美國推進零信任發展重要舉措分析與回顧

傳統網絡架構將網絡劃分為內網與外網，并以邊界防護為安全基礎。隨著云計算、大數據等新興網絡技術的發展應用，網絡邊界逐漸模糊，邊界防護效果銳減，探索加強網絡防御的新手段已迫在眉睫。零信任作為一種新的網絡安全架構，已成為全面提升網絡防御能力的重要手段。零信任（Zero Trust Architecture）基于“永不信任，始終驗證”的原則，指導構建以“數據為中心”的安全防護架構，一旦部署成功，將極大提高網絡防御能力與安全水平。2022 年 11 月 22 日，美國防部發布《零信任戰略》（DoD Zero Trust Strategy），概述了 2027 財年前在國防部全面實施零信任架構的計劃及推進路徑，詳細闡述了部署零信任架構的 4 項綜合戰略目標、45 項關鍵能力，以及 3 個行動方案。該戰略的發布，使國防部各組成機構對零信任概念、關鍵技術能力與推進路徑有了更深層次的認識，有助于加速“零信任文化”在國防部內的落地生根，助推零信任架構及相關信息技術不斷迭代發展、轉化應用。

一、零信任概念、關鍵技術與能力

零信任并非一種獨立的產品或單一設備，而是一套不斷發展的網絡安全范式，將靜態的、基于網絡邊界的傳統防御方法轉向關注用戶、資產和資源方面。零信任架構并非完全摒棄現有安全技術另起爐灶，而是依然使用很多傳統的網絡安全技術，例如身份認證、訪問控制等。零信任只是將認證與控制的范圍從廣泛的網絡邊界轉移到單個或小組資源。

零信任概念建立在五個基本假定之上。一是網絡無時無刻不處于危險環境中；二是網絡自始至終存在外部或內部威脅；三是網絡位置不足以決定網絡可信程度；四是所有的設備、用戶和網絡流量都應當經過認證和授權；五是網絡安全策略必須是動態的，并應基于盡可能多的數據源計算得來。2010年，美國研究機構弗雷斯特（Forrester）的首席分析師約翰·金德維格（John Kindervag）正式提出零信任術語。經過美國政府與各軍種多年研究，零信任概念及其關鍵要素逐漸成形。2019 年，美國國防信息系統局（DISA）在《零信任參考架構》（Zero Trust Reference Architecture）草案中對零信任做出描述，零信任將基于網絡邊界的靜態防御轉向用戶、資產和資源，其核心思想是“持續驗證，永不信任”，默認網絡內外的任何用戶、系統、設備均不可信，并在最低訪問權限策略下持續開展身份認證與授權。2020 年，美國國家技術標準研究院（NIST）發布的 SP800-207《零信任架構》（Zero Trust Architecture）標準對零信任架構定義做出描述：一種利用零信任理念的網絡安全規劃，包括概念、思路和組件關系的集合，旨在消除在信息系統和服務中實施精準訪問策略的不確定性。該文件強調，零信任架構中的眾多組件并不一定是新的技術或產品，而是按照零信任理念形成的一套面向用戶、設備和應用程序的完整安全解決方案。

零信任以三大關鍵技術作為底層支撐。零信任架構的研發與部署必然經歷復雜的技術迭代升級，涉及身份認證與訪問管理（IAM）、微隔離（Micro Segmentation）和軟件定義邊界（Software Defined Perimeter）等關鍵技術。一是身份認證與訪問管理，即對身份進行動態的認證與授權，實現全面身份認證，這是零信任架構的基石。身份認證與訪問管理技術可用于解決身份唯一標識、身份屬性、身份全生命周期管理等功能性問題。二是微隔離，即更細粒度地分割資源，隔離內外部系統主機，獨立控制訪問權限，有效防御違規訪問橫移。三是軟件定義邊界，可在“移動+云”的背景下構建虛擬邊界，僅在通過設備和身份認證后才能訪問資源，且“訪問隧道”臨時、單一，不會泄露資源位置。這三大技術作為零信任架構的重點組成部分，受到美國政府、國防部及各軍種的高度重視，得以不斷發展，賦能零信任架構的落地。

