過渡到成熟的零信任架構(gòu)是沒有必要的。將零信任功能作為戰(zhàn)略計劃的一部分逐步整合，可以降低每一步的風(fēng)險。隨著“零信任”實現(xiàn)的逐步成熟，增強的可見性和自動化響應(yīng)，將使防御者能夠跟上威脅的步伐。

NSA建議：將零信任工作規(guī)劃為一個不斷成熟的路線圖，從初始準備階段到基本、中級、高級階段，隨著時間的推移，網(wǎng)絡(luò)安全保護、響應(yīng)、運營將得到改進。如下圖所示：

圖4：逐步成熟的零信任實現(xiàn)

六、下一步期待

NSA指南中提到，NSA正在協(xié)助國防部客戶試驗零信任系統(tǒng)，協(xié)調(diào)與現(xiàn)有國家安全系統(tǒng)（NSS）和國防部計劃的活動，并制定附加的零信任指南，以支持系統(tǒng)開發(fā)人員克服在NSS（國家安全系統(tǒng)）、DoD（國防部）、DIB（國防工業(yè)基礎(chǔ)）環(huán)境中集成零信任的挑戰(zhàn)。即將發(fā)布的附加指南將有助于組織、指導(dǎo)、簡化將零信任原則和設(shè)計納入企業(yè)網(wǎng)絡(luò)的過程。

另外，大家也許還記得，DISA（國防信息系統(tǒng)局）局長曾宣稱在2020日歷年年底前發(fā)布初始零信任參考架構(gòu)，然后將花幾個月時間征求行業(yè)和政府的意見建議，然后再發(fā)布完整的文件。故從時間上估計，目前應(yīng)該處于征求行業(yè)和政府意見的過程中。

不論是NSA下一步的實施指南，還是DISA正在征求意見的參考架構(gòu)，筆者都認為：

從零信任的架構(gòu)層面看：與NIST零信任架構(gòu)相比，可能不會有大的變化。

從零信任的實施層面看：則會結(jié)合美軍網(wǎng)絡(luò)的現(xiàn)實情況，有更加具體的建設(shè)思路、落地指導(dǎo)、應(yīng)用示例。

所以，讓我們繼續(xù)期待吧。