2021年2月25日，美國(guó)國(guó)家安全局（NSA）發(fā)布關(guān)于零信任安全模型的指南《擁抱零信任安全模型》（Embracing a Zero Trust Security Model）。這份指南篇幅不長(zhǎng)總共7頁(yè)，它的發(fā)布更多地是向外界明確傳達(dá)出NSA對(duì)零信任的一種立場(chǎng)和態(tài)度：擁護(hù)零信任。

　　一 背　景

　　零信任早已在美國(guó)國(guó)防部受到關(guān)注，但零信任方法的實(shí)施，直到2019年7月才成為一個(gè)具體目標(biāo)被納入《國(guó)防部數(shù)字現(xiàn)代化戰(zhàn)略》。在美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）于2019-2020年連續(xù)發(fā)布多版《零信任架構(gòu)》標(biāo)準(zhǔn)草案并且形成最終版本的同時(shí)，美國(guó)防部創(chuàng)新委員會(huì)（DIB）在2019年7月9日通過(guò)了《通往零信任安全之路》白皮書，敦促美軍方盡快實(shí)施零信任架構(gòu)（ZTA）。白皮書描述了零信任安全架構(gòu)所涉及的內(nèi)容，對(duì)傳統(tǒng)邊界安全架構(gòu)與零信任安全架構(gòu)進(jìn)行對(duì)比，探討國(guó)防部如何實(shí)施該技術(shù)，并提出一系列問(wèn)題以了解技術(shù)實(shí)施是否有效；緊接著，2019年10月24日，DIB又發(fā)布《零信任架構(gòu)建議》報(bào)告，其中第一條建議就是：國(guó)防部應(yīng)將零信任實(shí)施列為最高優(yōu)先事項(xiàng)。DIB稱，國(guó)防部安全架構(gòu)的現(xiàn)狀是不可持續(xù)的，國(guó)防部應(yīng)將實(shí)施零信任列為最高優(yōu)先事項(xiàng)，同時(shí)明確分配實(shí)施和管理責(zé)任，在整個(gè)國(guó)防部?jī)?nèi)迅速采取行動(dòng)。可見(jiàn)，國(guó)防創(chuàng)新委員會(huì)認(rèn)為：零信任架構(gòu)是美國(guó)國(guó)防部網(wǎng)絡(luò)安全架構(gòu)的必然演進(jìn)方向。

　　2020年，美國(guó)國(guó)防部進(jìn)行了幾個(gè)零信任網(wǎng)絡(luò)試點(diǎn)項(xiàng)目，并計(jì)劃從這些項(xiàng)目以及遠(yuǎn)程工作相關(guān)數(shù)據(jù)中吸取經(jīng)驗(yàn)教訓(xùn)，以確定零信任網(wǎng)絡(luò)的前進(jìn)道路。其中，NSA、美國(guó)防信息系統(tǒng)局（DISA）和網(wǎng)絡(luò)司令部聯(lián)合啟動(dòng)了一項(xiàng)針對(duì)“零信任”技術(shù)的試點(diǎn)項(xiàng)目，并總結(jié)試點(diǎn)項(xiàng)目已取得的成果，探討如何將“零信任”技術(shù)融入到美國(guó)防部體系中。在剛剛過(guò)去的幾個(gè)月中，DISA一直在與NSA、美軍網(wǎng)絡(luò)司令部以及網(wǎng)絡(luò)私營(yíng)部門之間合作，共同開(kāi)發(fā)美國(guó)防部的零信任參考體系架構(gòu)。

　　NSA是美國(guó)情報(bào)界的中流砥柱，是美國(guó)國(guó)家安全系統(tǒng)的技術(shù)權(quán)威，是美國(guó)網(wǎng)絡(luò)司令部的搖籃。由于NSA的工作側(cè)重于涉密側(cè)和進(jìn)攻側(cè)，敏感程度較高，所以不像DISA那么開(kāi)放。這份零信任安全模型指南則是少見(jiàn)的NSA對(duì)于零信任的明確表態(tài)，它與DISA年內(nèi)將要發(fā)布的國(guó)防部初始零信任參考體系架構(gòu)在某種程度具有一脈相連的關(guān)系。對(duì)于其與DISA和美軍網(wǎng)絡(luò)司令部共同開(kāi)發(fā)的零信任框架，NSA明確表示，希望利用這套新的網(wǎng)絡(luò)安全體系預(yù)防、檢測(cè)、響應(yīng)并恢復(fù)針對(duì)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)攻擊活動(dòng)。

