美國聯邦政府零信任戰略
這無疑是目前零信任應用領域的最大消息——表明整個美國聯邦政府已經正式開啟零信任戰略。
美國管理和預算辦公室(OMB)在2021年9月7日發布了《聯邦零信任戰略》(Federal Zero Trust Strategy)草案,以支持第14028號行政指令(EO 14028)《改善國家網絡安全》,以改變民用機構的企業安全架構,使其基于零信任原則。
拜登總統曾在EO 14028中指出:“漸進式改進不會為我們提供所需的安全性;相反,聯邦政府需要做出大膽的改變和重大的投資,以保護支撐美國生活方式的重要機構。” 而本次的《聯邦政府零信任戰略》無疑就是對此的最好支持和回應。《聯邦政府零信任戰略》的目的是將政府機構的企業安全架構遷移到零信任架構。但該戰略文件只是一個起點,而不是完全成熟的零信任架構的綜合指南。當然,零信任的成熟度模型和參考架構,已經在該戰略的參考文獻中列出,政府機構應該使用它們來規劃和執行其長期安全架構的遷移計劃。本戰略草案的PDF文檔有23頁,譯文大概1萬5千字。筆者概述了本戰略的內容要點,并做了相關解讀。
關鍵詞:《聯邦政府零信任戰略》(Federal Zero Trust Strategy);OMB(管理和預算辦公室);EO 14028(第14028號行政指令,Executive Order 14028)《改善國家網絡安全》;MFA(多因素認證);CISA (網絡安全和基礎設施安全局);GSA(總務管理局)
戰略背景解讀
《聯邦政府零信任戰略》(Federal Zero Trust Strategy)草案發布的網站截圖如下:
本戰略文檔開宗明義:“管理和預算辦公室(OMB)在2021年9月7日發布了《聯邦政府零信任戰略》草案,以支持第14028號行政指令(EO 14028)《改善國家網絡安全》,以改變民用機構(civilian agencies)的企業安全架構,使其基于零信任原則。”
筆者對上面這段文字,給予解讀:
1)零信任戰略是用來支撐EO 14028的。
該戰略中也重申了EO 14028的重要性:“成功地使聯邦政府的安全方法現代化,需要全政府的努力。2021 年 5 月,總統發布了第14028號行政指令 (EO),《改善國家網絡安全》,啟動了政府范圍內的全面努力,以確保基線安全實踐到位,將聯邦政府遷移到零信任架構,并實現基于云的基礎架構的安全優勢,同時降低相關風險。”很明顯,EO 14028中已經對聯邦政府向零信任架構的遷移做出了明確指示。而這次發布的《聯邦零信任戰略》就是進一步明確聯邦政府零信任戰略的實施。
2)戰略中最重要的關鍵詞無疑是“機構”(agencies)。
簡單理解,主要是指政府機構。那為什么要強調“民用機構”(civilian agencies)呢?這主要是和美國國防部這類的“軍用機構”劃分界限。我們可以簡單將本戰略中的“民用機構”理解為“政府機構”。
3)為什么要保護這些政府機構?