美國國防部 2022 年 11 月發布的《零信任戰略》設定了國防部實現零信任必須具備的 45 項關鍵能力。具體看，用戶層面包括最低權限訪問、特權訪問管理、基于生物識別的身份驗證、持續身份驗證等；設備層面包括終端/移動設備管理、設備合規檢測、設備授權與實時檢測、終端檢測響應等；應用程序和工作負載層面包括持續監控/授權、軟件風險管理、資源授權與集成等；數據層面包括數據加密與權限管理、數據標記、數據監測與傳感等；網絡和環境層面包括微隔離、軟件定義網絡、宏隔離等；可視化和分析層面包括自動動態管理策略、網絡流量記錄、安全信息與事件管理、威脅情報集成等；自動化和編排層面包括關鍵過程自動化、人工智能、應用程序編程接口標準化等。

一直以來，零信任受到美國政府和各軍種的持續關注，使相關概念與關鍵技術得以不斷精進發展，但是，直到 2019 年，零信任才作為一個具體發展目標被列入國防部的《數字現代化戰略》（Digital Modernization Strategy），加之近年來美國遭到網絡攻擊的事件數量激增，使美國政府和各軍種將“加速推動零信任落地”提上日程。

二、美國推進零信任研究與落地的舉措

近年來，美國政府與私營機構頻繁遭受嚴重網絡攻擊，例如 2020 年的“太陽風”事件和 2021 年的科洛尼爾輸油管道被攻擊事件等，不僅暴露出相關機構在網絡防御、網絡事件響應等多方面能力仍存在不足，也使美國政府意識到惡意網絡活動帶來的影響，由此愈發重視零信任對網絡安全的賦能作用。美國政府認為，零信任是下一代網絡安全架構的必然演進方向，現已將其列為國家層面的優先事項，發布一系列戰略文件為零信任發展提供頂層指導，并通過增加預算投入，多措并舉、多方協作，共同推進零信任架構的研究與落地。

（一）自上而下，系統發布頂層戰略

在國家層面，美國國家安全局（NSA）于 2021 年 2 月發布《擁抱零信任安全模型》（Embracing a Zero Trust Security Model）指南，建議將零信任架構規劃為“從準備階段到基本、中級、高級”逐步成熟的過程。美國總統拜登于 2021 年 5 月簽署了《加強國家網絡安全的行政令》（Executive Order on Improving the Nation's Cybersecurity），明確提出美國政府應推進零信任，實現網絡安全現代化，并要求各機構要在該行政令簽署之后的 60 天內制定實施零信任架構的計劃及時間表。美國白宮于2022 年 1 月發布的《聯邦零信任戰略》（Federal Zero Trust Strategy）是全球首個國家層面的零信任戰略。該戰略要求美國政府能在未來兩年內逐步采用零信任架構，滿足必要網絡安全標準，實現零信任防護體系，抵御現有威脅并增強整個政府層面的網絡防御能力。

在國防部層面，2020 年 7 月，美國國防信息系統局局長南希·諾頓（Nancy Norton）在武裝部隊通信與電子協會主辦的陸軍虛擬 2020 信號會議（Army's Virtual 2020 Signal Conference）上稱，國防部將發布初始零信任架構，改善國防部的網絡安全狀況。該會議目的之一就是“將零信任從流行語變為現實”。之后，美國國防信息系統局于2021 年 5 月和 2022 年 7 月先后發布《國防部零信任參考架構》（Department of Defense Zero Trust Reference Architecture）第 1 版和第 2 版，提出將現有網絡系統遷移至零信任的具體步驟。美國防部于 2022 年 11 月發布的《零信任戰略》，闡述了部署零信任架構的四項綜合戰略目標：一是培養零信任文化，即在國防部內培養零信任思維和文化，指導美軍對零信任生態系統中信息技術的設計、開發、集成和部署。二是防護國防部信息系統，即在國防部新舊信息系統中納入零信任架構，增強信息系統彈性，實現防護能力整體升級。三是加速推動國防部零信任技術發展，即在國防部內以等同或超過行業進步水平的速度部署零信任技術，使技術水平在變化的威脅環境中保持領先。四是賦能國防部零信任工作，即國防部及其下屬機構的工作流程、政策和資金安排應與零信任工作同步。

在軍種層面，美國空軍于 2022 年 8 月發布 2023-2028 財年《首席信息官公共戰略》（Chief Information Officer Public Strategy），要求空軍信息系統在未來 5 年內實現零信任架構部署。

