致美国总统的零信任报告

全文字不多  阅读5分钟

2022年2月23日，总统国家安全电信咨询委员会（NSTAC）投票通过了一份致拜登总统的零信任报告《零信任和可信身份管理》。CISA（网络安全和基础设施安全局）在其官网上发布了该报告。

在此前1个月（2022年1月26日），拜登政府发布了《联邦政府零信任战略》，对政府机构在两年半内实施零信任做出计划要求。

NSTAC报告总体上做了两方面工作：

一是给出了零信任实施模型。即先通过DAAS（数据、应用程序、资产、服务）来定义保护面，然后采用五步流程法实施零信任。其中，使用Kipling方法编写零信任策略，使用成熟度模型来度量零信任进展。

二是提出了零信任实施的长期建议。为什么是“长期”？因为NSTAC认为：联邦政府零信任战略虽然名为“战略”，但只是关注了两年半的短期行为。而对于未来十年的考量，却存在疏忽。而NSTAC报告正是为了填补这一长远考量的空白。

人有近忧又有远虑。笔者从联邦政府零信任战略和这份NSTAC报告中，看到了深深的焦虑：如果说，联邦政府零信任战略解决了两年半内的短期焦虑——给出了任务矩阵；那么，NSTAC报告旨在解决两三年后的长期焦虑——提出了24条建议和9条关键建议。

注：NSTAC报告的PDF文档有56页，译文大概3.5万字。报告原文下载地址，参见本文图1下方。

关键词：NSTAC（总统国家安全电信咨询委员会）；DAAS（数据、应用程序、资产、服务）；Kipling方法；OMB（管理和预算办公室）；CISA（网络安全和基础设施安全局）；FISMA（联邦信息安全管理法案）；NIST（国家标准与技术研究所）

目  录

1.报告背景

2.零信任实施模型（方法论）

3.报告建议条目

4.九项关键建议

5.报告详细目录

图1-报告首页

报告原文地址：

https://www.cisa.gov/sites/default/files/publications/NSTAC%20Report%20to%20the%20President%20on%20Zero%20Trust%20and%20Trusted%20Identity%20Management.pdf

01

报告背景

总统国家安全电信咨询委员会（NSTAC）的职责是向总统办公厅（EOP）提供基于业界的分析和建议，说明政府如何制定政策或采取行动，以加强国家安全和应急准备（NS/EP）通信。

1）三箭连发

2021年5月，白宫责成NSTAC开展一项多阶段研究任务“增强2021年之后的互联网弹性”。该任务要求NSTAC研究对美国国家安全和应急准备至关重要的三个关键网络安全问题：

1. 商业信息和通信技术供应链中的软件保障。

2. 零信任和可信身份管理。

3. 信息技术（IT）和运营技术（OT）的融合。

NSTAC已经在2021年11月提交了第1阶段的供应链软件保障报告。这次提交的是第2阶段的《零信任和可信身份管理》报告。而第3阶段的工业物联网安全还处于研究过程中。

2）战略延续

2022年1月26日，拜登政府发布了《联邦政府零信任战略》，要求各机构在2024财年结束之前（即2024年9月底之前，即两年半时间内），实现具体的零信任安全目标。这些目标按照零信任的五大支柱分别设置。

NSTAC报告认为：当前和未来的政府必须将联邦零信任过渡视为国家的当务之急，并因此建立必要的领导优先顺序、资金和问责机制，以在未来十年维持政府对零信任的整体承诺。为了实现这一目标，NSTAC提出了24条建议和9条关键建议（参见本文的后文）。

3）主要内容

报告的主要内容是：

• 第0章：概述报告摘要；

• 第1章：回顾美国联邦政府零信任战略；

• 第2章：介绍零信任实施模型，主要包括五步流程和成熟度模型；

• 第3章：提出建议，解决联邦政府零信任战略实施的障碍；

• 第4章：提出建议，解决非联邦实体零信任战略实施的障碍；

注：报告详细目录，放在了本文末尾。

02

零信任实施模型（方法论）

NSTAC总结了一套零信任实施模型，本质是零信任实施方法论。它基于保护面的概念，采用五步流程法来实施零信任，并使用成熟度模型来度量零信任进展。

1）定义保护面和DAAS

保护面：是零信任策略保护的区域。

• 每个保护面都包含单个DAAS（数据、应用程序、资产、服务）元素。

• 每个零信任环境可以包含多个保护面。

• 零信任架构则以“每个保护面”为基础进行构思，由内而外设计，从保护面开始向外移动。
  

DAAS（数据、应用程序、资产、服务）：进入单个保护面的敏感资源。

• 数据：如果泄露或误用，会造成最大风险的敏感数据。示例包括支付卡信息、受保护的健康信息、个人身份信息、知识产权。在政府背景下，还包括机密信息、国家安全信息、受控非密信息。

