致美國總統的零信任報告 - 網安 - 專業的網絡安全產業、社區、知識平臺

2022年2月23日，總統國家安全電信咨詢委員會（NSTAC）投票通過了一份致拜登總統的零信任報告《零信任和可信身份管理》。CISA（網絡安全和基礎設施安全局）在其官網上發布了該報告。

在此前1個月（2022年1月26日），拜登政府發布了《聯邦政府零信任戰略》，對政府機構在兩年半內實施零信任做出計劃要求。

NSTAC報告總體上做了兩方面工作：

一是給出了零信任實施模型。即先通過DAAS（數據、應用程序、資產、服務）來定義保護面，然后采用五步流程法實施零信任。其中，使用Kipling方法編寫零信任策略，使用成熟度模型來度量零信任進展。

二是提出了零信任實施的長期建議。為什么是“長期”？因為NSTAC認為：聯邦政府零信任戰略雖然名為“戰略”，但只是關注了兩年半的短期行為。而對于未來十年的考量，卻存在疏忽。而NSTAC報告正是為了填補這一長遠考量的空白。

人有近憂又有遠慮。筆者從聯邦政府零信任戰略和這份NSTAC報告中，看到了深深的焦慮：如果說，聯邦政府零信任戰略解決了兩年半內的短期焦慮——給出了任務矩陣；那么，NSTAC報告旨在解決兩三年后的長期焦慮——提出了24條建議和9條關鍵建議。

注：NSTAC報告的PDF文檔有56頁，譯文大概3.5萬字。報告原文下載地址，參見本文圖1下方。

關鍵詞：NSTAC（總統國家安全電信咨詢委員會）；DAAS（數據、應用程序、資產、服務）；Kipling方法；OMB（管理和預算辦公室）；CISA（網絡安全和基礎設施安全局）；FISMA（聯邦信息安全管理法案）；NIST（國家標準與技術研究所）

目錄

1.報告背景

2.零信任實施模型（方法論）

3.報告建議條目

4.九項關鍵建議

5.報告詳細目錄

圖1-報告首頁

報告原文地址：

https://www.cisa.gov/sites/default/files/publications/NSTAC%20Report%20to%20the%20President%20on%20Zero%20Trust%20and%20Trusted%20Identity%20Management.pdf

報告背景

總統國家安全電信咨詢委員會（NSTAC）的職責是向總統辦公廳（EOP）提供基于業界的分析和建議，說明政府如何制定政策或采取行動，以加強國家安全和應急準備（NS/EP）通信。

1）三箭連發

2021年5月，白宮責成NSTAC開展一項多階段研究任務“增強2021年之后的互聯網彈性”。該任務要求NSTAC研究對美國國家安全和應急準備至關重要的三個關鍵網絡安全問題：

商業信息和通信技術供應鏈中的軟件保障。
零信任和可信身份管理。
信息技術（IT）和運營技術（OT）的融合。

NSTAC已經在2021年11月提交了第1階段的供應鏈軟件保障報告。這次提交的是第2階段的《零信任和可信身份管理》報告。而第3階段的工業物聯網安全還處于研究過程中。

2）戰略延續

2022年1月26日，拜登政府發布了《聯邦政府零信任戰略》，要求各機構在2024財年結束之前（即2024年9月底之前，即兩年半時間內），實現具體的零信任安全目標。這些目標按照零信任的五大支柱分別設置。

NSTAC報告認為：當前和未來的政府必須將聯邦零信任過渡視為國家的當務之急，并因此建立必要的領導優先順序、資金和問責機制，以在未來十年維持政府對零信任的整體承諾。為了實現這一目標，NSTAC提出了24條建議和9條關鍵建議（參見本文的后文）。

3）主要內容

報告的主要內容是：

第0章：概述報告摘要；
第1章：回顧美國聯邦政府零信任戰略；
第2章：介紹零信任實施模型，主要包括五步流程和成熟度模型；
第3章：提出建議，解決聯邦政府零信任戰略實施的障礙；
第4章：提出建議，解決非聯邦實體零信任戰略實施的障礙；

