亂花漸欲迷人眼,美國政府的《零信任戰略》到底是不是戰略?
新聞解析
當地時間9月7日,美國政府政策部門管理和預算辦公室(OMB)及國土安全部網絡安全和基礎設施安全局(CISA)先后發布了關于零信任的重要政策文件,引起了廣泛關注。多數分析認為,這是美國政府在網絡安全領域的重大戰略行動,必將引領網絡安全技術的未來發展方向。在“零信任”被熱炒的當下,美國政府這一動態引發的影響可想而知。我們認為,視而不見和跟風炒作都不可取,魔鬼雖然在細節中,但真相可能沒那么復雜。有時候,見怪不怪,其怪自敗。
老祖宗太有智慧,任何對“戰略”的推崇都令人心馳神往。但到了近現代,“戰略”由崇高而時髦,由時髦而浮夸,最后被扔到了地板上。
于是人們對“戰略”多了些警惕——該不是用來忽悠的吧?
所以,當中國國內紛紛轉載美國政府最新的“零信任戰略”時,小貝說安全決定搞清楚這件事。因為這涉及到兩個重大問題。
一是對“零信任”的定位,人家美國都成為“國家戰略”了,咱再不跟進豈不落伍了?
二是對大國網絡安全防護技術路線的定位,美國都提出了新的技術路線了,你中國還抱著三重防護、兩個中心的等級保護2.0理論不撒手?
事實倒是不難還原,因為白紙黑字。
2021年5月12日,美國總統拜登發布了14028號行政令《改善國家網絡安全》。該令要求,聯邦政府各機構應當制定零信任架構實施計劃。
2021年9月7日,美國聯邦政府管理和預算辦公室(OMB)發布了《美國政府向零信任網絡安全原則的遷移》(征求意見稿)。
2021年9月7日,美國國土安全部(DHS)網絡安全和基礎設施安全局(CISA)發布了《零信任成熟度模式》(征求意見稿)。
可不得了了!美國政府搞“零信任戰略”了,多年的媳婦熬成婆!美國政府給背書了!一時間國內奔走相告,又一輪零信任盛宴即將開始。
但以上三個文件另有玄機。
首先,14028號行政令《改善國家網絡安全》被中國國內解讀成了“美國總統強推零信任”,這根本就是聳人聽聞。因為在同一個行政令中,拜登同時提到了多因子認證、加密、零信任等多個技術,并無將零信任作為美國聯邦政府核心網絡安全技術路線的表態。換句話說,人家提了多個技術,國內一些機構單獨拿出來一個說事,至少不那么光明正大吧?
其次,14028號行政令《改善國家網絡安全》固然提出了“零信任”,但所有的描述均置于“云遷移”一節之下,絕非單獨存在。而“云遷移”又與聯邦政府的“IT現代化”有關。此事另有隱情,與美國關鍵基礎設施保護政策有關(我國剛發布《關鍵信息基礎設施安全保護條例》,兩者可以關聯)。
事情追溯到2015年美國人事局(OPM)被攻擊事件。當時的事件導致美國所有“吃皇糧”的聯邦雇員名單外泄,包括一大批派駐海外的情報人員,據說美國情報系統因此遭受重創,且美國事后往中國政府頭上“栽贓”。特朗普政府痛定思痛,認為美國嚷了這么多年“關鍵基礎設施保護”,鬧了半天是個“燈下黑”,聯邦政府自己不堪一擊。
因此,特朗普政府一改前任做法,首次在“關鍵基礎設施保護”之外強調了“聯邦政府IT現代化”,因為聯邦政府自己的IT設施全是“老爺車”。這就是特朗普于2017年5月19日發布總統令《增強聯邦政府網絡與關鍵基礎設施網絡安全》的根本原因(此前只強調“關鍵基礎設施”)。這一風格延續到了拜登政府。
但美國聯邦政府IT現代化的關鍵是什么?毫無疑問,上云!正如美國政府問責辦公室(GAO)反復評估認為,專業人員短缺、設備陳舊的弊端不可能從數量和質量上解決,必須另辟蹊徑,根本辦法是要把美國聯邦政府的系統委托給專業人員去運營和保護,即遷移到云上。
但云也未必安全,畢竟是把系統遷移到別人家了,而且很多云是私營企業建設的。所以美國國家安全局(NSA)、國土安全部(DHS)、總務署(GSA)聯合實施了FedRAMP(聯邦風險和授權管理計劃)。為什么是這三個部門呢?他們是美國軍口網絡安全負責部門(NSA)、民口網絡安全負責部門(DHS)以及政府采購部門(GSA,類似于我國財政部政府采購管理辦公室),故由這三個部門對政府擬采購的云進行安全評估(這一制度也被我國借鑒了,此為后話,小貝說安全將另有文章闡述我國這一制度的建立過程,此次略過不表)。
但這還不夠。美國政府認為,云計算最大的特點之一,是責任邊界模糊、用戶的管控能力降低。特別是,數據離開用戶自己牢牢掌握的區域了,人、設備都可能不再靠譜,原有的信任模型必須做出改變。而“零信任”恰好符合這一特征。因此,“零信任”受到美國聯邦政府推崇毫不奇怪。
但需要引起注意的是,美國政府沒有要求整體上采用“零信任”,而是要求上云時采用“零信任”。14028號行政令《改善國家網絡安全》對“零信任”的闡述全部位于“云遷移”、“云安全”的前提下。
以上背景實為必要。知其然而不知其所以然,乃戰略研究之大忌。
第三,美國政府真的將“零信任”作為國家戰略文件嗎?