• 应用程序：使用敏感数据或控制关键资产的应用程序。

• 资产：包括组织的信息技术（IT）、运营技术（OT）、物联网设备。

• 服务：组织最依赖的服务。示例包括域名系统（DNS）、动态主机配置协议（DHCP）、目录服务、网络时间协议（NTP）、定制的应用程序编程接口（API）。

2）梳理零信任实施五步流程

图2-零信任实施五步流程（极简版）

对上面这五步流程的具体描述，如下表所示：

表3-零信任实施五步流程（含可量化进度指标）

3）给出零信任成熟度模型

报告在附录A中给出了零信任成熟度模型。该模型将零信任成熟度（横向维度）与零信任实施五步流程（纵向维度）相结合。如下所示：

表4-NSTAC零信任成熟度模型

联邦零信任战略中引用了CISA零信任成熟度模型。笔者对比了NSTAC零信任成熟度模型与CISA零信任成熟度模型，发现主要区别是：

• 成熟度维度不同：CISA模型的成熟度划分为3个阶段，即传统、高级、最优；而NSTAC模型的成熟度划分为5个阶段，即初始、可重复、定义、管理、优化。

• 另一个维度不同：CISA模型的另一个维度是五大支柱，即身份、设备、网络、应用程序工作负载、数据；而NSTAC模型的另一个维度是五步流程，如图2和图3所示。

4）使用Kipling方法编写零信任策略

Kipling方法：是一种创建零信任策略的方法，描述了资源访问的人员、内容、时间、地点、原因、方式（Who, What, When, Where, Why, How）：

• Who：应该允许谁访问资源？

• What：允许断言的身份用于访问资源的应用程序是什么？

• When：何时允许断言的身份访问资源？

• Where：资源位于哪里？

• Why：为什么允许用户（Who）访问资源？

• How：流量访问资源时应如何处理？

作为示例，报告在附录B中，采用Kipling方法，给出了目录服务管理员的零信任策略示例：

表5-目录服务管理员的零信任策略示例

表中这条零信任策略的具体含义是：成功完成MFA（多因素认证）的管理员用户（由组成员身份而非源IP地址定义），可以在通过IDS（入侵检测系统）和DPI（深度数据包检查）检查后的任何时间（24/7），使用“目录管理工具应用”（Directory Admin Tool App）（由web/client-server/SSH而不是端口和协议定义），访问“Dir_Server_Loc（目录服务器位置）” （由工作负载上的标签而非目标IP地址定义）的服务器，因为他需要管理目录服务的“元数据”。

笔者对Kipling方法实在是太喜欢，于是就尝试寻找它的来源。结果发现它真地就是经典的"5W1H"方法论。

图6-Kipling

诺贝尔文学奖得主、英国作家Kipling在1902年出版的《原来如此故事集》中写道：

我有六个诚实的仆人，

他们教会了我所知道的一切。

他们的名字是What和Why和When

和How和Where和Who。

5）给出了零信任成熟度模型的示例

由于目录服务是控制访问权限的核心，因此它是攻击者的主要目标。在零信任上下文中，目录服务是支持身份认证和授权的底层基础设施。它的失陷会使任何零信任的实施变得无效。所以，报告专门在附录B中给出了目录服务的零信任成熟度模型示例。