注：報告詳細目錄，放在了本文末尾。

零信任實施模型（方法論）

NSTAC總結了一套零信任實施模型，本質是零信任實施方法論。它基于保護面的概念，采用五步流程法來實施零信任，并使用成熟度模型來度量零信任進展。

1）定義保護面和DAAS

保護面：是零信任策略保護的區域。

每個保護面都包含單個DAAS（數據、應用程序、資產、服務）元素。
每個零信任環境可以包含多個保護面。
零信任架構則以“每個保護面”為基礎進行構思，由內而外設計，從保護面開始向外移動。

DAAS（數據、應用程序、資產、服務）：進入單個保護面的敏感資源。

數據：如果泄露或誤用，會造成最大風險的敏感數據。示例包括支付卡信息、受保護的健康信息、個人身份信息、知識產權。在政府背景下，還包括機密信息、國家安全信息、受控非密信息。
應用程序：使用敏感數據或控制關鍵資產的應用程序。
資產：包括組織的信息技術（IT）、運營技術（OT）、物聯網設備。
服務：組織最依賴的服務。示例包括域名系統（DNS）、動態主機配置協議（DHCP）、目錄服務、網絡時間協議（NTP）、定制的應用程序編程接口（API）。

2）梳理零信任實施五步流程

圖2-零信任實施五步流程（極簡版）

對上面這五步流程的具體描述，如下表所示：

表3-零信任實施五步流程（含可量化進度指標）

3）給出零信任成熟度模型

報告在附錄A中給出了零信任成熟度模型。該模型將零信任成熟度（橫向維度）與零信任實施五步流程（縱向維度）相結合。如下所示：

表4-NSTAC零信任成熟度模型

聯邦零信任戰略中引用了CISA零信任成熟度模型。筆者對比了NSTAC零信任成熟度模型與CISA零信任成熟度模型，發現主要區別是：

成熟度維度不同：CISA模型的成熟度劃分為3個階段，即傳統、高級、最優；而NSTAC模型的成熟度劃分為5個階段，即初始、可重復、定義、管理、優化。
另一個維度不同：CISA模型的另一個維度是五大支柱，即身份、設備、網絡、應用程序工作負載、數據；而NSTAC模型的另一個維度是五步流程，如圖2和圖3所示。

4）使用Kipling方法編寫零信任策略

Kipling方法：是一種創建零信任策略的方法，描述了資源訪問的人員、內容、時間、地點、原因、方式（Who, What, When, Where, Why, How）：

Who：應該允許誰訪問資源？
What：允許斷言的身份用于訪問資源的應用程序是什么？
When：何時允許斷言的身份訪問資源？
Where：資源位于哪里？
Why：為什么允許用戶（Who）訪問資源？
How：流量訪問資源時應如何處理？

作為示例，報告在附錄B中，采用Kipling方法，給出了目錄服務管理員的零信任策略示例：

表5-目錄服務管理員的零信任策略示例

表中這條零信任策略的具體含義是：成功完成MFA（多因素認證）的管理員用戶（由組成員身份而非源IP地址定義），可以在通過IDS（入侵檢測系統）和DPI（深度數據包檢查）檢查后的任何時間（24/7），使用“目錄管理工具應用”（Directory Admin Tool App）（由web/client-server/SSH而不是端口和協議定義），訪問“Dir_Server_Loc（目錄服務器位置）” （由工作負載上的標簽而非目標IP地址定義）的服務器，因為他需要管理目錄服務的“元數據”。

