美军零信任安全发展现状研究

内容目录：

1　美国零信任整体发展情况

1.1　国家层面发展情况

1.2　军队层面发展情况

2　美军零信任战略和实施进展分析

2.1　制定零信任发展战略和路线图

2.2　美军研究提出了零信任参考架构

2.3　通过演示验证为零信任实施打下基础

3　美军零信任发展的影响及启示

3.1　高度重视零信任战略对网络安全体系设计的意义

3.2　深刻理解零信任的技术内涵

3.3　充分认识实施零信任战略的复杂性

3.4　正确看待零信任实施的长期性

4　结　语

零信任概念由 Forrester 研究公司的前分析师约翰 • 金德维格（John Kindervag）在 2010 年首次提出，其核心思想是“从不信任，始终验证”，以身份为基础，遵循最小权限原则，通过动态授权和访问控制，对企业数据和应用实施细粒度保护。随后，学术界和产业界针对零信任开展了一系列的探索实践，包括谷歌公司、国际云安全联盟、Gartner 公司和 Forrester 研究公司等，进一步拓展了零信任视角、能力，将用户、设备、云资产、网络分段纳入零信任架构下进行识别、认证和管理。由于零信任可以较好地解决传统安全体系存在的过度信任、持续访问控制等问题，其迅速成为网络安全领域的研究热点。

在 军 事 领 域， 随 着 美 军 云 计 算 业 务、 数据中心建设深入，以及移动办公和远程办公的日渐普及，美军注意到位于国防信息系统网络（Defense Information System Network，DISN）边界之外的用户在迅速增加。而美军近年来一直大力推动的“联合区域安全堆栈”（Joint Region Security Stack，JRSS）又难以提供高性能的端到端安全连接服务。美国国防部作战试验鉴定局在 2020 财年《国防部作战试验鉴定年度报告》中建议，以零信任架构替代 JRSS，承担起保护国防部网络安全的重任。为此，美军从2020 年起采取了一系列措施推动零信任的落地和发展。

1.1　国家层面发展情况

2019—2020 年，美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）先后发布两版《零信任架构》标准草案，推 动 零 信 任 的 标 准 化 进 展。2021 年 2 月， 美国 国 家 安 全 局（Nation Security Agency，NSA）发布关于零信任安全模型的指南《拥抱零信任安全模型》，强烈建议国家安全系统（Nation Security System，NSS）内的所有关键网络和系统都考虑采用零信任安全模型；同年 5 月，拜登政府发布了第 14028 号《改善国家网络安全》的行政命令，明确指示联邦政府各机构实施零信任方法 ；2022 年 1 月，美国管理和预算办公室发布《联邦政府零信任战略》，进一步推动零信任实施；2023 年 7 月，Fortinet 发 布《2023 年全球零信任现状报告》，揭示了零信任相关部署在安全产业中占比稳步提升，但相关组织在实施零信任战略过程中仍面临严峻挑战，近 31% 的组织表示访问延迟是当前亟待解决的重大挑战 。

1.2　军队层面发展情况

早在 2020 年前，美国军方就一直在寻找替代 JRSS 的安全方案，直到 2019 年零信任的相关试验验证获得美国军方认可后，美军才决定逐步开展零信任安全的推广应用，将零信任作为支撑国防部数字化战略愿景的重要手段 。2021 年 5 月， 美 国 国 防 信 息 系 统 局（Defense Information Systems Agency，DISA）和国家安全局零信任工程组首先发布了《国防部零信任参考架构》，明确了零信任战略目的、原则、能力、场景和架构模型等，用以指导和约束国防信息系统安全环境的建设。