（二）協同推進，成立多個責任機構

在 2020 年“太陽風”事件發生后，美國國土安全部（DHS）成立了零信任行動小組，推行零信任工作計劃。

2021 年 8 月，美國國防部代理首席信息官約翰·舍曼（John Sherman）在聯邦討論（FedTalks）虛擬會議上透露，美國國防部正籌劃成立零信任安全項目辦公室，統籌、管理國防部與零信任架構相關的項目和工作。2022 年 1 月，美國國防部設立了由首席信息官領導的國防部零信任投資組合管理辦公室（ZT PfMO），負責統籌國防部的零信任整體執行情況，協調資源分配的優先順序，并通過多個行動方案加快零信任理念的落地。美國國防部各部門以各自的零信任執行進展為基礎，整體遵循該辦公室制定的零信任總體目標和進度計劃。此外，美國國防信息系統局還成立了新興技術局，該局將擔負一部分零信任技術研發的相關工作。

為實現零信任總體戰略目標，美國政府與美軍謀劃、成立多個責任機構推進零信任發展，協同執行相關工作計劃，推動網絡體系向全新安全架構邁進。美國陸軍將由首席信息官辦公室下屬部門企業云管理辦公室推動零信任落地實施。

（三）重點攻關，加速發展關鍵技術

美國國防部在 2022 財年共投資 6.15 億美元用于發展零信任相關技術。目前，美國國防部正在研發一套新的身份認證與訪問管理工具，并在 2022 財年投資 2.44 億美元用于發展身份認證與訪問管理相關技術，幫助國防信息網絡實現對“任意時間、任意位置、任意人員”的最低權限管理控制。該技術的發展將是美國國防部信息系統向零信任架構邁進的重要舉措之一。

美國白宮管理預算辦公室（OMB）正開發一套用于零信任架構的系統，為訪問者的可信度進行評分，判斷對方是否有權訪問網絡或應用程序，新系統將在用戶評分不高時發出提醒。

美國空軍的《首席信息官公共戰略》指出，將在 2023-2028 財年重點發展微隔離、軟件定義邊界等關鍵技術，支持空軍各基地的信息體系逐步向零信任架構邁進，建立空軍作戰環境的多層次安全體系，加強其網絡安全防御水平。

近年來，美國政府與美軍持續增加預算投入，推進零信任架構與關鍵技術的研發，既有助于加速零信任理念的落地，也為美國搶占全球零信任新興技術制高點奠定基礎。

（四）循序漸進，落地實施原型系統

美國國防部一直以來使用聯合區域安全棧（JRSS）作為標準化的網絡中間層安全設備。美國國防部作戰試驗鑒定局（DOT&E）在 2020 財年《國防部作戰試驗鑒定年度報告》（Director Operational Test and Evaluation Annual Report）中指出，以零信任架構替代聯合區域安全棧，承擔起保護國防部網絡中間層安全的重任。

在頂層戰略持續指引和關鍵技術迭代發展的背景下，美國國防信息系統局于 2021 年 5 月發布關于零信任的落地項目“雷霆穹頂”（Thunderdome）的信息請求，又于 2021 年 7 月發布“雷霆穹頂”方案的白皮書請求（Request for White Paper DISAOTA-21-9-Thunderdome）。2022 年 1 月，美國國防信息系統局授予美國博思艾倫咨詢公司（Booz Allen Hamilton）一份價值 680 萬美元的合同，開展“雷霆穹頂”原型系統的開發、測試、運維等工作。此舉標志美國零信任架構正式進入落地階段；2022 年 8 月，雙方再次延長 6 個月合同期，旨在將涉密互聯網協議路由網絡納入該計劃，進一步確保國防部信息系統安全性。“雷霆穹頂”原型系統的安全防護功能將符合美國政府的網絡安全要求，并與《加強國家網絡安全的行政令》和《數字現代化戰略》的戰略要求保持一致。

