零信任硬幣的兩面

360集團 柯善學

一、零信任硬幣的兩面

（一）零信任的兩種視角

美國國家標準與技術研究院發布的NIST SP 800-207（零信任架構指南）指出，“零信任是一套不斷發展的網絡安全模式的術語，它將防御從靜態的、基于網絡的邊界，轉移到關注用戶、資產和資源上。”這里的“用戶、資產和資源”應該被分解為兩部分：一是用戶（訪問）；二是資產和資源。因為兩者對應于不同的視角。

我們知道，最小權限訪問是零信任的核心。這表明，美國國防部需改變傳統的“允許所有訪問、拒絕指定訪問”的理念，轉向“拒絕所有訪問、允許指定訪問”的原則。問題的關鍵在于，對于所有這些訪問：一方面是從用戶角度來看；另一方面是從應用程序和工作負載的角度來看。

顯然，美國聯邦政府和國防部已經在致力于改善零信任的用戶訪問；然而，在一個零信任環境中，關注點正在逐漸轉移到保護其資產和資源上。

（二）硬幣的一面是訪問控制和身份管理

然而，這主要還是一種由外到內（outside-in）實現零信任的方法。

（三）硬幣的另一面是主機微分段

零信任更加重要的一個方面，與應用程序和工作負載的連接有關。而這正是攻擊者的目標所在，但目前聯邦政府和國防部在這一方面還沒有得到足夠保護。零信任的“另一面”，即基于主機的微分段方法，將帶來由內到外（inside-out）的更高安全性，并將阻止惡意軟件的橫向移動。

NIST SP 800-207專門將微分段定義為在一個或多個端點資產上使用軟件代理或防火墻。這些網關設備動態地向來自客戶端、資產或服務的單個請求授予訪問權限。而這也是在《2020財年FISMA首席信息官指標》報告中專門提出的保護高價值資產（HVA）的最佳方式。

二、為何要重視主機微分段

（一）實現微分段的三種途徑辨析

因為零信任的核心是最小權限的概念，所以如果發生失陷，則失陷理應被鎖定在一臺服務器、工作負載或筆記本電腦上。這是實現零信任的由內到外的方法。

從系統架構的角度來看，這種零信任的方法可以通過三種方式實現：軟件定義網絡（SDN）、網絡防火墻、基于主機的微分段。

1、SDN或網絡虛擬化方法：是實施強制執行的一個弱安全選項，因為它關注網絡安全并使用自由形式的標記和標簽結構。由于在管理用于標識工作負載的元數據方面缺乏治理，使得管理和提供策略變得困難。跟蹤IP地址會增加復雜性并阻止規模的擴展。它還需要一個完整的網絡升級，并且是昂貴的。SDN中的“N”代表網絡。因此，任何SDN控制器部署的任何分段，都是一種以網絡為中心的方法，都被實現為聚焦網絡挑戰，而非主機挑戰。

2、網絡防火墻方法：為了控制東西向流量的移動，需要部署額外的防火墻。然而，硬件防火墻太“硬”了，缺乏靈活性。而對于內部/數據中心防火墻，當環境被虛擬化和高度自動化時，要想跟蹤區域、子網、IP地址、規則順序，也變得相當笨拙和困難。隨著環境變得更加復雜，在防火墻規則變更期間中斷應用程序的可能性也會增加。與SDN方法類似，應用程序到應用程序的流量缺乏可見性，大型部署可能很昂貴，并且這仍然是一種以網絡為中心的方法。

楚雄供電局要求金沙江流域沿線大姚、永仁、元謀、武定供電局密切關注險情，研判對所轄電網設施影響，同步排查沿岸駐所、駐地及基建、大修、技改等施工駐留人員狀況，做好防汛及人員撤離的準備，對水電站、變電站防汛準備工作進行排查及梳理，注意防范因持續降雨引發的地質災害，防范因自然災害導致電力設施受損引發的社會人員觸電事件。輸電管理所和變電運行所立即梳理作業計劃，同時梳理應急人員及車輛，進入應急狀態。