为加快零信任在整个国防部信息系统的落地，美军在 2022 年 1 月成立了国防部零信任投资组合办公室，负责制订零信任迁移计划，顶层监督和指导计划执行，以及协调调度各类资源提供保障 。同年 11 月，美国国防部发布《国防部零信任战略》，提出了国防部零信任战略愿景，即“一个全面实施零信任安全架构的国防部信息网络”，以及 4 个总体目标：一是建立零信任文化，在整个国防部生态系统内统一零信任架构思想，指导信息技术的设计、开发、集成和部署；二是保护国防部信息系统，将零信任纳入国防部安全实践，以支撑国防部信息系统体系弹性；三是加速零信任技术部署，使得国防部零信任技术的部署同步或超越行业的发展，以实现在不断变化的安全威胁中保持领先；四是零信任无缝协作，即国防部及其下属机构的工作流程、政策和资金安排应与国防部零信任整体实施同步。该战略还提出计划在 2027 财年之前实施战略和相关路线图中规划的零信任能力及活动。

为支撑零信任安全架构推广，减少风险，美军在 2021 年 7 月启动代号为“雷霆穹顶”（Thunderdome）的零信任安全试点项目，随后在 2022 年 1 月，美国博思艾伦咨询公司获得了价值 680 万美元的合同，开展“雷霆穹顶”原型系统开发，目标是通过构建零信任原型积累系统迁移经验，为零信任推广树立示范应用 。2023 年 4 月，美国网络安全和基础设施安全局（Cybersecurity & Infrastructure Security Agency，CISA）发布了《零信任成熟度模型 2.0 版》，旨在降低美国机构实施零信任的壁垒 。

美国国防部 2022 年 11 月发布的《国防部零信任战略》中提出，为应对内网潜伏攻击、数据泄露、账号利用等安全威胁的快速增长，满足国防信息网络覆盖全球、服务百万级用户、接入外部伙伴的安全需求，必须对国防威慑战略和网络空间安全实现实施重大改进，放弃高耗能和越来越复杂的边界防御机制，转而尽快在整个国防部信息体系中建立一个基于零信任的增强网络安全框架 。

2.1　制定零信任发展战略和路线图

美军的零信任战略描述了国防部零信任愿景，制定了总体战略目标、实施路径及实施方法，提出了围绕 7 大支柱的 45 项独立安全能力和 152 项活动，美国国防部零信任能力如图 1 所示 。该战略明确要求到 2027 年，美军的 7 大零信任支柱都应达到“目标级零信任”水平。

图 1　美国国防部零信任能力

7 大支柱实施目标包括：

（1）用户。对个人和非人员实体访问进行安全、限制和强制身份验证。

（2）设备。连续实施识别、清点、授权、认证和修补所有设备。

（3）应用程序与工作负载。保护所有应用程序与工作负载，包括容器和虚拟机。

（4）数据。通过企业基础设施、应用程序、标准、端到端可靠加密和数据标记，实现并保护数据透明度和可见性。

（5）网络与环境。使用细粒度访问和策略限制对内外部网络 / 环境进行物理或逻辑分段、隔离和控制。

（6）自动化与编排。实现安全和其他流程的自动化，以便在整个体系内快速、大规模地采取基于策略的行动。

（7）可见性与分析。通过分析事件、活动和行为等获得上下文信息，并应用人工智能 / 机器学习实现模型，提高实施访问决策中的检测和反应时间。

在 7 大支柱中，用户支柱所包含的多因素认证、身份联合和用户认证、行为 / 上下文 ID/生物特征、最小访问权限、连续身份验证，以及综合外部身份、凭证和访问管理系统（Identity,Credential and Access Management，ICAM）等安全能力，都是已有安全能力。设备支柱则强调了统一设备管理、移动设备管理，以及终端检测响应和扩展检测响应等自端点安全以来，不断发展和承袭的端点安全理念架构和技术产品。可视化和分析支柱包含了日志记录所有流量（网络、数据、应用、用户）、安全信息和事件管理（Security Information and Event Management，SIEM）平台、安全和风险分析、用户和实体行为分析、威胁情报集成及自动化动态策略等安全能力。可以看出，战略中所提出的 45 项能力大都是已有的网络安全技术能力。

