【国际视野】美国国家安全局发布《在整个网络和环境支柱中推进零信任成熟度》指南

恶意网络行为者在访问组织网络后，最常用的技术之一就是通过网络横向移动，访问更敏感的数据和关键系统。零信任网络和环境支柱通过采用控制和功能，在逻辑和物理上进行分段、隔离，并通过细粒度的策略限制来控制访问（内部和外部），从而遏制恶意横向移动。

网络和环境支柱与其他"零信任"支柱协同工作，是整体"零信任"安全模型的一部分，该模型假定对手的入侵发生在网络内部，因此会限制、验证和监控整个网络的活动。

据公开报道，2013年，一家美国零售公司因缺乏网络分隔而遭遇重大数据泄露事件。在数据泄露之前，网络犯罪分子设法获取了一家供暖、通风和空调（HVAC）公司的登录凭证。这些零售店授权暖通空调公司访问公司网络，以监控能源和温度水平。然而，网络行为者利用获得的登录凭证，成功将恶意软件引入公司的销售点系统，窃取了约4000万张借记卡和信用卡的信息。虽然暖通空调公司需要访问零售公司的网络以履行其职责，但调查结果表明，该公司很可能能够通过实施网络分段和访问控制来减少第三方对其支付系统的访问。

传统的网络安全强调纵深防御，但大多数网络主要投资于外围防御。一旦进入网络外围，终端用户、应用程序和其他实体往往可以广泛访问多个企业资源。如果网络用户或组件遭到破坏，恶意行为者就可以从网络内部或外部访问关键资源。理想情况下，企业应管理、监控和限制内部和外部流量。

本网络安全信息表（CSI）将讨论网络和环境支柱的重点，即根据零信任（ZT）安全模型，除了外围防御外，还要在资源和数据附近实施安全控制。该支柱的主要领域包括映射网络内的数据流和实施网络分段，并通过强大的访问控制来抑制横向移动。这一转变实现了主机隔离、网络分段、加密执行和企业可见性。随着企业内部网络控制的成熟，他们可以大大改善深度防御态势，从而将网络入侵隔离到网络的一小部分。

关于提高国家网络安全的总统行政命令（EO 14028）和第 8号国家安全备忘录（NSM-8）指示联邦文职行政部门机构和国家安全系统所有者及运营商制定并实施采用ZT 网络安全框架的计划。

美国国家安全局 CSI "拥抱零信任安全模式"将 ZT概念定义为一种安全战略，其核心原则是：承认网络威胁无处不在，消除隐性信任，转而对操作环境的各个方面进行持续验证。实施ZT 的目的是使网络安全保护、响应和操作随着时间的推移不断成熟。ZT七大支柱（用户、设备、网络与环境、数据、应用程序与工作负载、自动化与协调、可视性与分析）中每个支柱的能力进步都应被视为基于威胁评估和监控的持续改进周期中的要素。基础设施安全局(CISA) 也为其他系统所有者和操作者提供了其他指导。

图 1：零信任七大支柱描述

网络是硬件和软件的连接，而国防部CSRA 和 NIST SP 800-207 中定义的网络安全环境则是包含所有网络组件、非人实体和相互通信协议的数字生态系统。ZT成熟度模型通过四种网络和环境支柱能力中每种能力的若干关键功能，提供深入的网络安全：

网络和环境通过分段式稳健架构为这一模式提供服务，该架构必须在一开始就有意识地进行开发，并在环境的整个生命周期内进行维护和改进。

除了安全的网络分段框架外，ZT架构还通过对所有用户、设备和数据进行强大的加密和持续验证来实现安全的网络流量管理。自动化和协调依赖于定义的流程和安全策略，以及自适应网络功能，以便根据需要动态隔离或修改网络分段。直观的分析功能可监控网络及其他事件和活动中的可疑行为。只要应用得当，这些功能都能支持ZT 架构，并有可能大大提高网络的安全性。

网络和环境支柱通过定义网络访问、控制网络和数据流、分割应用程序和工作负载以及使用端到端加密，隔离关键资源，防止未经授权的访问。要做到这一点，必须在宏观和微观层面进行适当的网络分段，并结合软件定义网络（SDN），以实现集中控制和自动化。这一支柱取决于企业对其数据的深度认识和了解--数据如何在独立网络内流动，以及如何在物理基础设施、云计算和分布式工作环境相互连接的网络间流动。

数据流映射可确定数据在组织内的传输路径，并描述数据如何从一个位置或应用程序转换到另一个位置或应用程序。这项活动可突出显示存储或处理数据的内部和外部节点，从而发现任何数据滥用行为。企业应充分利用数据所有者和网络团队的知识，形成全面的数据流图。

