美国网络安全国策之「零信任网络安全」

引子

为了保护美国联邦政府的信息系统，美国行政管理和预算局 (OMB) 根据第14028号总统行政命令更新了多个备忘录。

其中最重要的是于2022年1月发布M-22-09号备忘录《美国政府向零信任网络安全原则迈进》。

战略目标

CISA的零信任模型描述了五个互补的工作领域（身份、设备、网络、应用程序及工作负载、数据），OMB M-22-09中提出的战略目标与CISA其中的五大支柱一致。

1. 身份 

联邦工作人员拥有企业管理的帐户，允许他们访问他们工作所需的一切，同时还能可靠地保护他们免受一般的和有针对性的、复杂的网络攻击。

2. 设备

联邦政府对其操作和授权给政府使用的每一个设备都有一个完整的清单，并能预防、检测和应对这些设备上的安全事件。

3. 网络

联邦政府机构对其环境中的所有DNS请求和HTTP流量进行加密，并开始执行一项计划，将其边界分解为孤立的环境。

4. 应用程序

联邦政府机构将所有的应用程序视为与互联网连接，对其应用程序进行例行的严格安全测试，并欢迎外部漏洞报告。

5. 数据

联邦政府机构部署和利用彻底的数据分类保护措施，利用云安全服务来监测敏感数据的访问，并在全企业范围内实施日志记录和信息共享。

身份

身份是指唯一描述一个机构、用户或实体的属性或属性集。零信任主体应确保和执行：正确的用户和实体在正确的时间有权访问正确的资源。

身份要素主要关注用户识别、身份验证和访问控制策略，这些策略使用动态和上下文数据（环境信息）分析、验证用户试图连接到网络的尝试。

推进路线和具体要求如下：

（1）建议使用集成进应用和公共平台的集中式身份管理；支持异常行为分析和及时响应，允许留存用户元数据，实施限制访问等统一安全策略，考虑常用应用、机构间、外部云等的兼容性，提供脚本或命令行等非图形界面，保障一致性和可审计。

（2）多因素身份鉴别（MFA），鼓励与商用互联网采用同样的技术策略：

• 身份鉴别必须位于应用层，代替网络层的鉴别；
• 内部工作人员必须强制使用防钓鱼的MFA，如PIV卡，FIDO2，CAC，基于安全密钥的网络鉴别标准等；
• 面向公众用户时，将防钓鱼的MFA作为可选项提供；
• 口令策略：不允许要求特殊字符，定期轮换等（尽快删除），鼓励非口令多因素，不鼓励单因素的特权访问管理作为日常使用。
  
  

（3）在授权方面，同时验证身份和设备信息才能授权：

• 持续对所有访问请求进行评估，若发现风险，及时响应，如采取重鉴别、限制访问、拒绝访问等措施；
• 推荐采用细粒度、动态的基于属性的访问控制（ABAC）；
• 用于判断权限的要素包括：用户身份、资源属性以及访问时的环境等。

设备

设备是指能够连接到网络的任何硬件资产，包括物联网设备、手机、笔记本电脑、服务器等。

设备可以是零信任主体拥有的或自带设备(BYOD)。零信任主体应对设备进行盘点，确保所有设备的安全，并防止未经授权的设备访问资源。对用户控制和自带设备录入系统，并进行验证，以确定可接受的网络安全状态和可信度。具体要求如下：

（1）资产盘点：支持资产的动态发现和编目；云环境需进一步研发，会参考利用商业云。

（2）终端主动检测，使用CISA列表中的EDR工具，终端信息需上报给CISA。

网络

网络是指用于传输信息的开放通信媒介，包括机构内部网络、无线网络和Internet。

机构应该隔离和控制网络，管理内部和外部的数据流。通过动态定义网络访问、部署微隔离技术、控制网络流量等方法，在对端到端流量进行加密的同时，隔离敏感资源以防被未授权的人或设备访问。