为了实施零信任战略，美军将零信任能力划分为目标级、先进级两个能力阶段，并要求国防部及其所属机构必须尽早达到“目标级”，并在当前风险已减轻的情况下向“先进级”迈进。零信任能力实施顶层路线如图 2 所示 。美国国防部计划 2027 年在整个国防信息体系内实现目标级的零信任能力。目标等级包含最低限度的零信任能力要求和活动，达到对已知威胁的风险进行有效管控，实现对国防部数据、应用、资产、服务的保护。

图 2　零信任能力实施顶层路线

2.2　美军研究提出了零信任参考架构

依据《2018 年国防部网络战略》《2019 年国防部数字现代化战略》《2021 年改善国家网络安全的行政命令》等法规文件，美国国防部信息系统局联合国家安全局于 2021 年 5 月、2022 年7 月先后发布了《国防部零信任参考架构 1.0 版》和《国防部零信任参考架构 2.0 版》。参考架构制定了在国防部信息系统中实现零信任的一系列安全原则、安全功能和安全能力基线，用于指导和约束国防信息系统安全环境的建设。

零信任安全架构提出了一系列新的安全概念，例如以数据为中心和条件访问，以满足永不信任的核心理念，零信任顶层作战概念如图 3所示 。以数据为中心的安全架构首先必须识别出敏感数据和关键应用，通过对用户和流量的检测制定出安全策略。控制面包含了策略控制器和自动化编排组件，通过应用程序编程接口（Application Programming Interface，API）集成实现条件访问策略，并通过人工智能和机器人流程自动化提升策略部署的智能化程度。安全策略由分布在整个架构中的若干策略执行点执行。用户访问数据首先必须经过认证和授权，这一过程需要集成 ICAM、全球设备管理和持续身份与属性验证功能。策略决策点提供用户和端点的信任评分；策略执行点则强制执行分段策略，建立用户或端点到请求资源之间的连接。访问点包含防火墙和入侵检测等安全能力，虚拟访问点的实现则需要软件定义边界安全能力。在部署环境中应采取软件定义数据中心技术，如软件定义网络（Software Defined Network，SDN），来实现零信任控制。SDN 集成在主机可以实现微分段能力，用以控制数据中心内部的横向移动。数据安全由数据防泄漏（Data Leakage Prevention，DLP）和数据访问权限管理功能组成。用户和实体行为分析规定了正常行为基线，并提供安全威胁和风险识别，用以约束访问授权行为。

图 3　美国国防部零信任顶层作战概念视图

美国国防部零信任参考架构中仍然以零信任 7 大支柱对安全能力及技术进行映射和分类，如图 4 所示。零信任支柱和安全能力框架成为实施零信任的关键。

图 4　安全能力与零信任映射关系

零信任参考架构中的能力包括持续认证、条件访问授权、使能基础设施、应用和工作负载安全、数据安全、自动化、分析和编排 7 大能力分类，详细能力体系如图 5 所示。

图 5　美国国防部零信任安全能力

2.3　通过演示验证为零信任实施打下基础

在美军发布《DISA 战略计划 v2.0（2019—2022 财年）》和《国防部零信任参考架构 1.0 版》之后，美国国防部开始正式向零信任架构迈进。

2.3.1　项目概况

2021 年 7 月，DISA 启动了代号为“雷霆穹顶”（Thunderdome）的零信任示范验证项目。项目目标是研发包括软件定义广域网（Software Defined Wide Area Network，SD-WAN）、 客 户边 缘 安 全 堆 栈（Customer Edge Security Stack，CESS）和应用程序安全堆栈（Application Security Stack，AppSS）在内的一系列工具或系统，并在美国国防部信息网络上运用这些工具或系统建立基于安全访问服务边缘（Secure Access Service Edge，SASE）架构的零信任安全体系，以改善美军网络安全水平。DISA 最初希望在 6 个月内开发出支持 25 个 SD-WAN 站点和 5 000 名用户试用的产品或原型系统，几经调整后，最终将开发时间延长为一年，试用人数调整为 3 处 DISA 场所的5 400 名用户。项目最终成果将推广至各军种、各作战司令部及其他国防部单位乃至外部合作方。