筆者對Kipling方法實在是太喜歡，于是就嘗試尋找它的來源。結果發現它真地就是經典的"5W1H"方法論。

圖6-Kipling

諾貝爾文學獎得主、英國作家Kipling在1902年出版的《原來如此故事集》中寫道：

我有六個誠實的仆人，

他們教會了我所知道的一切。

他們的名字是What和Why和When

和How和Where和Who。

5）給出了零信任成熟度模型的示例

由于目錄服務是控制訪問權限的核心，因此它是攻擊者的主要目標。在零信任上下文中，目錄服務是支持身份認證和授權的底層基礎設施。它的失陷會使任何零信任的實施變得無效。所以，報告專門在附錄B中給出了目錄服務的零信任成熟度模型示例。

對于其它類型的關鍵性服務，可以參考這個示例，制定零信任實施成熟度模型。

報告建議條目

NSTAC報告中所有建議的條目如下：

24條建議：除了粗體標記的條目（即5個標題），其它所有條目正好構成24條建議。
9條關鍵建議：以綠色標記的條目，是報告聲稱的最關鍵的9條建議。

3. 解決聯邦政府零信任戰略實施的障礙和促進因素

3.1. 解決監督問題并建立成熟度指標

3.1.1. 通過零信任戰略實施的進度指標，加強問責制

3.1.2. 通過進度指標，提高透明度并支持持續改進

3.1.3. 成立工作組，為關鍵聯邦企業基礎設施服務開發零信任成熟度模型

3.2. 解決治理障礙和促進因素，以實現聯邦對零信任的持續承諾

3.2.1. 將零信任原則納入聯邦網絡安全政策

3.2.1.1 闡明零信任戰略與FISMA要求之間的一致性

3.2.1.2 自動化FISMA合規任務

3.2.2. 將零信任實踐納入聯邦網絡安全技術計劃

3.2.2.1 利用CISA網絡安全部門的計劃和服務

3.2.2.2 明確將CISA的CDM(持續診斷和緩解)計劃與零信任對齊

3.2.2.3 建立一個民間零信任項目辦公室

3.2.2.4 優先創建CISA共享安全服務，以發現互聯網可訪問資產

3.2.2.5 在擬定的民用和國防零信任計劃辦公室之間建立協同關系

3.2.3. 將零信任實踐納入聯邦網絡安全預算和采購流程

3.2.3.1 擴大采購工具的范圍

3.2.3.2 鼓勵各部門和機構為零信任確定額外資金

3.2.3.3 在聯邦技術采購中傳達對零信任的支持

3.3. 解決技術障礙和促進因素，以實現聯邦對零信任的持續承諾

3.3.1. 在特別出版物中評估零信任生態系統技術互操作性

3.3.2. 鼓勵采用云計算

3.3.3. 探索新的可信身份管理方法

4. 發揮聯邦政府在激勵非聯邦零信任采納方面的作用

4.1. 提高和維系公眾意識

4.2. 制定和完善標準和指南，包括國際標準和指南

4.3. 在為IT安全現代化提供的聯邦撥款中激勵零信任

4.4. 在聯邦采購中考慮對零信任的偏好

4.5. 考慮監管救助行動

九項關鍵建議

下面對報告中最關鍵的九項建議，展開其內容。筆者也分別做了“評論”。而更多的詳情，可以參見報告原文中的對應章節。

1）加強問責制，以度量聯邦零信任進展（對應于3.1.1節）

聯邦首席信息安全官（CISO）應該與國家網絡總監（National Cyber Director）密切合作，針對零信任最佳實踐，制定基于進度指標的報告要求，如表3中的第3列所示。報告責任需在機構CISO或以上級別。

評論：美國政府實在是太擅長搞量化指標了！用量化指標來評估效果，才能有效問責。

2）提高聯邦零信任進程的透明度（對應于3.1.2節）

聯邦政府必須致力于在記錄零信任進程中的經驗教訓方面保持透明度，在政府內部培養持續改進的文化，并教育更加廣泛的國家生態系統。管理和預算辦公室（OMB）應要求各機構每年至少發布一個零信任用例，記錄實施經驗教訓。OMB應與美國NIST（國家標準與技術研究所）共同召開年度工作組會議，審查用例，并在適當情況下更新現有的聯邦零信任指南和標準。