（五）廣泛試點，摸索推廣應用途徑

近年來，美國國防部、各軍種已經開展了多個零信任試點項目，并從這些項目中吸汲取經驗教訓，摸索零信任的推廣應用途徑。

為實現零信任戰略目標，美國國防部制定了行動方案：一是制定零信任“五年工作計劃”。國防部制定了為期五年的工作時間表，要求國防部各組成機構在 2023 財年前對遺留系統進行試點，在 2023 財年第四季度前統計所有網絡流量，在 2023 年底前將零信任部署到生產系統中，在 2023 年 9 月 23 日前向首席信息官辦公室提交零信任執行計劃。二是依托商業云。美國國防部將依托行業承包商的專業能力開發適用于零信任架構的云環境。三是利用政府的私有云。美國國防部將政府的私有云視作實現零信任“高層級目標”的重要支撐環境。此外，美國國防部還以零信任為原則在其所有部門推廣“合規連接”（Comply-to-Connect，C2C）框架并投入大量資金，將該框架視為采用零信任架構的構建模塊。“合規連接”將通過設備識別、自動編排和持續監控提升網絡安全。

美國陸軍在 2020 年就開始與美國國防信息系統局推行零信任試驗項目，組成試驗團隊并基于微軟“Microsoft 365”系統的安全環境部署零信任架構，基于現用技術和設備實現零信任架構。美國空軍網絡司令部通過一系列零信任試點工程，為其后續大范圍推廣零信任架構奠定基礎。目前，美國空軍已經在佛羅里達州帕特里克太空部隊基地的發射系統及加利福尼亞州比爾空軍基地的基地運營系統中部署了零信任架構，把零信任作為提高信息戰能力的核心技術，為服務全域作戰提供支撐。美軍運輸司令部在其機密網絡上實施零信任安全模型，提高其網絡安全態勢感知與檢測能力。

三、美國部署零信任架構的影響

美國政府與美軍推進零信任落地，除了極大提升網絡安全整體水平外，還將影響網絡空間的多個領域：將其防御重點從“保護網絡”向“保護數據與資源”轉變；降低美國政府與軍方的運營風險、改變人員構成、縮減潛在成本；提高網絡的合規性、可視化與自動化管理水平。

一是從“以網絡為中心”轉向“以數據為中心”的網絡安全模式。零信任架構有望消除美國國防部傳統的“以網絡為中心”的安全模式，推動從“以網絡為中心”向“以數據為中心”的安全模式轉變，其防御重點也將從“保護網絡”向“保護數據資源”轉變。這種思路還將促進美國政府、美軍的信息化建設模式的變化。美國傳統的“聚焦網絡”的信息化建設工作，將逐步轉向“聚焦數據資源的使用與共享”。

二是顯著提升美國政府與美軍的網絡安全水平。美國認為，向零信任架構的轉變是一個重大變化，即“拒絕所有、允許例外”，而不是之前的“允許所有、拒絕例外”。傳統的安全模式類似黑名單方式——允許絕大多數網絡訪問，僅拒絕少數例外情況；而零信任帶來的安全模式類似白名單方式——拒絕大多數網絡訪問，僅允許少數例外情況，而少數“例外”情況是經過認證和授權的合法訪問。隨著美國政府、美軍的用戶和終端的數量不斷增加，網絡攻擊面也隨之增加，其網絡安全防御面臨極限挑戰，因此，迫切需要采用零信任架構，通過為網絡的特定應用程序和服務創建特定的訪問規則，抵消美國國防信息網絡的漏洞，提升網絡安全水平。

三是降低政府與軍方的運營風險、縮減潛在成本。一方面，部署零信任架構可幫助美國政府、美軍降低運營風險，由于零信任架構設計大大增加了網絡透明度，使運營風險能得到識別，美國政府、美軍可采取相關管理手段進行有效管控；另一方面，零信任通過策略與控制排除了大量試圖訪問資源的用戶、設備，使惡意行為受到限制，被攻擊面減小，可大大降低網絡安全事件數量，節省美國政府、美軍響應安全事件的時間與人力，提高效率，縮減潛在運營成本。

四是提高網絡合規性、可視化與自動化管理水平。零信任的動態防御思路與美國近年來新出臺的重要安全法律、法規、標準中提及的動態防御理念不謀而合；零信任的身份認證與訪問管理、軟件定義邊界等解決方案也與相關網絡安全法令、指南高度吻合。零信任架構具備的多項安全控制措施均滿足合規條款，能減少違規；零信任架構還能使安全審計師更容易看清網絡，便于進行合規審計工作。此外，由于安全自動化是零信任基礎設施的關鍵功能，因此，部署零信任架構也將增強美國政府及美軍的網絡自動化管理水平。