由图 6 可以看出 ，美国国防部的零信任架构由 ICAM 和 Thunderdome 构成。ICAM 是底层基础设施，通过多因子认证、通用访问卡、个人证书、令牌、口令等对所有访问主体进行身份认证，对用户账户进行全生命周期管理和审计。被访问客体资源分为两大类：一是本地的资源和数据；二是云上的资源和数据。Thunderdome是零信任的主体架构，通过策略执行、微分段、态势感知等机制，对所有主体对客体的访问实施安全管控。

图 6　美军“雷霆穹顶”项目概念图

2.3.2　技术进展

Thunderdome原型系统是DISA聚焦零信任网络访问部署方案的第一个零信任架构实践，如图 7 所示，系统中主要包含 SASE、SD-WAN&CESS、AppSS、Cloud DCO 共 4 个核心组件。

图 7　“雷霆穹顶”顶层架构

（1）SASE。用于实现用户的远程动态安全访问需求，涵盖 SD-WAN、安全 Web 网关、云访问安全代理、零信任网络访问和防火墙即服务等诸多技术。其主要特征是：①以身份驱动安全，即系统中的所有行为与访问控制均取决于用户、设备和程序等对象的标识；②云原生，即 SASE 所有功能均通过云平台提供，并具备云平台的自适应性和自恢复性等优点；③兼容所有边缘实体，即支持所有物理、数字和逻辑层面的边缘设备和系统；④全球分布，理论上可为全球任何一地的用户提供服务。在“雷霆穹顶”项目中，DISA 采用了 Palo Alto 公司的 Prisma 云服务来搭建 SASE 架构，当用户使用云服务或互联网服务时，用户的流量不会穿过 DISN，从而能最大限度地避免 DISN 遭到入侵。

（2）SD-WAN&CESS。CESS 的主要作用是在靠近用户边缘的位置提供下一代防火墙、入侵防御 / 入侵检测、DLP 等安全功能。SD-WAN在 DISN 现有的 IP 路由基础设施之上构建一个覆盖网络（Overlay），提供软件定义的路由寻址能力，支持对特定流量进行微隔离、优先级排序和自动配置。另外，SD-WAN 能够与 DISA现有的 ICAM、合规连接、SIEM 整合，支持通过用户和端点属性、应用程序与数据标记来限制相关功能。

（3）AppSS。DISA 采用了一种易于部署的容器化安全解决方案，以减少应用程序拥有者部署应用安全能力的负担。具体产品有多个可选方案，可选用 Palo Alto 公司的 Container Security，或者 F5 公司的 Web 应用防火墙和下一代防火墙，两种方案都支持 Palo Alto 公司 Panorama 的管理。此外，DISA 为“雷霆穹顶”项目提供了“基础设施即代码”模板，以用于在物理设备上自动化地配置虚拟机或 Ansible 工具。

（4）Cloud DCO。用于提升美国国防部云端应用的可视化程度。Cloud DCO 将对所有用户和感知数据进行提取、加工、过滤，以满足数据使用需要，同时支持对流式数据进行规范化处理，提供自动分析工作流和基于机器学习模型的数据分析能力。