　　二 指南主要內(nèi)容

　　1.概述實(shí)施零信任的好處

　　該指南指出，基于當(dāng)前的威脅環(huán)境，傳統(tǒng)的基于邊界的網(wǎng)絡(luò)防御安全技術(shù)已證明無(wú)法滿足網(wǎng)絡(luò)安全需求。而采用零信任這種現(xiàn)代網(wǎng)絡(luò)安全戰(zhàn)略，可以從多個(gè)有利位置來(lái)整合可見(jiàn)性，做出具有風(fēng)險(xiǎn)意識(shí)的訪問(wèn)決策，并自動(dòng)執(zhí)行檢測(cè)和響應(yīng)操作，網(wǎng)絡(luò)防御者將能夠更好地保護(hù)敏感數(shù)據(jù)、系統(tǒng)、應(yīng)用程序和服務(wù)。NSA強(qiáng)烈建議國(guó)家安全系統(tǒng)（NSS）內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國(guó)防部（DoD）的關(guān)鍵網(wǎng)絡(luò)、國(guó)防工業(yè)基礎(chǔ)（DIB）關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型。

　　2.定義零信任的概念與內(nèi)涵

　　該指南將零信任定義為一種安全模型、一套系統(tǒng)設(shè)計(jì)原則以及基于承認(rèn)傳統(tǒng)網(wǎng)絡(luò)邊界內(nèi)外都存在威脅的協(xié)調(diào)網(wǎng)絡(luò)安全和系統(tǒng)的管理策略。指南進(jìn)一步解釋指出，零信任安全模型消除了對(duì)任何一個(gè)元素、節(jié)點(diǎn)或服務(wù)的隱式信任，它是通過(guò)從多個(gè)來(lái)源反饋的實(shí)時(shí)信息來(lái)連續(xù)驗(yàn)證操作情況，以確定訪問(wèn)和其他系統(tǒng)響應(yīng)。零信任嵌入了全面的安全監(jiān)控，是基于風(fēng)險(xiǎn)的細(xì)粒度訪問(wèn)控制和系統(tǒng)安全自動(dòng)化，可以在動(dòng)態(tài)威脅環(huán)境中實(shí)時(shí)保護(hù)關(guān)鍵資產(chǎn)（數(shù)據(jù)）。這種以數(shù)據(jù)為中心的安全模型允許對(duì)每個(gè)訪問(wèn)決策應(yīng)用最低特權(quán)訪問(wèn)的概念，允許或拒絕基于幾個(gè)上下文因素的組合來(lái)訪問(wèn)資源。

　　3.示例零信任的應(yīng)用場(chǎng)景

　　該指南著筆最多的一個(gè)部分就是對(duì)幾種使用中的零信任場(chǎng)景進(jìn)行示例，這幾種零信任應(yīng)用分別是：泄露的用戶憑據(jù)、遠(yuǎn)程利用或內(nèi)部威脅、供應(yīng)鏈?zhǔn)軗p。指南通過(guò)示例表明，一個(gè)成熟的零信任實(shí)現(xiàn)可以比傳統(tǒng)架構(gòu)更好地檢測(cè)惡意活動(dòng)。比如，在泄露的用戶憑據(jù)示例場(chǎng)景中，指南建議在零信任環(huán)境中使用強(qiáng)多因素用戶身份驗(yàn)證，從而使竊取用戶的憑據(jù)變得更加困難；在遠(yuǎn)程利用或內(nèi)部威脅示例場(chǎng)景中，指南指出成熟的零信任環(huán)境可以限制對(duì)已被泄露的用戶憑證和設(shè)備進(jìn)行枚舉和橫向移動(dòng)的機(jī)會(huì)，且數(shù)據(jù)加密和數(shù)字權(quán)限管理可以通過(guò)限制哪些數(shù)據(jù)可以訪問(wèn)以及即使允許訪問(wèn)也可以對(duì)敏感數(shù)據(jù)采取的操作來(lái)提供額外的保護(hù)；在供應(yīng)鏈?zhǔn)軗p場(chǎng)景中，零信任架構(gòu)的成熟實(shí)現(xiàn)可以讓設(shè)備或應(yīng)用程序本身獲得真正的防御網(wǎng)絡(luò)安全優(yōu)勢(shì)，其特權(quán)和對(duì)數(shù)據(jù)的訪問(wèn)將被嚴(yán)格控制、最小化和監(jiān)控，分割（宏觀和微觀）將通過(guò)政策來(lái)實(shí)施，等等。

