1.简介
网络安全和基础设施安全局(CISA)是国家层面理解、管理和降低网络安全风险的领导机构,包括为联邦文职行政部门的网络安全计划和能力实施提供支持。CISA的零信任成熟度模型(ZTMM)提供了一种零信任的持续性实现途径,以适应快速变化的网络环境和技术发展。在联邦行政命令《改善国家网络安全》(EO 14028)中,美国政府要求各联邦机构制定各自的零信任架构(ZTA)实施计划,ZTMM是设计和实施零信任迁移计划的众多途径之一。
尽管ZTMM是按EO 14028专门为联邦机构量身定制,但所有组织都应审查,并考虑采用该方法。
2.背景
最近发生的一些网络安全事件凸显了,联邦政府及大型企业在确保网络空间安全方面所面临的广泛挑战,传统方法已经不足以防御网络威胁,来保护整个国家。作为理解、管理和降低网络风险的领导机构,CISA必须采用清晰、可操作、基于风险的方法,来保护联邦民政行政部门。面对新兴网络安全威胁,网络防御措施需要提高响应速度和灵活性,以便更快地增加对手的攻击成本,并提高耐久性和韧性,以快速恢复到全面运营状态。
CISA的职责是通过推动和支持有效的网络防御、增强国家核心功能的韧性,以及推进强大的技术生态系统,来捍卫和保护网络空间。CISA在维护跨联邦民政行政部门(FCEB)的网络态势感知、保护.gov域、帮助组织机构(包括联邦民政机构,关键基础设施所有者和运营商,以及行业伙伴)管理重大网络安全事件等方面发挥着关键作用。虽然CISA已经具备抵御已知或可疑网络威胁的能力,但不断变化的威胁形势和新兴技术带来了全新的挑战。
EO 14028标志着联邦政府网络安全现代化的新承诺和重点方向。除其他政策要求外,该行政命令将零信任视为联邦政府期望的安全模式,并呼吁FCEB部门制定相关计划以实施ZTA。典型的计划需要评估机构的网络安全状态,并规划如何完全实施ZTA。作为联邦政府的网络安全领导机构,CISA ZTMM将协助机构制定相应的零信任战略、实施计划的持续演进,并提出各种CISA服务以支持跨机构的零信任解决方案。
美国白宫办公厅(OMB)备忘录《将美国政府引向零信任安全原则》(M-22-09)按照ZTMM提出的零信任支柱,制定了一个联邦ZTA战略,说明了联邦机构要采取的具体行动,并要求各机构在2024财年结束前实现网络安全目标,以加强FCEB的网络安全防御。为了与M-22-09保持一致,CISA对ZTMM进行了重新修订,各FCEB部门在制定和实施零信任策略时,应同时审阅ZTMM和该备忘录。
3.零信任的含义
国家标准和技术研究院(NIST)在SP 800-207中为零信任和ZTA提供了如下的操作性定义:
零信任由一系列概念和思想组成,能够在基于每个请求为信息系统和服务实施精确的、最小特权访问策略时,以网络已遭受攻击为假定前提,并减少策略实施中的不确定性。
ZTA是企业采用零信任理念制定的网络安全规划,包括组件关系、工作流规划和访问策略。因此,零信任企业作为ZTA计划的产物,包含网络基础架构(物理和虚拟)和运营策略两大部分。
《SP 800-207》强调,零信任的目标是“以尽可能精细的访问控制粒度,防止对数据和服务的未授权访问。”同样,国家安全电信咨询委员会(NSTAC)将零信任描述为“一种网络安全策略,其设计基础是任何用户或资源都并非隐含可信的,而是假定网络已经发生了入侵行为,或即将发生入侵,因此不应该只通过位于企业边界的单一验证机制,来授予用户对敏感信息的访问权限。相反,每个用户、设备、应用程序和会话都必须持续地进行验证。”零信任将传统的、以位置为中心的访问模型转变为以身份、上下文和数据为中心、具有随时间变化的细粒度安全控制,包括对用户、系统、应用程序、数据和资产等各种实体的控制。因此,采用ZTA是一项非常具有挑战性的工作,这种转变为支持安全策略的开发、实现、执行和演进提供了必要的可见性。从根本上讲,为了实施零信任,组织机构可能需要在网络安全理念和企业文化上做出一些改变。
迈向零信任的道路是一个逐步的过程,可能需要数年才能完成。
最初,实施零信任所需的技术和服务可能会导致企业的成本增加,但从长远来看,零信任向最关键数据和服务进行的精准投资,将使得安全投资更加明智,而不是在整个企业范围内采用“一刀切”的安全投资。