2.3.3　后续计划

美军加快推进零信任落地，对美军网络空间安全整体防御的理念、模式、行动、能力等产生了积极而深远的影响，主要表现为以下几个方面：

（1）网络防御模式从“以网络为中心”转变为“以数据为中心”。这种转变将促使美军传统的“聚焦网络”的信息化建设逐步转向“聚焦数据”。

（2）极大提升美军的网络整体防御水平。通过类似“白名单”的方式，仅允许认证和授权用户访问，减少攻击面，降低恶意流量，全面提升网络安全防御能力。

（3）降低军队网络运营风险和成本。通过增加网络透明度，提升运营风险识别和管控能力。通过条件访问控制，降低网络安全数量，节省处置时间和人力投入，缩减潜在运营成本。

（4）提高网络合规性、可视化与自动化管理水平。零信任符合美军近年来提出的动态防御理念，采取的措施满足合规条款，便于合规审计。零信任基础设施提供的可视化和自动化能力，将提升美军的网络自动化管理水平。

美军的零信任发展对我国信息系统安全体系设计具有很强的借鉴意义，主要有以下几个方面。

3.1　高度重视零信任战略对网络安全体系设计的意义

美国国防部非常重视零信任战略，并建议将零信任实施列为最高优先事项。零信任实现了从网络边界和物理设施防护向数据防护的转变，在防范内部威胁、提高信息系统弹性和安全管控能力等方面具有较强的优势，为云计算部署、远程办公、移动办公、人—机—物互联、智能化无人化装备等方面提供很好的安全支撑，是未来安全防护体系重要的发展方向，其积极意义不言而喻。未来网络安全体系设计应充分吸收借鉴这些思想，提高对用户、设备、数据等全要素、全链条和全生命周期的安全保障。

3.2　深刻理解零信任的技术内涵

零信任安全理念架构抛弃了周界、可信网络、设备、账户或流程这些传统思路，转而采用“基于多属性的可信度”思路，从而可在“最小访问权限”概念的基础上制定认证与授权策略。零信任体系更适用于网络需要弹性伸缩、用户访问位置较为稀疏、数据流量较为离散的跨安全域访问场景，是传统安全体系在认证和访问控制等方面的替代或有益补充，可以在传统身份认证体系的基础上，提高以身份、权限和行为为基础的细粒度自适应访问控制能力。从这个角度来说，零信任不是一项具体的、严格定义的网络安全新技术，而是一种关于网络访问控制新的理念和架构，也不应否认传统网络安全的纵深防御和多层次防御的理念和架构的意义。

3.3　充分认识实施零信任战略的复杂性

零信任的实施是一个极为复杂的过程。从表面上看，零信任似乎简化了网络访问控制认证和授权，但为了实现细粒度的零信任，全网必须有一整套后台管理控制系统，对用户身份认证、用户的属性、设备认证及访问授权等进行全局管理、维护、评估和同步。当用户数增多、访问量增大时，系统的性能必然会面临极大挑战，不同系统还涉及标识体系统一和映射等问题。持续性的安全评估不仅需要海量的安全监测数据支持，而且还给后台的评估能力带来极大挑战，此外还有涉及后台管理控制系统、数据平台策略执行等的安全问题。因此，在组织管理上，美国国防部零信任架构的实施，需要指定一个单独实体，即“零信任管理者”，来协调各种零信任推进工作，需要美国国防部与联邦机构、非联邦机构和任务合作方在内的所有国防部相关方密切协作；在具体实施上，零信任需要对原有系统进行改进，增加或退出部分安全设备，在实施过程中容易产生新的安全风险；在建设成本上，零信任不仅要增加新的设施开销，还需要考虑后续持续不断的运营管理和维护成本。因此，零信任的实施是一个分阶段、不断迭代的过程。

3.4　正确看待零信任实施的长期性

通过对美军在零信任战略制定、架构设计、试点项目验证等相关行动的跟踪研究，理清了美军发展零信任安全需求背景、推进方法和落地措施，其在零信任实践中的经验和教训值得我们吸收和借鉴。

我军网络信息体系的建设发展与美军有诸多相似之处，但也存在一些差异。下一步将深入分析我军与美军在网络安全需求方面的差异性，充分借鉴其推进零信任落地实施的路线规划和能力演进策略，结合零信任在民用领域产业的发展现状，研究适合我军自身的零信任安全防护体系。