該戰略中提到:“每天,聯邦政府都在執行獨特且極具挑戰性的任務:機構保護我們國家的關鍵基礎設施、開展科學研究、參與外交、為美國人民提供福利和服務,以及許多其他公共職能。為了有效地執行這些任務,我們的國家必須明智而積極地利用現代技術和安全實踐,同時避免惡意網絡活動造成的破壞。”
4)零信任戰略的目的是將政府機構的企業安全架構遷移到零信任架構。
這里面的“企業安全架構”就不多解釋了。在美國人眼中,一切機構皆為“企業”,不論民用機構還是軍用機構。比如,美國國防部,就是最典型的“企業”。
5)評論期很短,正式版可能很快發布。
注意到,該戰略草案的評論期只有兩周(2021年9月21日之前),時間很短。說明OMB希望盡快發布正式版。
6)美國國防部是美國聯邦政府機構的零信任先鋒。
美國機構雖然有軍用和民用之分,但不要輕視美國國防部對美國聯邦政府的影響力。美國國防部曾經稱自己不是一個“熱衷于追求熱詞”的部門。但在零信任這個方向上,國防部如此激進,甚至走在所有聯邦政府機構的前頭,就是因為美國國防部提前認識到零信任的價值。而現在整個聯邦政府都全面轉向零信任架構,不能不說:美國國防部功不可沒。筆者當然是深知美國國防部的影響力,所以才會在美國國防部開始重視零信任的早期,就密切關注零信任形勢的發展。
7)對聯邦機構而言是一個重大轉變
盡管零信任背后的概念并不新鮮,但對聯機構而言仍然是一個重大轉變,因為從概念上消除了對設備和網絡的隱式信任。這要求美國政府機構的安全架構必須假設——網絡和其他組件將受到入侵和損害,并且要求遵循最小權限原則。
8)聯邦政府零信任戰略是一項大膽的行動。
對于像聯邦政府這樣復雜且技術多樣的企業來說,過渡到零信任架構不是一項容易的任務。但正如拜登總統在 EO 14028 中所述,“漸進式改進(Incremental improvements)不會為我們提供所需的安全性;相反,聯邦政府需要做出大膽的改變(bold changes)和重大的投資(significant investments),以保護支撐美國生活方式的重要機構。”
9)零信任戰略實施進展時間要求:
該戰略要求政府機構在2024 財年(FY) 結束前,實現特定的零信任安全目標(具體目標參加下文中的五個支柱)。
EO 14028要求各機構制定自己的零信任架構實施計劃。在本戰略發布之日起 60 天內,各部門和機構應在各自零信任架構實施計劃的基礎上,納入本戰略中規定的額外要求,并向 OMB 提交 22-24 財年的實施計劃和 23-24 財年的預算估算。機構應在22財年重新確定資金的優先次序,以實現優先目標,或從其他來源尋求資金。
自本戰略發布之日起,部門和機構將有 30 天的時間,為其組織指定和確定零信任架構實施負責人。OMB將依靠這些指定的領導,進行政府范圍內的協調以及參與每個組織內的規劃和實施工作。
戰略路徑解讀
1)聯邦零信任戰略不是什么?
零信任戰略并不試圖描述或規定一個完全成熟的零信任實現。甚至不鼓勵任何機構超越此戰略中所述的行動。該戰略的目的是通過制定機構必須采取的初始步驟,將所有聯邦機構置于一個共同路線圖上,以使其邁向通往高度成熟的零信任架構的旅程。它承認每個機構目前處于不同的成熟狀態。
2)聯邦零信任戰略是什么?
零信任戰略的目標是加速各機構實現早期零信任成熟度的共享基線。對于政府機構來說,轉向零信任架構將是一個多年的旅程。“EO 14028 指示機構專注于滿足整個政府的關鍵基線安全措施,例如通用日志記錄、多因素身份驗證 (MFA)、可靠的資產清單、無處不在的加密使用,并采用零信任架構。” 該戰略試圖將機構引導到零信任架構道路上的最高價值起點,并描述了應優先考慮的幾種共享服務。簡單地說,聯邦零信任戰略是將政府機構引導到零信任的正確道路上,而且只是開了個頭。
3)聯邦零信任戰略設想了一個聯邦零信任架構:
支持跨聯邦機構的強大身份實踐;
依賴加密和應用程序測試,而非邊界安全;
識別政府擁有的每一個設備和資源;
支持安全行動的智能自動化;
支持安全、穩健地使用云服務。
4)零信任戰略要達成的零信任目標分為五個支柱:
(分組依據是CISA (網絡安全和基礎設施安全局)零信任成熟度模型的五個支柱)
身份:機構工作人員使用企業范圍的身份,來訪問他們在工作中使用的應用程序。防網絡釣魚MFA,可保護這些人員免受復雜的在線攻擊。
設備:聯邦政府擁有其運營和授權供政府使用的每臺設備的完整清單,并且可以檢測和響應這些設備上的事件。
網絡:機構在其環境中加密所有DNS請求和HTTP流量,并開始圍繞其應用程序對網絡進行分段。聯邦政府確定了對傳輸中的電子郵件進行加密的可行途徑。
應用程序:機構將所有應用程序視為連接到互聯網的應用程序,定期對其應用程序進行嚴格測試,并歡迎外部漏洞報告。
數據:機構在部署利用徹底數據分類的保護方面有一條清晰、共享的路徑。機構正在利用云安全服務來監控對其敏感數據的訪問,并實施了企業范圍的日志記錄和信息共享。
為什么美國國防部的零信任架構是七大支柱,而聯邦政府卻是五大支柱?