4.实施零信任的挑战
与大多数大型企业一样,联邦政府在实施ZTA时也面临着多项挑战。遗留系统通常依赖于“隐式信任”,它们仅通过少量的固定属性对访问和授权进行安全评估,这与ZTA自适应信任评估的核心原则是冲突的。为了更好地遵从零信任原则,需要一些额外的投资,来改造这些以隐式信任为基础的现有基础设施。此外,随着技术领域的不断演进,为了更好地实现零信任,保持对新的解决方案的探索和持续讨论也很重要。
实施零信任需要高层领导、IT人员、数据和系统所有者,以及遍布联邦政府的各类用户的参与和合作,以有效设计实现目标并改善网络安全态势。联邦政府的网络安全现代化要求各机构将烟囱式和孤立的IT服务和员工,转变为零信任战略的协调和协作组件,并在整个机构范围内购买通用架构和治理政策,包括当前和未来采用云技术的计划。
不同的联邦机构正在从不同的起点开启他们的零信任之旅,有的机构可能走得更远或取得更多的进步。但是无论起点如何,成功采用零信任都可以带来诸多好处,包括提高生产力、增强用户体验、降低IT成本、提供更灵活的访问和增强的安全性。
5.零信任成熟度模型
ZTMM代表了在5个不同方面或支柱(参看图1)逐步实施零信任改进的过程,包括身份(Identity)、设备(Devices)、网络(Networks)、应用与工作负载(Applications and Workloads),以及数据(Data)。此外,还包含了一些横跨所有支柱的能力:可见性与分析、自动化与编排,以及治理。
图1 零信任成熟度模型的支柱与相关能力
CISA的ZTMM是通向零信任的路径之一。
本成熟度模型在开发时参考借鉴了大量已有的ZTA出版材料(参见第6部分)。该模型反映了NIST SP 800-207中概述的7个零信任原则:
(1)将所有数据来源和计算服务视为资源。
(2)不论网络位置如何,所有通信都需要安全强化。
(3)以会话(per-session)为单位,对企业资源访问进行授权。
(4)按照动态策略确定资源访问权限。
(5)企业监控和度量所有自有和关联资产的完整性和安全姿态。
(6)在允许访问之前,所有资源都必须经过严格、动态地认证和授权。
(7)企业尽可能收集关于资产、网络基础设施的状态信息,并利用它来改善安全姿态。
随着各机构逐步迈向最佳的零信任实现,相关解决方案越来越依赖自动化流程和系统,这些系统将各个支柱进一步整合,并更加动态地执行策略决策。每个支柱可以独立演进发展,也可能比其他支柱发展地更快,直到需要进行跨支柱的协调。然而,这种协调的实现需要相关支柱的能力和依赖在整个企业范围和环境中能够相互兼容,这就要求能够定义一个逐步的零信任演进路线,以分摊成本,而不是一次性全部投入。
按照NIST提出的零信任实施步骤,各机构在投资零信任能力(包括ZTMM支柱和功能)建设之前,应当评估其当前的企业系统、资源、基础设施、人员和流程,帮助各机构判断识别能够支撑零信任成熟度的现有能力,并确定需优先解决的能力缺口。各机构还可以规划如何协调跨支柱的能力,以实现细粒度的最小特权访问控制,并减轻额外风险。
零信任成熟度旅程包括从传统阶段(Traditional)到初始(Initial)、高级(Advanced)和最佳(Optimal)三个阶段,这种阶段性设计将有助于促进联邦ZTA的实现,每个后续阶段对保护能力、实现细节和技术复杂性提出了更高的要求。
图2 零信任成熟度之旅
如图2所示,在各支柱和跨支柱的零信任成熟度不断提高时,各机构需预见到应付出的努力和效益将会显著增加。在各机构准备开启ZTA之旅时,应探索如何提高支柱成熟度,使之与特定的任务需求相匹配,并支持其他支柱的发展。图3强调了传统企业向未来发展的预期演变过程,未来企业的网络安全将具有更动态的更新、自动化的流程、集成的能力和其他ZTMM最佳阶段的能力特性。这些阶段是动态的,并呈指数增长,从一个成熟度阶段到下一阶段的进展可能会随着时间的推移,产生不同范围的影响。
图3 零信任成熟度的演进
各机构应在每个阶段使用以下原则,识别、确定各个零信任技术支柱的成熟度,以取得在整个成熟度模型中的一致性。