该地图还可识别数据未适当加密的数据流。如果数据在传输过程中未加密，数据发送方应尽可能启用端到端加密，或利用虚拟专用网络(VPN) 或同等加密隧道和协议来保护传输中的数据。

除了发现数据未得到充分保护的数据流外，这种数据流映射过程对于宏观和微观分段等其他网络活动也是至关重要的。此外，了解数据如何在网络中流动有助于通过分析有效识别异常流量行为。

表 1：数据流映射成熟度

网络分段对于设计和实施ZT 架构至关重要。它可以细分如下：

宏观分段通过将网络分解成多个离散组件，每个组件都支持不同的安全要求，从而对组织网络各个区域之间的流量进行高级控制。换句话说，宏观分段可视为公司内部子组织的分离。例如，IT部门的员工不应该访问会计部门的网络部分以及其中的所有数据和资源。这些网络边界加上访问控制，可以缩小攻击面，防止横向移动，从而提供安全保障。此外，宏分段还为自动化安全响应铺平了道路。因此，这进一步将数据泄露、拒绝服务或恶意软件扩散造成损失的风险降至最低。

在前文详述的零售公司数据泄露事件中，一家暖通空调公司因服务相关任务而获得了有效的网络访问权限。然而，由于网络没有进行适当的分段，网络行为者得以使用从暖通空调公司部分员工处窃取的凭证访问网络，并转入销售点系统。根据公开报道，宏观分段本可以避免这种情况的发生，从而为客户和企业挽回数百万美元的损失。

表 2：宏观细分市场的成熟度

微分段通过将网络的一部分分解成较小的组件，以通过严格的访问策略限制数据的横向流动，从而提供细粒度的安全性。微分段可视为子组织内部的网络分隔；除非明确需要，否则同一部门的员工不得访问彼此的资源。这样就能在更靠近应用程序和资源的地方提供额外的安全执行，增强在网络边界已经建立的策略。因此，微分段包括将用户、应用程序或工作流程隔离到单独的网段中，以进一步减少攻击面，并限制发生入侵时的影响。

虽然这家零售公司的网络入侵事件发生在十年前，但所吸取的教训仍在整个网络安全行业中回响。例如，由于销售点系统与其他系统之间的微分段可能会限制入侵的影响，因此微分段现在已成为许多组织防御态势的主要组成部分。如今，SDN技术通过集中控制和自动策略执行，使其更易于管理。

表3：微观细分的成熟度

SDN 通过微细分、适应性和集中策略管理，在细粒度方面具有独特优势。将SDN组件集成到现有基础设施中还可实现可定制的安全监控和警报。虽然微分段可以通过传统的系统组件和手动配置来实现，但SDN 的集中特性允许在整个网络中进行动态实施和管理。

通过分布式转发平面，SDN可由集中控制服务器对数据包路由进行控制，提供更多的网络可见性，并实现统一的策略执行。SDN已成为目前使用的许多现代网络设备的一项功能，可实现对新设备的灵活集成和控制。此外，SDN网络管理平台实时可用，可自动执行人工任务。这有利于将网段整合到一个共同的集中管理策略下，并降低人为错误的风险，例如随着网络规模的扩大而出现的配置错误。

通过 SDN进行微分段可从整体上保障网络安全，但SDN控制器（SDNC）本身也可能成为需要适当配置和持续监控的优先目标。由于编写脚本是为了调用应用编程接口（API）以促进必要的自动化任务，因此SDNC 配置会暴露这些API。SDN通过自动更新和安全策略提高了网络安全性。但是，为防止API暴露，必须采用良好的网络安全实践（和纪律），以防止未经授权禁用安全控制和其他损害SDN功能的行为。

应创建专用的API 管理员角色，其权限应受到限制，不能与SDN 管理员的访问级别相同。SDNC只能接受授权API 管理员的API 调用。应尽可能使用适当的加密协议（如TLS v1.2 或更新版本、SSH v2 或更新版本）和相互验证（如客户端和服务器证书）确保API 调用安全，以保护传输中的数据。

表4：软件定义网络的成熟度

根据此处开发的成熟度模型扩展和完善网络与环境支柱路线图，可为企业提供抵御、检测和应对利用企业架构弱点或漏洞的威胁的流程。这些流程支持一种运营思维，即假定威胁已经存在于系统的名义边界内。必须保持警惕，确保不断评估风险，及时采取适当的应对措施，并在必要时进行后续调查和损害控制。

美国国家安全局强烈建议网络所有者和运营商通过开发与本CSI中描述的高级成熟度模型相称的能力来加强其网络和环境。网络和环境安全首先要建立当前所有数据流的准确清单。这可确保对这些数据流的访问受到适当的保护、审查和控制。

为使网络和环境能力更加成熟，组织应：