本質上,兩者是一致的。看似消失的兩個支柱——可見性和分析、自動化和編排,實際上是兩類橫切系統(在下圖的底座中),貫穿到五大支柱(縱向系統)中。
零信任的基礎:五大支柱和三大基座
5)《美國國防部零信任參考架構》仍是聯邦政府零信任架構的重要參考。
該戰略確實完整引用了《美國國防部零信任參考架構》中的零信任原則,不再贅述。
6)聯邦零信任戰略的相關干系人。
機構的首席財務官、首席采購官、機構領導層的其他人員,需要與其IT和安全領導層合作,以構建運營模型(operational model)來部署和維持零信任能力。
7)聯邦零信任戰略非常推崇對云的使用。
該戰略鼓勵機構利用云基礎設施中豐富的安全功能,該戰略也多處引用云服務。
8)五大支柱目標的分解行動
如后文所述。
支柱目標1:身份
1)愿景
機構工作人員使用企業范圍的身份,來訪問他們在工作中使用的應用程序。防網絡釣魚MFA可保護這些人員免受復雜的在線攻擊。
2)行動
機構必須為機構用戶建立單點登錄 (SSO)服務,該服務可以集成到應用程序和通用平臺(包括云服務)中。
機構必須在應用程序級別實施 MFA,并在可行的情況下使用企業 SSO。
對于機構工作人員、承包商和合作伙伴:防釣魚MFA是必須的。
對于公共用戶:防釣魚MFA必須是一個選項。
機構必須采用安全的口令策略,并根據已知泄露的數據檢查口令。
CISA 將為機構提供一項或多項可以私下檢查口令的服務,而不會暴露這些口令。
3)關鍵舉措
1. 企業范圍的身份
2. 多因素認證,抵御網絡釣魚
- 面向公眾的身份驗證
4. 使用強口令策略
支柱目標2:設備
1)愿景
聯邦政府擁有它運行和授權用于政府工作的每臺設備的完整清單,并且可以檢測和響應這些設備上的事件。
2)行動
機構必須參與 CISA 的持續診斷和緩解(CDM) 計劃。
CISA 將 CDM 計劃以最小特權原則為基礎,并優先考慮在基于云的基礎設施中的有效運行。
機構必須確保每個人工操作的企業配置設備,都有機構選擇的端點檢測和響應 (EDR) 工具。
CISA 將與機構合作,填補 EDR 覆蓋范圍的空白。
機構必須向 CISA 提供對 EDR 數據的持續訪問。
3)關鍵舉措
盤點資產
政府范圍的EDR(端點檢測和響應)
支柱目標3:網絡
1)愿景
機構在其環境中加密所有 DNS 請求和 HTTP 流量,并開始圍繞其應用程序對網絡進行分段。聯邦政府確定了對傳輸中的電子郵件進行加密的可行途徑。
2)行動
在技術支持的任何地方,機構都必須使用加密的 DNS 來解析 DNS 查詢。
CISA 的保護性 DNS 程序,將支持加密的 DNS 請求。
機構必須對其環境中的所有 Web 和應用程序接口 (API) 流量,強制實施 HTTPS。
CISA 將與機構合作,將他們的 .gov 域“預加載”到網絡瀏覽器中,使其只能通過 HTTPS 訪問。
CISA 將與 FedRAMP 合作,評估MTA-STS作為加密電子郵件的可行的政府范圍內解決方案,并向 OMB 提出建議。
機構必須與CISA 協商制定網絡分段計劃并將其提交給 OMB。
3)關鍵舉措
加密 DNS 流量
