【国际视野】美国国家安全局发布《在应用程序和工作负载支柱中提升零信任成熟度》

在当前的数字环境中，恶意软件和新出现的在线威胁不断发展并变得更加复杂，因此企业必须将网络安全作为其运营的基本要素。信息技术（IT）专业人员非常清楚应用程序所面临的安全挑战，但在这一领域，工作负载同样重要。

工作负载代表计算任务，其中包括通过利用计算、数据、网络和存储资源来执行这些任务的多个程序或应用程序。工作负载在其生命周期内，通过任务开发、测试和生产场景不断演变。"工作负载是应用程序持续努力的一种表现形式，也是对应用程序的要求......应用程序往往通过其处理数据的方式或解决方案固有的软件限制来塑造工作负载本身的特征。"工作负载可以由跨越多个云的服务组成，并通过应用编程接口（API）连接到需要不同访问级别的第三方和敏感数据库。为了应对跨计算环境和工作流管理工作负载的复杂性，企业正在转向后端API、工作负载自动化软件、人工智能（AI）预测分析和云管理平台等先进工具。

这些工具通过与数据交互和交换数据，使组织能够实现其互联性、可扩展性和可用性的使命。这种数据交换为恶意行为者提供了针对业务应用程序和工作负载以及用于保护它们的方法的机会，从而导致安全挑战。

国家安全系统(NSS)、国防部(DoD) 和国防工业基地(DIB)的所有者应使用本指南和其他指南来制定具体步骤，使其应用程序和工作负载的安全性更加成熟。

传统上，对应用程序的访问权限是在本地级别授予的，而且是静态的，这意味着一旦获得授权，就会一直存在，直到被撤销为止。而ZT 模式则将这种模式转变为"从不信任，始终验证"模式。这种ZT模式支持现代环境，如混合云、边缘位置和容器部署；为了更好地保护网络免受当前威胁，企业必须将精力投入到更加集成的安全架构中，重点保护数据、应用程序、资产和服务（DAAS）。国防部ZT 安全模型最好地诠释了构成完整网络安全态势的七大支柱。

采用ZT框架可加强对关键应用程序和工作负载的保护，实现从以网络为中心到以数据为中心的安全模型(DSM)的决定性转变，并对每次数据访问细化实施基于属性的访问控制(ABAC)。现代化的ZT框架集成了多个视点的可视性，可做出风险感知访问决策，并自动检测和响应。应用程序和工作负载支柱通过为环境中的应用程序和工作负载提供细粒度访问控制和可见性，来瓦解恶意行为者的努力。

通过实施这种ZT安全模型，未经授权的用户无法使用应用程序，也无法扫描请求应用程序以外的资源。对授权用户进行强大身份管理并将持续自动监控集成到其安全策略中的组织，将拥有全面的可视性来跟踪每项事务，并准确定位每个工作负载在任何特定时刻的工作内容。这些工作负载在不同的数据中心和云环境中对应用程序实施细粒度、一致的访问控制。实施这样一个框架，网络安全从业人员就能更好地保护敏感的DAAS。

应用和工作负载的范围包括终端用户系统上的单个任务、在内部服务器上执行的服务以及在云环境中运行的应用或服务。ZT工作负载涵盖从应用层到管理程序的整个应用堆栈。保护和正确管理应用程序层以及计算容器和虚拟机是采用ZT 的核心。本CSI详细介绍了应用和工作负载支柱中逐步成熟的功能。它包括实现不断提高的成熟度的建议和示例，从最初的准备阶段，到基础阶段和中间阶段，最后到高级ZT 级别，以做出充分知情、风险感知、细粒度的访问决策。

受众

关于提高国家网络安全的总统行政命令（EO 14028）和第8号国家安全备忘录（NSM-8）指示联邦文职行政部门（FCEB）各机构和国家安全系统所有者和运营商制定并实施采用ZT 网络安全框架的计划。实施ZT的目的是使网络安全保护、响应和操作随着时间的推移不断成熟。七大支柱中每个支柱的能力进步都应被视为基于威胁评估和监控的持续改进周期。

本CSI 按照国防部ZT RA成熟度的准备、基线、中级和高级等级提供指导。它也是对国防部ZT 项目管理办公室（PfMO）"目标"和"高级"级别指导的补充。

图1 描述了ZT 支柱，包括应用和工作量支柱。本文档将详细介绍ZT成熟度模型中这一部分的能力和里程碑。尽管这些支柱是分开描述的，但必须注意的是，这些支柱并不是独立的；每个支柱中的许多能力都依赖于其他支柱中的能力，或与其他支柱中的能力相一致。