評論：既然大家都知道零信任不那么容易落地，就請把各家踩過的坑、繞過的彎都如實共享出來，照亮后人的前行之路吧。

3）為關鍵的聯邦企業基礎設施服務開發零信任成熟度模型（對應于3.1.3節）

OMB應通過聯邦CISO委員會開展全面的流程，以識別目前在聯邦機構中普遍存在并可能至少在未來5年內繼續存在的企業基礎設施服務。一旦確定這些服務后，聯邦CISO委員會應成立一個跨機構工作組，為保護每項服務創建相應的零信任成熟度模型，可以參考附錄B中NSTAC為目錄服務（如Active Directory）創建的零信任成熟度模型示例。

評論：一定要對“聯邦企業基礎設施服務”有正確的理解！“企業”一詞是企業級/全局性/整體性之意，而非一家具體的企業。

評論：企業基礎設施服務有哪些呢？示例包括目錄服務、域名系統（DNS）、動態主機配置協議（DHCP）、網絡時間協議（NTP）等。NSTAC希望為所有關鍵企業基礎設施服務，創建相應的零信任成熟度模型。

評論：為什么要選擇目錄服務作為示例？因為它是核心企業服務，幾乎所有聯邦機構都要用到它，而且這種情況可能還會持續至少十年。

4）將零信任原則與關鍵治理和合規框架相一致（對應于3.2.1.1節）

OMB應發布一份備忘錄，澄清零信任戰略原則與FISMA（聯邦信息安全管理法案）及其相關標準NIST800-53（信息系統和組織的安全控制）的機構合規要求之間的戰略一致性。此外，OMB應責成NIST編制一份特別出版物（SP），將零信任映射到NIST SP-800-53的安全控制，以避免機構遇到其常規的合規義務與長期的零信任轉型之間的沖突。

評論：這一招比較狠！直接給NIST派了工單：將零信任能力映射到NIST SP-800-53的安全控制項。如果真地能做出這個映射，零信任的落地難題就更容易解決了，對零信任的符合性驗證也更簡單了。筆者非常期待！

5）建立一個民用零信任項目辦公室（對應于3.2.2.3節）

網絡安全和基礎設施安全局（CISA）應為聯邦民用機構建立一個專用的零信任項目辦公室，以托管實施指南、參考架構、能力目錄、培訓模塊，并通常作為一個零信任的民間政府知識管理中心。在可行的范圍內，民用零信任項目辦公室應與最近成立的國防部零信任項目辦公室協作并分享最佳實踐。

評論：有軍用，就該有民用。軍民融合，不難理解。

6）創建CISA零信任共享安全服務以發現為互聯網可訪問資產（對應于3.2.2.4節）

CISA應闡明其現有共享服務技術產品如何幫助機構實現零信任。此外，CISA應建立一項新的共享服務，以幫助機構“全面了解其互聯網可訪問資產”，這是任何開始實施零信任的機構所應具備的基礎能力，正如《聯邦零信任戰略》中明確強調的那樣。

評論：為什么各個機構的互聯網暴露資產還需要政府的共享服務來發現呢？這只能說明：發現和跟蹤機構的互聯網暴露資產，對機構自身來說具有很大挑戰性。這也正是Gartner所提的外部攻擊面管理（EASM）能力。由于這種可見性非常重要，機構自己又搞不定，只好請出安全管家CISA，把它做成一項共享型安全服務，普惠所有政府機構，避免安全短板效應。

7）評估零信任生態系統技術互操作性（對應于3.3.1節）

作為國家網絡安全卓越中心（NCCoE）現有零信任工作的延伸，NIST應該評估商業、政府、開源零信任技術解決方案生態系統的技術互操作性。該NIST出版物應該輸出未來的政策和投資建議，以提高零信任架構的采用效率。