• 传统阶段:手动的生命周期(从建立到废除)管理和属性分配(安全和日志记录);静态的安全策略和解决方案,通过对不同外部系统的分散依赖,每次只能处理一个支柱;仅在配置时遵循最小特权原则;执行策略的各个支柱相互独立;手动式的响应和缓解措施部署;只对依赖、日志和监测进行了少量关联。
• 初始阶段:使用了自动化属性分配和生命周期管理、策略决策和执行,具有与外部系统集成的跨支柱解决方案;通过一些对权限的响应式调整,在配置之后实施最小特权原则;针对内部系统的聚合可见性。
• 高级阶段:在适用的情况下,能够对跨支柱的策略、配置的生命周期和分配进行自动控制;集中式的可见性和身份控制;跨支柱的策略执行;能够对预定义的缓解措施进行响应;根据风险和态势评估调整最小特权;向企业范围感知的方向发展(包括外部托管资源)。
• 最佳阶段:资产和资源能够通过基于自动/监测触发器的动态策略提供自报告,实现完全自动化、及时的生命周期和属性分配;对企业范围内的资产实施动态最小特权(刚好够用,并在阈值内)访问;具备持续监控的跨支柱互操作;具备全面态势感知的集中可见性。
图4是ZTMM的顶层概览,包括每个支柱在不同成熟度阶段的关键能力,以及在不同成熟度阶段的跨支柱能力特性。
图4 零信任成熟度模型概览
这些成熟度阶段以及与每个支柱相关的详细信息,使机构能够评估、规划和维护实施ZTA所需的投资。本文后续各小节将为每个支柱提供详细信息,以支持各机构在5个不同的支柱上实现向零信任的过渡,包括身份、设备、网络、应用和工作负载以及数据。每个支柱还包括了与可见性与分析、自动化与编排,以及治理能力相关的详细信息,以支撑该支柱和整个模型之间的集成。
跨支柱能力指支持不同支柱互操作功能的相关活动,包括以下3个方面:
• 可见性与分析。可见性是指从企业环境的事件特征中产生的可观测指标。对与网络安全相关的数据进行分析有助于提供策略决策依据、促进应急响应活动,并在安全时间发生之前,建立风险概况以开发积极的安全措施。
• 自动化与编排。零信任采用自动化工具和工作流程,在支持产品和服务安全响应功能的同时,对这些功能、产品和服务的开发过程进行监管、安全保障和交互。
• 治理。指网络安全策略、程序和流程(在支柱内或跨支柱层面)的定义和执行方式,以符合零信任原则和满足联邦政府要求,减轻网络安全风险。
尽管ZTMM涵盖了联邦企业网络安全的许多关键方面,但也存在一些未涉及到的部分,例如,与事件响应相关的活动,包括日志记录、监测、警报、取证分析、风险承受和事后恢复等,与企业网络安全态势管理相关的特性和最佳实践也没有明确地纳入成熟度模型。尽管成熟度模型并非排他性的技术措施,但它确实没有解决与运营相关的挑战,包括特定类型的物联网(IoT)设备或已被广泛采用新兴技术,例如欺骗平台、可认证的WAF、行为分析等。另外,这个模型中也没有包括将机器学习和人工智能纳入零信任解决方案的建议方法。在每个支柱的成熟度提高过程中,各机构应该采取措施来监测和评估他们的安全能力、基础设施和策略的性能和完整性,来发现未授权的访问和变化。各机构应该注意不要为攻击者创造新的利用机会或削弱安全协议。为了有效保障联邦机构企业范围内软件和硬件系统的完整性,必要的研究和开发也是需要的。
在规划ZTA的实施时,各机构应根据风险、任务、联邦要求和操作限制等因素做出决策。尽管该模型与联邦企业的单一管理域或认证边界一致,但各机构在评估ZTA的影响因素时,仍然需要考虑与外部合作伙伴、利益相关者和服务提供商的互动和依赖关系。另外,该成熟度模型不应该被视为一个严格要求,而是一个能够帮助机构成功实施ZTA,并对网络安全态势进行整体提升的通用指南。
5.1 身份
身份是指描述机构用户或实体(包括非人实体)的一个或一组属性。
各机构应确保并保证用户和实体因正确的目的,在正确的时间访问正确的资源,且未授予他们过多的访问权限。各机构应尽可能在企业范围内集成身份、凭据和访问管理解决方案,以强制执行强身份验证、实施基于上下文的授权,并评估机构用户和实体的身份风险。机构应在适当的情况下对其身份存储和管理系统进行集成,改善对企业身份、职责和权限的感知。