图 1：七大"零信任"支柱

应用程序安全是指通过防止应用程序或底层信息系统的安全策略出现异常来确保应用程序安全的能力。应用和工作负载支柱的重点是通过整合用户、设备、网络和环境支柱的功能来确保应用层的访问安全，以防止数据收集、未经授权的访问或对关键流程或服务的篡改。在先进的ZT基础设施中，用户进入应用程序和底层网络时都要经过严格的身份验证。通过遵循国防部CSRA 原则1.1，即通过配置系统只提供基本功能来实现最低权限，进一步确保应用程序的安全，减少攻击面。

应用程序和工作负载互为因果。应用程序包括在内部部署和云环境中执行的任何计算机程序和服务。应用程序是满足业务需求的单个工具，而工作负载可以是独立的解决方案，也可以是执行任务功能的紧密耦合的处理组件组。工作负载实施应通过过滤和应用组件之间的访问规则，动态隔离处理组件和计算容器，以提高关键资源和威胁行为体之间的逻辑隔离。细粒度访问控制和集成威胁保护可提供更强的态势感知能力，并减轻特定于应用程序的威胁。应用程序和工作负载支柱取决于以下关键能力：

对应用程序和工作负载进行清查是实施ZT至关重要的第一步。必须对这些资源进行识别和分类，以便优先考虑关键资产的网络安全保护要求，尤其是应用程序更新。

编制组织应用程序资产清单是提高组织网络安全态势的一种重要而有效的ZT方法。组织必须对关键工作流程所需的应用程序进行识别和分类。与用户访问一样，应用程序身份也应根据最小特权原则（PoLP）为其他必要服务的身份验证提供便利。本地目录和身份与访问管理（IAM）解决方案可用于管理应用程序身份，并促进基于必要条件的访问。主要的云服务也提供中央控制器来处理这些任务。

此外，利用这种方法来清查应用程序，可以对工作流程进行优先排序，加快淘汰未经批准和/或未使用的应用程序，从而减少攻击面，消除潜在的安全漏洞和漏洞。

表 1：应用程序清单成熟度

大多数组织都依赖于可能包含漏洞或恶意注入功能的软件和代码。拥有安全的软件，能够可靠地执行其预期功能，而不会被利用来执行恶意操作，这与确保所提供软件的安全同样重要，甚至更为重要。ZT模型建议开发应用程序的组织采用DevSecOps 框架和持续集成/持续交付(CI/CD) 方法，以确保安全开发和部署。应通过DevSecOps开发实践对开发的源代码和常用库进行审查，以确保应用程序从一开始就安全。

这种ZT方法要求在开发和部署过程的每个阶段都纳入安全控制。CISA概述了"安全设计"软件开发的概念，即在最初的软件设计阶段就考虑到安全问题。这样可以确保在软件进入市场之前减少可利用缺陷的数量，并在软件的整个生命周期内大大减少缺陷的总数。

因此，企业应解决所有应用程序接口的安全问题，并实施网络微分段以隔离应用程序和工作负载。通过创建专用于应用程序流量的独立逻辑网段，微分段可帮助缓解安全挑战。

对所有应用程序安全至关重要的另一项安全措施是使用强大的加密算法，以确保应用程序所依赖的数据在静态和传输过程中都受到保护。

与此相关，数字签名对于维护应用程序的真实性和完整性至关重要。数字签名有助于追踪软件的来源，并维护可靠的监管链。数字签名是应用程序代码的加密哈希值，用开发人员的密钥进行加密，用户解密后将其与正在执行的版本的哈希值进行比较，以确定软件的完整性和来源。此外，应用程序容器在使用前也应进行数字签名和验证，以验证其完整性。根据管道和功能的不同，配置也可以进行数字签名，以进一步建立对应用程序配置符合预期的信任。

在使用容器化工作负载时，应通过定期扫描容器映像以查找漏洞、限制容器权限、保护容器机密和实施运行时安全控制来确保其安全性。

表 2：安全软件开发和集成成熟度

供应商提供的解决方案具有诱人的优势，可满足公共和私营部门客户的需求。然而，伴随着这些诱人的优势，整个供应链中直接或间接网络安全风险的可能性也随之增加。所有软件解决方案都存在一些固有风险。在实施之前，企业应研究计划中的IT 解决方案，以确定其适用性，以及其安全特性和功能是否符合质量和弹性预期。