对于其它类型的关键性服务，可以参考这个示例，制定零信任实施成熟度模型。

03

报告建议条目

NSTAC报告中所有建议的条目如下：

• 24条建议：除了粗体标记的条目（即5个标题），其它所有条目正好构成24条建议。

• 9条关键建议：以绿色标记的条目，是报告声称的最关键的9条建议。

3. 解决联邦政府零信任战略实施的障碍和促进因素

3.1. 解决监督问题并建立成熟度指标

3.1.1. 通过零信任战略实施的进度指标，加强问责制

3.1.2. 通过进度指标，提高透明度并支持持续改进

3.1.3. 成立工作组，为关键联邦企业基础设施服务开发零信任成熟度模型

3.2. 解决治理障碍和促进因素，以实现联邦对零信任的持续承诺

3.2.1. 将零信任原则纳入联邦网络安全政策

3.2.1.1 阐明零信任战略与FISMA要求之间的一致性

3.2.1.2 自动化FISMA合规任务

3.2.2. 将零信任实践纳入联邦网络安全技术计划

3.2.2.1 利用CISA网络安全部门的计划和服务

3.2.2.2 明确将CISA的CDM(持续诊断和缓解)计划与零信任对齐

3.2.2.3 建立一个民间零信任项目办公室

3.2.2.4 优先创建CISA共享安全服务，以发现互联网可访问资产

3.2.2.5 在拟定的民用和国防零信任计划办公室之间建立协同关系

3.2.3. 将零信任实践纳入联邦网络安全预算和采购流程

3.2.3.1 扩大采购工具的范围

3.2.3.2 鼓励各部门和机构为零信任确定额外资金

3.2.3.3 在联邦技术采购中传达对零信任的支持

3.3. 解决技术障碍和促进因素，以实现联邦对零信任的持续承诺

3.3.1. 在特别出版物中评估零信任生态系统技术互操作性

3.3.2. 鼓励采用云计算

3.3.3. 探索新的可信身份管理方法

4. 发挥联邦政府在激励非联邦零信任采纳方面的作用

4.1. 提高和维系公众意识

4.2. 制定和完善标准和指南，包括国际标准和指南

4.3. 在为IT安全现代化提供的联邦拨款中激励零信任

4.4. 在联邦采购中考虑对零信任的偏好

4.5. 考虑监管救助行动

04

九项关键建议

下面对报告中最关键的九项建议，展开其内容。笔者也分别做了“评论”。而更多的详情，可以参见报告原文中的对应章节。

1）加强问责制，以度量联邦零信任进展（对应于3.1.1节）

联邦首席信息安全官（CISO）应该与国家网络总监（National Cyber Director）密切合作，针对零信任最佳实践，制定基于进度指标的报告要求，如表3中的第3列所示。报告责任需在机构CISO或以上级别。

评论：美国政府实在是太擅长搞量化指标了！用量化指标来评估效果，才能有效问责。

2）提高联邦零信任进程的透明度（对应于3.1.2节）

联邦政府必须致力于在记录零信任进程中的经验教训方面保持透明度，在政府内部培养持续改进的文化，并教育更加广泛的国家生态系统。管理和预算办公室（OMB）应要求各机构每年至少发布一个零信任用例，记录实施经验教训。OMB应与美国NIST（国家标准与技术研究所）共同召开年度工作组会议，审查用例，并在适当情况下更新现有的联邦零信任指南和标准。

评论：既然大家都知道零信任不那么容易落地，就请把各家踩过的坑、绕过的弯都如实共享出来，照亮后人的前行之路吧。

3）为关键的联邦企业基础设施服务开发零信任成熟度模型（对应于3.1.3节）

OMB应通过联邦CISO委员会开展全面的流程，以识别目前在联邦机构中普遍存在并可能至少在未来5年内继续存在的企业基础设施服务。一旦确定这些服务后，联邦CISO委员会应成立一个跨机构工作组，为保护每项服务创建相应的零信任成熟度模型，可以参考附录B中NSTAC为目录服务（如Active Directory）创建的零信任成熟度模型示例。

评论：一定要对“联邦企业基础设施服务”有正确的理解！“企业”一词是企业级/全局性/整体性之意，而非一家具体的企业。

评论：企业基础设施服务有哪些呢？示例包括目录服务、域名系统（DNS）、动态主机配置协议（DHCP）、网络时间协议（NTP）等。NSTAC希望为所有关键企业基础设施服务，创建相应的零信任成熟度模型。

评论：为什么要选择目录服务作为示例？因为它是核心企业服务，几乎所有联邦机构都要用到它，而且这种情况可能还会持续至少十年。

4）将零信任原则与关键治理和合规框架相一致（对应于3.2.1.1节）

OMB应发布一份备忘录，澄清零信任战略原则与FISMA（联邦信息安全管理法案）及其相关标准NIST800-53（信息系统和组织的安全控制）的机构合规要求之间的战略一致性。此外，OMB应责成NIST编制一份特别出版物（SP），将零信任映射到NIST SP-800-53的安全控制，以避免机构遇到其常规的合规义务与长期的零信任转型之间的冲突。

评论：这一招比较狠！直接给NIST派了工单：将零信任能力映射到NIST SP-800-53的安全控制项。如果真地能做出这个映射，零信任的落地难题就更容易解决了，对零信任的符合性验证也更简单了。笔者非常期待！

5）建立一个民用零信任项目办公室（对应于3.2.2.3节）

网络安全和基础设施安全局（CISA）应为联邦民用机构建立一个专用的零信任项目办公室，以托管实施指南、参考架构、能力目录、培训模块，并通常作为一个零信任的民间政府知识管理中心。在可行的范围内，民用零信任项目办公室应与最近成立的国防部零信任项目办公室协作并分享最佳实践。

评论：有军用，就该有民用。军民融合，不难理解。

6）创建CISA零信任共享安全服务以发现为互联网可访问资产（对应于3.2.2.4节）

CISA应阐明其现有共享服务技术产品如何帮助机构实现零信任。此外，CISA应建立一项新的共享服务，以帮助机构“全面了解其互联网可访问资产”，这是任何开始实施零信任的机构所应具备的基础能力，正如《联邦零信任战略》中明确强调的那样。 