表1列出了零信任架构中“身份”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表1 “身份”支柱
5.2 设备
设备是指可以连接到网络的任何资产(包括其硬件、软件、固件等),包括服务器、台式机、笔记本电脑、打印机、手机、物联网设备、网络设备等。
设备既可能是机构拥有的资产,也可能是员工、合作伙伴或访问者的自带资产(BYOD)。机构应该确保所有自有设备的安全性,管理那些非机构可控的授权设备的安全风险,并阻止未授权设备访问资源。设备管理包括维护所有资产(包括其硬件、软件、固件等)的动态清单、配置信息及相关漏洞。
企业网络环境中多样化的设备类型为实施ZTA提出了新的挑战,必须按照基于风险的流程对它们逐个进行评估。例如,网络设备、打印机等设备在身份验证、可见性和安全性方面,只具有少量的能力选项。在维持设备可见性和控制方面,允许使用BYOD的机构也会受到很多制约和限制。随着技术环境的不断变化,机构也将继续采用更多的设备来管理这些不断演变的设备相关风险。在特殊情况下,本指南可能无法适用于各机构的特定设备。另外,各机构也会面临维护可信设备和服务的生命周期,并获得技术支持的挑战,因为遗留设备通常会存在更多未解决的漏洞、易受攻击的配置和未知的风险。最后,尽管面临这些挑战和困难,各机构仍然应该能够在实现ZTA方面取得重大进展。
私有化部署的计算资产管理需要记录和管理物理资产(设备)。随着各机构逐渐转向云环境,还要考虑如何管理和跟踪机构的云和虚拟资产。云资产包括计算资源(如虚拟机、服务器或容器)、存储资源(如块存储或文件存储)、平台资产(如数据库、Web服务器、消息总线/队列)和网络资源(如虚拟网络、VPN、网关、DNS服务等),以及其他与托管云服务相关的虚拟资源(如人工智能模型)。
表2列出了零信任架构中“设备”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表2 “设备”支柱
注:设备生命周期包括采购、配置、跟踪、监控、更新、使用、清理、销毁以及恢复等多个阶段。
5.3 网络
网络是指一个开放的通信介质和通道,包括传统通道,如机构内部网络、无线网络和互联网,以及其他通道,如用于传输信息的蜂窝和应用层通道等。
零信任架构使传统基于边界的安全方法发生了改变,允许机构管理内部和外部流量、隔离主机、实施加密、分段访问活动,并增强了企业网络的可见性。ZTA允许在更接近应用程序、数据和其他资源的位置实现安全控制,增强了传统基于网络的保护措施,并提高了深度防御能力。由于不同应用在访问权限、优先级、可达性、依赖服务和连接路径等方面存在不同的要求,网络中的每个应用程序都可以以唯一的方式对待处理。这些网络应用要求可以被采集为应用程序概要,然后相同的概要可以作为同一类流量进行处理。
表3列出了零信任架构中“网络”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表3 “网络”支柱
5.4 应用和工作负载
应用和工作负载是指在私有化环境、移动设备和云环境中运行的系统、计算机程序和服务。
各机构应该管理和保护其部署的应用程序,并确保安全的应用程序交付。精细化访问控制和集成的威胁防护可以提供增强的态势感知,并减轻应用程序特定的威胁。根据OMB M-22-09的规定,各机构应逐渐使已授权用户能够在公共网络上访问应用程序。在可能的情况下,各机构应采用基于DevSecOps和CI/CD过程的最佳实践,包括使用非可变工作负载。各机构应该探索一些新的选择,将运营重点从认证边界和更新ATO(Authorization to Operate),逐渐转向对应用程序自身的支持,使其无论是从内部访问,还是从外部访问都具有相同的安全性。
表4列出了零信任架构中“应用与工作负载”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表4 “应用与工作负载”支柱
5.5 数据
数据包括所有结构化和非结构化的文件和碎片,它们存在(或曾存在)于部署在本地或虚拟环境中的系统、设备、网络、应用程序、数据库、基础设施和备份中,包括相关的元数据。