"部署的软件通常是现成的商用（COTS）产品，其中包括在多层开发或采购的较小的COTS或开源软件组件。对企业内部署的软件进行更新时，往往无法更新存在已知漏洞的较小COTS组件"。这就为软件带来了多种风险因素，尤其是当软件的底层依赖关系本身也存在漏洞时。企业应确定使用此类软件是否值得冒风险，是否有能力管理这种风险，以及如何最好地管理这种风险。

管理软件风险包括根据需要计算风险，确保供应链各组成部分的安全，减少漏洞，并使组织了解残余风险。组织必须确保提供和分配所有必要的资源，以便对这些风险及其缓解措施进行持续验证。这些资源还必须符合现代授权策略，根据最少访问原则限制访问，并实施ABAC以作出细粒度访问决策，否则就必须置于应用网关或代理之后。代理或应用防火墙还可用于降低其他应用风险，如应用漏洞和利用企图。应定期进行安全评估，包括渗透测试和漏洞扫描，以主动识别和补救安全弱点和风险。

NIST的《网络安全供应链风险管理》（C-SCRM）出版物旨在就如何识别、评估、选择和实施风险管理流程和缓解控制措施为企业提供指导。C-SCRM是一个系统化流程，用于管理整个供应链中暴露的网络安全风险，并制定适当的应对策略、政策、流程和程序。

NIST进一步列举了将C-SCRM纳入企业风险管理流程的具体指导，例如：C-SCRM实践的一般优先级模型、根据企业的具体需求调整实施、了解和管理关键产品和服务、与关键供应商密切合作以及经常评估和监控供应链关系。

表3：软件风险管理成熟度

资源授权可通过验证和限制所有访问权限，并在不再需要时删除访问权限，从而以较低风险的方式实现资产之间的整合。各组织应确保可通过标准化的安全API 以编程方式完成资源授权。应用程序（通常被称为"传统应用程序"）如果无法遵从现代动态资源授权策略（根据PoLP、ABAC和不断变化的环境条件限制其访问），则应将其置于应用程序网关或代理之后，并计划用能够遵从这些策略的应用程序进行替换。

应用程序和工作负载可能需要自己的账户或身份验证凭据（如证书或API密钥）来验证资源和其他应用程序的身份。这些凭证所授予的访问权限应遵循PoLP，并将访问权限限制在预期应用功能和集成所需的范围内。

表4：资源授权和集成成熟度

各组织根据上下文信息自动做出应用程序访问决策，并执行基于时间的访问。决策标准包括任务关键性与应用程序风险评分的比较分析。应用程序风险评分包括C-SCRM 风险部分。

企业利用实时自动风险分析和行为分析，实施持续的应用程序访问授权。自动机制可监测/监控未经授权的应用程序或异常工作流程的引入。

持续监控和持续授权基于这样一种理念：没有什么是一成不变的，变化是持续不断的，而这些变化可能会带来漏洞。自动化工具和流程应持续监控已部署应用程序和工作负载的健康状况、状态和可操作性。应使用仪表板和警报来观察工作负载的状态和变化，并就重大变化向相关人员发出警报。实施这些流程将大大提高组织的整体安全性和事故响应速度。

表5：持续监测和不断授权的成熟度

此处提供的信息并非适合所有组织的标准化解决方案，而是实施与应用程序和工作负载相关的ZT概念的建议和注意事项。发现和定义组织的使命并确定需要保护的支持资产，将有助于更清晰地了解现有架构，并将其与本支柱中的建议以及其他ZT 支柱CSI 进行比较。

每个组织都需要评估各自的要求，以确定合适的解决方案。最终目标是制定一个与组织的ZT 目标相一致的ZT 路线图。以下指南是实施ZT应用程序和工作负载支柱的主要思路，以确保应用程序和工作负载的安全并防止恶意滥用：

美国国家安全局正在协助NSS 社区成员试用ZT 功能，与NIST、CISA和国防部协调ZT 活动，并制定更多ZT 指南，以支持系统开发人员应对将ZT 集成到NSS、国防部和DIB环境中的挑战。即将发布的补充指南将有助于组织、指导和简化将ZT 原则和设计纳入企业网络的工作。