評論：關于零信任生態系統的技術互操作性，幾乎是每篇零信任建議書的必談內容。這里就不再贅述了。

8）推進在國際標準機構中的零信任（對應于4.2節）

美國政府在NIST的領導下，與行業合作伙伴密切合作，應該啟動一條多年的路徑，在國際標準機構內部推進零信任。當前零信任指南的持續成熟至關重要；當它們演變為基于共識、得到廣泛認可的國際標準，就可以成為美國政府鼓勵在全國范圍內采用零信任的各種政策行動的基礎，正像NIST網絡安全框架所做的那樣。

評論：這個建議很有趣，但也很自然。由于美國的NIST網絡安全框架（CSF）已經成為國際性的事實標準，它自然也就成為零信任的榜樣。如果能將零信任從美國標準推廣為國際性標準，當然就更好地保障了零信任的發展方向。

9）優先考慮在聯邦IT現代化撥款中采用零信任（對應于4.3節）

CISA應在其自由裁量權中優先考慮零信任項目，以便為各州和地方授予IT安全現代化撥款。在CISA對《州和地方網絡安全促進法案》（屬于《基礎設施投資和就業法案》（IIJA）的一部分）的管理中，這一機會尤其明顯。根據該法案，他們將在未來4年（至2026年）投入10億美元。交通部長、商務部長、能源部長根據IIJA的規定，還擁有自由裁量權，要求資金接收者證明“良好的網絡安全實踐”，作為在其管轄范圍內接收資金的條件。他們應該酌情行使這一權力，鼓勵采納零信任原則。

評論：千言萬語一句話，有錢才是好“爸爸”。只要資金預算和撥款都朝著零信任項目傾斜，還有什么搞不定的呢！

報告詳細目錄

0. 執行摘要

0.1 報告焦點和范圍

0.2 關鍵結論的摘要

0.3 建議的摘要

0.4 九項關鍵建議的詳細信息

1. 介紹零信任和美國聯邦政府的零信任戰略

1.1. 零信任的歷史和基本原則

1.2. 零信任和聯邦政府的網絡安全戰略

2. 零信任實施的業界標準和最佳實踐

2.1. 零信任實施的業界模型

2.1.1. 零信任實施的五步流程

2.1.2. 零信任成熟度模型

2.2. 促進零信任的業界技術能力

3. 解決聯邦政府零信任戰略實施的障礙和促進因素

3.1. 解決監督問題并建立成熟度指標

3.1.1. 通過零信任戰略實施的進度指標，加強問責制

3.1.2. 通過進度指標，提高透明度并支持持續改進

3.1.3. 成立工作組，為關鍵的聯邦企業基礎設施服務開發零信任成熟度模型

3.2. 解決治理障礙和促進因素，以實現聯邦對零信任的持續承諾

3.2.1. 將零信任原則納入聯邦網絡安全政策

3.2.2. 將零信任實踐納入聯邦網絡安全技術計劃

3.2.3. 將零信任實踐納入聯邦網絡安全預算和采購流程

3.3. 解決技術障礙和促進因素，以實現聯邦對零信任的持續承諾

3.3.1. 在特別出版物中評估零信任生態系統技術互操作性

3.3.2. 鼓勵采用云計算

3.3.3. 探索新的可信身份管理方法

4. 發揮聯邦政府在激勵非聯邦零信任采納方面的作用

4.1. 提高和維系公眾意識

4.2. 制定和完善標準和指南，包括國際標準和指南

4.3. 在為IT安全現代化提供的聯邦撥款中激勵零信任

4.4. 在聯邦采購中考慮對零信任的偏好

4.5. 考慮監管救助行動

5. 結論

附錄A. 零信任成熟度模型

附錄B. 零信任成熟度模型的示例：目錄服務

附錄C. 成員和參與者

附錄D. 縮略詞

附錄E. 定義

附錄F. 參考文獻

（本篇完）