　　4.規(guī)劃零信任架構(gòu)成熟的路線圖

　　NSA指南強(qiáng)調(diào)，零信任的實(shí)施需要時(shí)間和精力，沒(méi)有必要一次性過(guò)渡到成熟的零信任架構(gòu)。指南建議將零信任架構(gòu)規(guī)劃成從初始準(zhǔn)備階段到基本、中級(jí)、高級(jí)階段這樣一個(gè)逐步成熟的過(guò)程，逐漸增強(qiáng)其可見(jiàn)性和自動(dòng)化響應(yīng)，將使防御者能夠跟上威脅的步伐，同時(shí)將零信任功能作為戰(zhàn)略計(jì)劃的一部分逐步整合，可以降低每一步的風(fēng)險(xiǎn)。

　　三 幾點(diǎn)啟示

　　1.美軍方已對(duì)零信任架構(gòu)的推行達(dá)成全面共識(shí)

　　NSA、DISA、美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）、聯(lián)合部隊(duì)總部國(guó)防部信息網(wǎng)絡(luò)部（JFHQ-DODIN）是美國(guó)軍方在網(wǎng)絡(luò)空間作戰(zhàn)領(lǐng)域的四只主要力量，而這四個(gè)機(jī)構(gòu)之間又具有雙帽關(guān)系。所以，NSA和DISA的態(tài)度可以視為代表美軍方的態(tài)度。如果說(shuō)美軍之前對(duì)采用零信任架構(gòu)還持某種謹(jǐn)慎或者懷疑態(tài)度的話，那么，從這份關(guān)于零信任安全模型的指南中所傳達(dá)出來(lái)的NSA的態(tài)度，再結(jié)合近期DISA領(lǐng)導(dǎo)層在多個(gè)重要場(chǎng)合下的表態(tài)，可以看出美軍在全軍范圍內(nèi)推行零信任架構(gòu)這一點(diǎn)上已達(dá)成多方共識(shí)，2021年全面推行零信任架構(gòu)已成為美國(guó)防部的重要計(jì)劃目標(biāo)。

　　2.美軍將探索涉密網(wǎng)和非密網(wǎng)統(tǒng)一的零信任架構(gòu)

　　NSA在指南中強(qiáng)烈建議國(guó)家安全系統(tǒng)（NSS）內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國(guó)防部（DoD）的關(guān)鍵網(wǎng)絡(luò)、國(guó)防工業(yè)基礎(chǔ)（DIB）關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型。NSA負(fù)責(zé)保護(hù)國(guó)家安全系統(tǒng)（NSS），即敏感程度較高的網(wǎng)絡(luò)和系統(tǒng)，如涉密信息系統(tǒng)。所以，這條建議對(duì)于高敏感網(wǎng)絡(luò)在應(yīng)用零信任理念方面，具有很強(qiáng)的權(quán)威性。再結(jié)合之前國(guó)防創(chuàng)新委員會(huì)的建議，可以預(yù)測(cè)，未來(lái)美軍非密網(wǎng)（NIPRNet）和機(jī)密網(wǎng)（SIPRNet）都要向零信任安全架構(gòu)邁進(jìn)。簡(jiǎn)單的說(shuō)，就是全網(wǎng)統(tǒng)一零信任架構(gòu)，無(wú)論涉密網(wǎng)還是非密網(wǎng)。國(guó)防部將探索將NIPRNet和SIPRNet融合到同一網(wǎng)絡(luò)上的可能性，依靠零信任原則來(lái)保護(hù)訪問(wèn)，并將用戶許可級(jí)別作為訪問(wèn)的核心屬性。NIPRNet和SIPRNet均采用SIPRNet的邊界安全措施，以保持更高的邊界安全水平，作為進(jìn)入的初始屏障。美軍認(rèn)為，零信任架構(gòu)可以融合這兩張不同密級(jí)的網(wǎng)絡(luò)，化繁為簡(jiǎn)。當(dāng)前暫不論兩網(wǎng)融合的可行性，這種觀點(diǎn)至少充分反映出美軍對(duì)零信任架構(gòu)安全性和先進(jìn)性的極其認(rèn)可。