按照联邦政府要求,各机构的数据应该在设备、应用程序和网络上得到保护。各机构应该建立数据清单,对其进行分类和标记,在数据存储和传输时为其提供保护,并部署能检测和阻止数据外泄的相关机制。各机构应该仔细制定和审查数据治理策略,以确保在企业范围内实施基于数据生命周期的安全管理。
表6列出了零信任架构中“数据”的相关功能和能力,及其在可见性与分析、自动化与编排,以及治理方面的考虑。
表5 “数据”支柱
5.6 横跨能力
可见性与分析、自动化与编排、治理这3种横跨能力为推进5个能力支柱的集成提供了机会。各机构在发展某一支柱的成熟度时,可以独立地提高它的每个功能和能力。可见性与分析支持全面的可见性,为策略决策提供信息,并有利于相关响应活动的开展。自动化与编排利用这些可见性,通过强大而简单的操作,处理各种安全事件并及时响应。治理使各机构能够管理和监测其监管、法律、环境、联邦和运营需求,以支持基于风险的决策生成,还可以确保通过采用正确的人员、流程和技术,实现任务、风险和合规目标的达成。
表6提供了每种横跨能力的高级成熟度演进情况。
表6 横跨能力
6.参考
在制定和修订本指南时,CISA参考了联邦政府发布的以下ZTA材料。
(1)M-22-09(管理和预算办公室)
该备忘录提出了一个联邦政府的零信任架构战略,要求各机构在2024财年结束之前满足特定的网络安全标准和目标,以增强政府在抵御日益复杂和持久的威胁行动方面的能力。该战略包含了以下部分,强调了企业身份验证和访问控制(包括MFA),要求在可行的情况下尽早加密所有网络流量,为建立自动化的安全访问规则基础提供支持,并将每个应用程序视为可从互联网访问。
(2)SP 800-207(国家标准与技术研究院特别出版物)
NIST SP 800-207为企业安全架构师描述了零信任概念,以帮助理解用于民用非机密系统的零信任架构,并提供了在企业环境实施零信任迁移的路线图。SP 800-207是多个联邦机构之间合作的成果,并由联邦首席信息官委员会监督。NIST正在开发并发布其他的ZTA实施指南。
(3)零信任参考架构(国防部)
国防部(DoD)的零信任参考架构描述了数据为中心的企业标准和能力,可用于成功推进国防信息网络(DoDIN)向互操作的零信任终状态的发展。
(4)拥抱零信任安全模型(国家安全局)
NSA在拥抱零信任安全模型中,解释了零信任安全模型的好处和实施挑战,讨论了建立详细策略、投入必要资源、成熟实施、全面承诺零信任模型以达到预期效果的重要性。该文件的建议将帮助考虑采用这种现代网络安全模型的网络安全领导者、企业网络所有者和管理员。
NSA的《拥抱零信任安全模型》解释了零信任安全模型的优势和实施挑战,强调了制定详细策略、投入必要资源、改进实现的成熟度以及全面投入零信任模型对实现预期结果的重要性。该文档对考虑采用零信任模型的网络安全领导者、企业网络所有者和管理员将非常有帮助。
7.CISA资源
CISA计划在零信任的各个支柱领域提供网络安全支持和指导,包括将这些支柱集成到ZTA中。以下文件是各机构迁移到零信任所需的有用资源。随着机构开发ZTA,CISA将继续审查和完善这些资源。
(1)持续诊断和缓解
CDM指南可在CDM官网(https://www.cisa.gov/cdm)上找到。
(2)高价值资产
HVA指南可在CISA官网(https://www.cisa.gov/hva-pmo)上找到。
High Value Asset Control Overlay, Version 2.0, January 2021
High Value Asset Control Overlay FAQ, Version 1.0, January 2018
Securing High Value Assets, July 2018
CISA Insights: Securing High Value Assets, September 2019
Binding Operational Directive 18-02—Securing High Value Assets, May 2018