加密 HTTP 流量
加密電子郵件流量
圍繞應用程序分段網絡
支柱目標4:應用
1)愿景
機構將他們的應用程序視為連接到互聯網,定期對其進行嚴格的實證測試,并歡迎外部漏洞報告。
2)行動
機構必須運行專門的應用程序安全測試程序。
機構必須利用專門從事應用程序安全的高質量公司,進行獨立的第三方評估。
CISA 和 GSA 將共同努力,使此類公司可用于快速采購。
機構必須維持有效且受歡迎的公開漏洞披露計劃。
CISA 將提供一個漏洞披露平臺,使機構系統所有者可以輕松地直接接收報告并與安全研究人員接觸。
機構必須確定至少一個面向內部的 FISMA 中級(Moderate)應用程序,并使用企業 SSO 使其可通過公共互聯網訪問。
CISA 和 GSA 將共同努力,為機構提供有關其在線應用程序和其他資產的數據。
機構必須向 CISA 和 GSA 提供他們使用的任何非 .gov 主機名。
3)關鍵舉措
應用安全測試
容易獲得的第三方測試
歡迎應用漏洞報告
安全地使應用程序可訪問互聯網
發現可上網的應用程序
支柱目標5:數據
1)愿景
機構在部署利用徹底數據分類的保護方面有一條清晰、共享的路徑。機構利用云安全服務和工具來發現、分類和保護他們的敏感數據,并實現了企業范圍的日志記錄和信息共享。
2)行動
OMB 將與聯邦首席數據官和首席信息安全官合作,制定零信任數據安全策略和相關的實踐社區。
機構必須對數據分類和安全響應進行一些初始自動化,重點是標記和管理對敏感文檔的訪問。
機構必須審計對商業云基礎設施中任何靜態加密數據的訪問。
機構必須與 CISA 合作實施全面的日志記錄和信息共享功能,如OMB 備忘錄 M-21-31 中所述。
3)關鍵舉措
聯邦數據安全策略
自動化安全響應
審計對云中敏感數據的訪問
及時獲取日志
本戰略的參考文件
本戰略指出:一段時間以來,聯邦政府一直在為過渡到零信任架構做準備。一些機構已經發布了對其他機構有幫助的架構模型:
CISA 的零信任成熟度模型:是對零信任“支柱”的高級概述,展示了機構如何發展到“高級”和“最佳”狀態,并描述了 CISA 服務產品如何與這些支柱保持一致。
CISA 《云安全技術參考架構》:與美國數字服務部(United States Digital Service)和 FedRAMP 合作,為安全云架構和遷移策略提供了更詳細的參考。
NIST SP 800-207《零信任架構》指南:為零信任架構的關鍵原則提供了共識定義和框架,同時描述了具有不同風險狀況和技能集的組織可以采用的幾種不同的零信任架構方法。
NIST NCCoE(國家網絡安全卓越中心)已啟動“實施零信任架構”計劃:與行業合作伙伴合作,將 NIST SP 800-207 中的概念應用于傳統企業架構。
GSA《零信任架構買家指南》:可以幫助機構確定提供與機構零信任實施相關的產品和服務的 GSA 合同工具。
《國防部零信任參考架構》:全面描述了國防部計劃在其系統中執行的潛在安全功能和架構控制。
戰略草案原文鏈接:https://zerotrust.cyber.gov/federal-zero-trust-strategy/
