零信任與美國網絡安全行政令
2021年5月12日,美國總統拜登簽署了推進美國網絡安全的行政令。行政令概述了美國聯邦政府加強美國網絡安全的計劃,并將零信任作為這一過程的主要支柱。
網絡安全行政令
這份行政令可視為對近期幾起重大網絡安全事件(SolarWinds、Kaseya、Colonial Pipeline等)的回應,也可當作美國接受了聯邦各部門和機構無法妥善保護自身系統安全的現實。2021年8月,題為《聯邦網絡安全:美國的數據仍面臨風險》的參議院報告評論道:“該報告發現,八家接受調研的聯邦機構中有七家仍未達到基本的網絡安全標準,不足以保護美國的敏感數據。”
政府的結論很簡單:“漸進式改善給不了給我們所需的安全;相反,聯邦政府需要做出大膽改變并加大投資,從而保護支撐美國生活方式的重要機構。”
行政令分八個章節概述了這些“大膽改變”:改進威脅信息共享;現代化網絡安全(加速云遷移并引入零信任架構);加強供應鏈安全;建立網絡安全審查委員會;標準化對漏洞和事件的響應;改進漏洞檢測和事件檢測;提升調查和修復能力;豁免國家安全系統。
行政令僅針對聯邦各部門和機構,但其價值和意圖遠不止于此。
行政令的目的
私營部門各位首席信息安全官之間流傳的看法是,“沒要求的事兒就不會發生。”要求來自立法,但法律要數年時間才能頒布執行。網絡安全可等不起。行政令部分短路了這一過程:雖然范圍僅限于聯邦部門和機構,但行政令對網絡安全作出了即時要求。不過,希望廣大私營部門也能采納行政令中的建議。
為更好地理解這份行政令的目的,尤其是與零信任的關系,網絡安全媒體采訪了退役海軍少將Mike Brown(現任Spinnaker Security總裁,前國土安全部網絡安全協調主管,曾參與多份行政令擬制)和SecZetta創始人兼首席執行官David Pignolet。
Pignolet稱:“行政令可以激發意識。而意識能夠驅動資源。如果已經重要到政府要如此關注,那可能私營部門也得照做。所以,董事會現在開始主抓企業內部的網絡安全策略,因為與政府保持一致是聯邦的強制要求。”
但是,一份行政令顯然無法詳細描述規定性網絡安全要求。所以,行政令也沒想著這么做。相反,行政令列出了如何達到既定結果的計劃。行政令就是關于計劃的計劃,具體到這份行政令上,那就是網絡安全改善計劃的計劃。該行政令針對聯邦部門和機構,但也指向私營部門;尤其是那些可能不具備開發實現自身計劃所需資源的小企業。
零信任計劃的計劃
美國國防部、國家安全局和國土安全部的網絡安全專家,也就是指導政府意見的那些人,已經明確了向云遷移和實現零信任架構是改善美國網絡安全態勢最直接、最實用的兩種方法。
Pignolet稱:“作為實踐者,我們仍在試圖定義零信任。不同人眼中的零信任具有不同的形態。”這就是給計劃制定計劃的部分目的:“在未來12到18個月里,我們將看到零信任真正定義的演進,以及構成零信任架構的各個部分。”
Brown用保衛房子的比喻來解釋這一基本前提。“拿保衛房子來類比網絡安全,我們常見的策略是不僅僅要鎖上大門,還要鎖上后門和全部窗戶。”這是經典的外圍防御。
“但是,我們發現這沒什么效果。而零信任概念應用到房子上意味著每道門和每扇窗,包括房子內部的門窗,都需要單獨的鑰匙(密鑰)和授權。屋子里的每個房間、每個櫥柜、每個抽屜,都需要不同的授權和身份驗證重點。”
在適用于獲取訪問權的“信任但驗證”場景中,不再是一套鑰匙通萬物,而是萬物都必須有各自的一套鑰匙。“但當今世界中的很多東西都無法僅靠人來實現有效管控。我們的環境中存在非人元素,這正是該行政令試圖解決的部分問題:零信任策略中的運營技術。”
萬事萬物的鑰匙和鎖僅僅是問題的一部分,誰在什么時候拿著哪把鑰匙也是個問題。正確的人必須在正確的時間持有相應資產的正確鑰匙,其中囊括了全職員工、承包商和供應商。供應商訪問權限對于緩解供應鏈攻擊尤為重要。這將需要正式的身份授權。
保護憑證及其使用也必須涵蓋在內。這份計劃的計劃中寫道:“本行政令頒布之日起180天內,機構應對靜態數據和傳輸中數據實施多因素身份驗證和加密。”
簡要總結一下,我們可以看到,零信任架構需要對資產進行識別和微分隔;所有授權用戶遵循最小權限原則識別、驗證和頒發所需密鑰(同樣的原則適用于設備到設備訪問和供應商訪問);密鑰需安全創建和存儲;要使用由多因素身份驗證控制的密鑰。
這份行政令是開發集成參考架構的計劃,想要成功開發和實現零信任網絡安全方法,美國聯邦各部門和機構必須采用此架構,資源不足的私營公司也應該采用此架構。Pignolet稱:“關于如何運營零信任的參考架構將由聯邦政府定義。這是私營行業可以使用的資源。私營部門公司不必都去按照自己對零信任的理解來構建自己的參考架構,聯邦政府會提供這個資源,里面至少用政府的語言定義了零信任,私營公司可以用來構建他們自己的基礎架構。”