3、基于主機的微分段方法：是對駐留在每個主機中的本機狀態防火墻進行編程。從本質上講，關注應用程序，可以將分段與網絡架構解耦。它部署簡單，易于擴展，成本較低，可以在任何架構中推出，包括云、容器、混合和裸機。它可以與防火墻、負載均衡器、網絡交換機等異構硬件資產協同工作，并提供實時應用程序和工作負載依賴關系圖。首席信息官和首席信息安全官終于可以看到他們的應用程序和工作負載在做什么。

（二）兩種零信任視角的對比

用戶采取何種角度/路線來實現零信任架構，將決定其實現的難易程度。

如果用戶可以實時創建應用程序和工作負載地圖時，則他們可以顯著降低零信任的實施復雜性。因為，正確地創建一個基準應用程序和工作負載依賴關系圖，對于在整個機構的計算體系架構中嵌入安全性非常重要。用戶得以查看應用到應用和工作負載的流量，以便正確分段。雖然，零信任需要強大的身份管理工具；但用戶還需要對工作負載和應用程序進行分段，以防止可能嚴重影響機構或任務的非法橫向移動。

兩種不同的方法。用戶到應用和設備到應用的流量監控，需要對憑證托管、強身份驗證、身份管理的顯著依賴關系；而機器到機器或工作負載到工作負載的連接，通常是基于API的，需要不同的方法。

兩面可以同時進行。憑證依賴于網絡安全；強制執行策略則側重于應用程序安全，而應用程序安全并不需要網絡。所以，事實上，零信任硬幣的兩面都可以同時進行。

零信任的前進之路意味著過去對網絡邊界的強調，必須由對用戶、數據、應用程序的更加重視所取代。

更進一步講，采用由內到外（inside-out）的方式保障高價值資產，是啟動零信任試點項目的最審慎的方式。這個建議與2019年11月國土安全部發布微分段作為CDM（持續診斷和緩解）計劃的推薦能力是一致的。

三、美國國防部零信任的兩個階段

（一）國防部零信任的基本階段

實現零信任愿景是一個多階段的努力過程。美國國防信息系統局（DISA）和國家安全局（NSA）正在合作開發零信任參考架構，也在建立新的零信任實驗室。

如果詢問美國聯邦和國防部IT部門的人“零信任意味著什么”，你可能會聽說它是關于訪問控制的：即在沒有首先驗證用戶或設備的情況下，決不允許訪問任何系統、應用程序、網絡，即便用戶是內部人士。

在國防信息系統局（DISA）對零信任的解釋清單上，排名第一的術語是“從不信任、始終驗證”，緊隨其后的是“始終假設網絡環境中已經存在對手”和“顯式驗證”。這些都對應于國防部零信任成熟度模型的基本階段。

基本階段，即訪問控制和身份管理，確實是零信任的第一個重要組成部分，國防部正在積極開展這項工作。目前，美國陸軍、空軍、海軍、DISA都有一些試點項目在進行中，這些項目側重于從外到內（outside-in）的零信任，其重點是使用零信任網絡訪問（ZTNA）方法來升級身份管理和用戶憑證。然而，ZTNA并不顯示工作負載到工作負載的連接和數據流。

（二）國防部零信任的中高級階段

國防部零信任之旅并沒有就此結束。國防部（DoD）和國土安全部（DHS）網絡安全與基礎設施安全局（CISA）的官員在2月說，要針對SolarWinds攻擊中使用的復雜網絡攻擊建立真正有效的防御措施，需要進一步采用零信任安全。該事件也為美國國防部加速向零信任的中高級階段邁進提供了一個更具說服力的理由。

再者，美國國防部一直尋求，在無需購買新設備的條件下，利用零信任來改善網絡安全，而基于主機的微分段通過允許代理來編程本地防火墻，使得國防部的安全思路成為可能。

另外，國防部的數字現代化戰略（DMS，Digital Modernization Strategy）已將“將數據視為戰略資產”作為其主要目標之一，國防部2020年發布了一份單獨的《國防部數據戰略》，將“數據治理”列為實施該戰略的第一步。應用層即第七層，是零信任的核心，它涉及應用程序和以數據為中心的安全性。