(3)国家网络安全保护系统(National Cybersecurity Protection System)
NCPS 指南可以在NCPS 官网(https://www.cisa.gov/publication/national-cybersecurity-protection-system-documents)上找到。
National Cybersecurity Protection System (NCPS) Cloud Interface Reference Architecture
Volume 1: General Guidance, Version 1.4, May 2021
National Cybersecurity Protection System (NCPS) Cloud Interface Reference Architecture
Volume 2: Reporting Pattern Catalog DRAFT, Version 1.1, May 2021
(4)网络安全共享服务提供(原质量服务管理办公室)
Quality Services Management Office Fact Sheet
Centralized Mission Support Capabilities for the Federal Government (M-19-16), April 2019
(5)可信互联连接
TIC指南可以在 TIC官方库(https://www.cisa.gov/publication/tic-30-core-guidance-documents)中找到。
Trusted Internet Connections 3.0 Program Guidebook, Version 1.1, July 2021
Trusted Internet Connections 3.0 Reference Architecture, Version 1.1, July 2021
Trusted Internet Connections 3.0 Security Capabilities Catalog, Version 2.0, October 2021
Trusted Internet Connections 3.0 Traditional TIC Use Case, Version 1.0, April 2021
Trusted Internet Connections 3.0 Branch Office Use Case, Version 1.0, April 2021
Trusted Internet Connections 3.0 Remote User Use Case, Version 1.0, October 2021
Trusted Internet Connections 3.0 Cloud Use Case, DRAFT, June 2022
(6)其他资源
Cloud Security Technical Reference Architecture
Applying Zero Trust Principles to Enterprise Mobility
Secure Cloud Business Applications (SCuBA) Technical Reference Architecture (TRA) (Draft)
Extensible Visibility Reference Framework (eVRF) Guidebook (Draft)
Multifactor Authentication
Applying Zero Trust Principles to Enterprise Mobility
Cyber Resilience Review Assessments
govCAR Factsheet
Cybersummit 2021 Session Day 2: Zero Trust
点击此处,下载PDF全文。