　　3.美軍零信任架構(gòu)的實(shí)施仍面臨眾多挑戰(zhàn)

　　NSA指南同時(shí)指出，美軍實(shí)施零信任解決方案還存在眾多潛在挑戰(zhàn)。這些挑戰(zhàn)來(lái)自于管理和技術(shù)二個(gè)層面。管理層面的挑戰(zhàn)，比如有，缺乏來(lái)自從領(lǐng)導(dǎo)層、管理員或用戶層面的整個(gè)企業(yè)的全面支持，以及存在阻礙零信任策略采用的專業(yè)知識(shí)的缺乏，為了使系統(tǒng)正常運(yùn)行或確保外圍安全，需要正確的策略以及思維方式的轉(zhuǎn)變，才能從基于隱性信任模式過(guò)渡到顯性驗(yàn)證模式，即不信任任何人，等等。技術(shù)層面的挑戰(zhàn)，比如，在新的零信任環(huán)境下，如何重新搭建一個(gè)高性能可橫向擴(kuò)展的權(quán)限引擎，處理更復(fù)雜更細(xì)粒度的訪問(wèn)策略，包括國(guó)防部統(tǒng)一的身份管理目錄、密鑰管理系統(tǒng)（KMS）（或公鑰基礎(chǔ)設(shè)施PKI）、風(fēng)險(xiǎn)評(píng)估、SIEM與日志審計(jì)等都必須利用更成熟的技術(shù)、更先進(jìn)的科技、更安全的算法，突破舊的安全瓶頸，才能將國(guó)防部網(wǎng)絡(luò)的安全水平提升到全新的級(jí)別。為了應(yīng)對(duì)實(shí)施零信任解決方案的潛在挑戰(zhàn)，NSA正在制定并將在未來(lái)幾個(gè)月發(fā)布額外的指南。

　　四 結(jié)　語(yǔ)

　　零信任架構(gòu)將于2021年落地美國(guó)國(guó)防部，這個(gè)架構(gòu)指南將為國(guó)防機(jī)構(gòu)和IT部門提供了一個(gè)藍(lán)圖，使網(wǎng)絡(luò)過(guò)渡到這樣一個(gè)模型，使每個(gè)用戶都具有相同的高安全級(jí)別。從本質(zhì)上講，網(wǎng)絡(luò)對(duì)用戶的信任為零。這個(gè)架構(gòu)指南以及NSA下一步將發(fā)布的實(shí)施指南，都代表著國(guó)防部網(wǎng)絡(luò)架構(gòu)的全面轉(zhuǎn)變。值得注意的是，此次在美全軍范圍內(nèi)推行的零信任架構(gòu)將與其他以往需要大規(guī)模推廣的計(jì)劃有所不同，零信任將不是孤立的計(jì)劃，而是國(guó)防部網(wǎng)絡(luò)架構(gòu)的一次大規(guī)模轉(zhuǎn)型，架構(gòu)指南將為國(guó)防部提供一種正確使用現(xiàn)有工具的全新思路，將會(huì)結(jié)合美軍網(wǎng)絡(luò)的現(xiàn)實(shí)情況在零信任的實(shí)施層面，提出更加具體的建設(shè)思路、落地指導(dǎo)、應(yīng)用示例，值得密切關(guān)注。