推进路线及具体要求如下所示：

（1）网络可视化及攻击面监测

• 监测分析所有网络流量日志，关注监测设备可能存在的漏洞；

• 不依赖静态密钥，采用最新的标准TLS1.3；

• 可视化及最小化授权原则（未解密流量也可进行可视分析等）。

（2）DNS加密

• 应支持操作系统级DNS加密/解析，以及应用级（浏览器）DNS加密/解析；

• 支持标准DNS加密协议，如DNS-over-HTTPS或DNS-over-TLS。

（3）加密所有HTTP流量

• 在浏览器的预装配置中，将所有政府机构已知的“.gov”设置为“https-only”

（4）正在评估所有的可行的email加密方案

（5）企业级体系结构与隔离策略：

• 防止横向移动

• 加强身份治理、逻辑微隔离、基于网络的隔离；

• 加紧制定隔离方案，方案应适合云的技术架构，集合云的优势。

应用和工作负载

应用程序和工作负载包括系统、计算机程序和在内部以及在云环境中执行的服务。

机构应保护和管理应用层和容器，并提供安全的应用程序交付。持续集成和持续部署模型将安全测试和验证集成到流程的每个步骤中，有助于为已部署应用程序提供安全保证。

（1）应用安全测试：生成安全评估报告，进行充分的测试：脆弱扫描、代码分析、其他特定应用的方法等（可参考相关NIST指南）；

（2）第三方测试；

（3）支持公众测试；

（4）安全连接互联网：

• 不依赖VPN；

• 支持基础设施监控，抗DoS攻击，采用强制访问控制策略，并集成身份管理系统。

（5）发现网络可访问的应用

• 确认攻击面：内部记录与外部扫描共同协作（可使用CISA提供网站扫描工具）；
• 零信任主体治下的“.gov”大部分已被CISA监管，“非.gov”需要上报，融入监管；

（6）恒定的工作负载：

• 可参考云架构提供的接口，实现自动化部署与回滚；
• 支持应用部署自动化，便于集中管理；
• 采用现代软件开发生命周期，促进基于恒定工作负载的可靠、可预测和可伸缩的应用程序的创建；
• 建议参考云安全技术参考体系结构。

数据

数据应该在设备、应用程序和网络上得到保护。零信任主体应该对数据进行存储、分类和打标，保护静止和传输中的数据，并部署数据外泄检测机制。随着各机构转向零信任架构，他们的心态必须转向“以数据为中心”的网络安全方法。机构应该先开始识别、分类和盘点数据资产。CISA建议各机构优先为其最关键的数据资产部署数据保护。

（1）制定零信任数据安全指南：不限于传统意义的数据，指导数据分类，且需要面向特殊数据类别；

（2）数据编制、自动化与响应：

• 采用基于机器学习的启发式方法对数据进行分类，在启用自动化模式前，要对机器学习算法进行配置并通过人工审核；

• 实现早期预警及异常行为检测，例如出现过多访问或访问之前没访问过的数据时判定为异常；

• 初级阶段：手工初步分类或按模式分类。

（3）审计云中的敏感数据访问：

• 支持云上数据的加解密；
• 支持云上密钥管理，对云上访问日志进行审计；
• 成熟阶段：应结合各种数据综合分析。

（4）及时响应和恢复：

• 应对云托管环境或机构运行环境中的日志进行保留和管理，支持安全运行中心（SOC）的集中访问、可见以及数据共享，以加快响应和调查；
• 前期先建立完整性措施，包括限制访问策略及日志的加密验证（包括DNS日志）等。

结语

美国总统行政办公室下属的管理和预算的办公室制定出了如此细的技术指导方针，可见美国体制从上到下对于网络安全的重视程度。

最后该备忘录要求美国政府机构必须在2024财政年度结束前实现具体的零信任。

点击左下角“阅读原文”,加入先进攻防社群

原文始发于微信公众号（赛博攻防悟道）：美国网络安全国策之「零信任网络安全」