评论：为什么各个机构的互联网暴露资产还需要政府的共享服务来发现呢？这只能说明：发现和跟踪机构的互联网暴露资产，对机构自身来说具有很大挑战性。这也正是Gartner所提的外部攻击面管理（EASM）能力。由于这种可见性非常重要，机构自己又搞不定，只好请出安全管家CISA，把它做成一项共享型安全服务，普惠所有政府机构，避免安全短板效应。

7）评估零信任生态系统技术互操作性（对应于3.3.1节）

作为国家网络安全卓越中心（NCCoE）现有零信任工作的延伸，NIST应该评估商业、政府、开源零信任技术解决方案生态系统的技术互操作性。该NIST出版物应该输出未来的政策和投资建议，以提高零信任架构的采用效率。

评论：关于零信任生态系统的技术互操作性，几乎是每篇零信任建议书的必谈内容。这里就不再赘述了。

8）推进在国际标准机构中的零信任（对应于4.2节）

美国政府在NIST的领导下，与行业合作伙伴密切合作，应该启动一条多年的路径，在国际标准机构内部推进零信任。当前零信任指南的持续成熟至关重要；当它们演变为基于共识、得到广泛认可的国际标准，就可以成为美国政府鼓励在全国范围内采用零信任的各种政策行动的基础，正像NIST网络安全框架所做的那样。

评论：这个建议很有趣，但也很自然。由于美国的NIST网络安全框架（CSF）已经成为国际性的事实标准，它自然也就成为零信任的榜样。如果能将零信任从美国标准推广为国际性标准，当然就更好地保障了零信任的发展方向。

9）优先考虑在联邦IT现代化拨款中采用零信任（对应于4.3节）

CISA应在其自由裁量权中优先考虑零信任项目，以便为各州和地方授予IT安全现代化拨款。在CISA对《州和地方网络安全促进法案》（属于《基础设施投资和就业法案》（IIJA）的一部分）的管理中，这一机会尤其明显。根据该法案，他们将在未来4年（至2026年）投入10亿美元。交通部长、商务部长、能源部长根据IIJA的规定，还拥有自由裁量权，要求资金接收者证明“良好的网络安全实践”，作为在其管辖范围内接收资金的条件。他们应该酌情行使这一权力，鼓励采纳零信任原则。

评论：千言万语一句话，有钱才是好“爸爸”。只要资金预算和拨款都朝着零信任项目倾斜，还有什么搞不定的呢！

05

报告详细目录

0. 执行摘要

0.1 报告焦点和范围

0.2 关键结论的摘要

0.3 建议的摘要

0.4 九项关键建议的详细信息

1. 介绍零信任和美国联邦政府的零信任战略

1.1. 零信任的历史和基本原则

1.2. 零信任和联邦政府的网络安全战略

2. 零信任实施的业界标准和最佳实践

2.1. 零信任实施的业界模型

2.1.1. 零信任实施的五步流程

2.1.2. 零信任成熟度模型

2.2. 促进零信任的业界技术能力

3. 解决联邦政府零信任战略实施的障碍和促进因素

3.1. 解决监督问题并建立成熟度指标

3.1.1. 通过零信任战略实施的进度指标，加强问责制

3.1.2. 通过进度指标，提高透明度并支持持续改进

3.1.3. 成立工作组，为关键的联邦企业基础设施服务开发零信任成熟度模型

3.2. 解决治理障碍和促进因素，以实现联邦对零信任的持续承诺

3.2.1. 将零信任原则纳入联邦网络安全政策

3.2.2. 将零信任实践纳入联邦网络安全技术计划

3.2.3. 将零信任实践纳入联邦网络安全预算和采购流程

3.3. 解决技术障碍和促进因素，以实现联邦对零信任的持续承诺

3.3.1. 在特别出版物中评估零信任生态系统技术互操作性

3.3.2. 鼓励采用云计算

3.3.3. 探索新的可信身份管理方法

4. 发挥联邦政府在激励非联邦零信任采纳方面的作用

4.1. 提高和维系公众意识

4.2. 制定和完善标准和指南，包括国际标准和指南

4.3. 在为IT安全现代化提供的联邦拨款中激励零信任

4.4. 在联邦采购中考虑对零信任的偏好

4.5. 考虑监管救助行动

5. 结论

附录A. 零信任成熟度模型

附录B. 零信任成熟度模型的示例：目录服务

附录C. 成员和参与者

附录D. 缩略词

附录E. 定义

附录F. 参考文献

（本篇完）

原文始发于微信公众号（网络安全观）：致美国总统的零信任报告