把零信任的基本階段（身份/訪問控制）想象成一個類似于保護一個房子的前門，甚至可能是從一個房間通向另一個房間的內門。你要確保每個進入者都經過驗證和認證，即使他們想從家里進入另一個房間。

但是前門并不是唯一的入口。還有側門、后門、地下室的門、各種窗戶，也需要保護。對于這些門窗，主要關注的應該是數據。國防部IT人員需要確保他們能夠通過多云/多應用程序可見性以及對進出側門和后門的任何數據進行命令和控制，以了解所有門窗的活動。如果沒有這些控制，數據可能會泄漏，從而暴露敏感信息。

上一任DISA局長、美國海軍中將Nancy Norton曾說，“零信任將影響我們網絡領域的每一個領域，允許我們通過關閉船上的每個隔間來更好地保護我們的數據。” 要做到這些，顯然需要超越訪問控制或只保護前門。

隨著國防部向零信任成熟度模型的中級和高級階段邁進，確保其成功的關鍵能力包括：對多云環境的完全可見性；用于評估用戶行為的安全分析；針對已批準應用程序、未經批準應用程序、和更重要的國防部編寫的任務應用程序的高級數據保護的動態策略執行；在混合云環境中自動化和編排的威脅檢測。

（三）現實示例：用事實說話

上面說了一堆大道理和邏輯，現在讓我們舉幾個現實中的例子。

眾所周知，在疫情大流行期間，云的使用率和威脅情況都急劇上升。國防部在短短幾個月內就向一百多萬用戶部署了商用虛擬遠程（CVR）云生產力工具，并在2020年迅速擴大了他們的云使用量。最近的一份報告發現，2020年前4個月里，來自非托管設備的云使用量翻了一番，而針對云帳戶的外部攻擊則增加了6倍以上。因此，通過保護前門以外的安全來保護數據尤其重要，因為國防部的許多人都在遠程環境中工作，從多個云環境和混合云環境訪問數據和應用程序。

假設某個軍種成員正在個人計算設備上工作，而不是通過該部門的VPN，并且希望通過云服務Microsoft Teams訪問一個應用程序。雖然該部門有與Microsoft Teams的安全連接，但應用程序插件可能由另一個云提供商托管，它可能是安全的，但也可能不安全。這種云到云的連接，打開了一個洞、一扇側門，需要被鎖上以防止敏感數據暴露。訪問控制無助于這種情況；這是統一云策略數據保護的角色。

讓我們舉一個更具技術性的后門例子。Open S3（簡單存儲服務）數據桶是最近數據泄露的罪魁禍首，因為當配置錯誤，可能會導致數據泄漏。一個開放的數據桶，就像是一個沒有安全保護的后門。S3桶可以設置為公開或者私有，可能出現錯誤的設置，尤其是當技術人員過度工作和跨企業管理多個桶時。選擇錯誤的設置，將會意外地向公眾打開這扇后門。同樣，訪問控制和身份管理不能解決這個問題，但是中間階段的多云數據保護解決方案可以解決這個問題。

（四）讓兩種方法并駕齊驅

實現國防部零信任網絡安全框架的目標是一個多階段的過程。計劃推出的DISA/NSA零信任參考架構將有助于國防部更好地前進。在實現了訪問控制、身份管理、從端點到云端的數據流加密等基本階段后，國防部可能開始向零信任的中高級階段邁進。

初期行動正在從身份管理或ZTNA的角度展開；然而，下一步需要更多地關注由內到外的方法，即一種基于主機的微分段方法，來實現零信任。這樣做將有助于防止橫向移動的蔓延，利用現有設備改善國防部機構或司令部的網絡安全態勢，并提供前所未有的實時可見性地圖。

總之，要以零信任方式關閉國防部的所有網絡門窗。零信任硬幣的兩面可以同時進行，也應該并駕齊驅。