遍歷9月7日的兩部文件《美國政府向零信任網絡安全原則的遷移》和《零信任成熟度模式》,題目中并沒有“戰略”一詞。
那么,“戰略”來自哪里呢?來自美國聯邦政府對上述兩個文件的“統稱”,以及對“‘一錘子買賣’式的信任不再可靠”的思路的高度概括。
我們還可以有另外的角度來分析這件事。
無論是《美國政府向零信任網絡安全原則的遷移》還是《零信任成熟度模式》,都明確指出,“零信任”是一種網絡安全原則,是一種理念。這種理念要求,在當前日益復雜嚴峻的網絡安全形勢下,不能心存僥幸,不能指望“畢其功于一役”,而是要改變以前在邊界處信賴身份認證、授權機制的傳統做法,今后時刻基于網絡安全環境的變化而對身份進行重新認證。因為一個人或設備經過了認證和授權后,還可能被攻陷,從而成為內部隱患。換句話說,以前在大門口進行身份認證,現在形勢嚴峻了,得設置流動哨,隨時對大院里的人進行身份認證。
這就了不得了?
2019年1月21日,習近平總書記在省部級主要領導干部堅持底線思維著力防范化解重大風險專題研討班上指出:
深刻認識和準確把握外部環境的深刻變化和我國改革發展穩定面臨的新情況新問題新挑戰,堅持底線思維,增強憂患意識,提高防控能力,著力防范化解重大風險,保持經濟持續健康發展和社會大局穩定,為決勝全面建成小康社會、奪取新時代中國特色社會主義偉大勝利、實現中華民族偉大復興的中國夢提供堅強保障。
習近平總書記還指出,
面對波譎云詭的國際形勢、復雜敏感的周邊環境、艱巨繁重的改革發展穩定任務,我們必須始終保持高度警惕,既要高度警惕“黑天鵝”事件,也要防范“灰犀牛”事件;
既要有防范風險的先手,也要有應對和化解風險挑戰的高招;
既要打好防范和抵御風險的有準備之戰,也要打好化險為夷、轉危為機的戰略主動戰。
難道以上的重要講話,不是對安全形勢更為深刻的論斷?何以“零信任”以一種形勢判斷而成為顛覆網絡安全之秘籍?
根本問題,是中國網絡安全產業界有一些力量,將一種對網絡安全形勢的判斷,將一種做好網絡安全工作的理念,上升到了一種顛覆性的網絡安全體系結構,人為割裂了今天的網絡安全技術、產品與昨天的網絡安全技術、產品。
以上論斷自然會招來很多批評意見。但不要緊,我們看《美國政府向零信任網絡安全原則的遷移》到底提出了什么原則?
這個文件指出,今后美國聯邦政府的網絡安全工作要貫徹5個方面的原則:
一與身份有關;二與設備有關;三與網絡有關;四與應用有關;五與數據有關。
篇幅所限,我們僅審視“數據”安全原則:對所有數據進行分類,各機構要利用云安全服務的優勢來監控對敏感數據的訪問,實時留存數據訪問日志。
這是什么?難道沒有“零信任”,就不實施以上數據安全措施了嗎?
顯然,“零信任”更多的是一種對高風險安全形勢、威脅的判斷,并不意味著固定的技術與產品,更不表示對安全防護理論的顛覆。“零信任”更多的是指出了,在威脅模式發生新的變化情況下,應該更加謹慎、更加完善地施以網絡安全防護。
世上本無事,庸人自擾之。
小貝結語
任何有關“零信任”的動態都值得關注,尤其是美國政府的相關“戰略動態”。但在國家網絡安全戰略研究層面,可能需要更加謹慎地研判其他國家做法所反映的趨勢。
