此篇文章发布距今已超过67天,您需要注意文章的内容或图片是否可用!
本文深入剖析了美军在SolarWinds和MOVEit等网络安全事件后的紧急应对,聚焦其加速推进的零信任架构建设。特别是,通过“雷霆穹顶”项目这一实践案例,详尽展示了美军零信任战略的实施背景、目标进展及技术要点。
鞠佳洋 , 蒋莉 , 张君 , 等 . 透视美军“雷霆穹顶”零信任项目[J]. 信息安全与通信保密 ,2024(10):80-88.
近年来,面对SolarWinds和MOVEit等重大网络安全事件,美军明显加快了零信任架构的建设步伐,尤其是在美国国防信息系统局于2021年5月发布的《国防部零信任参考架构》中,提出了零信任网络保护计划。而“雷霆穹顶”(Thunderdome)项目正是脱胎于该架构的首批重大成果之一。基于此,首先阐述了美军启动“雷霆穹顶”项目的主要背景,其次介绍了该项目的具体目标和进展,并从技术层面梳理了该项目的若干要点,最后探讨了美军零信任建设工作的未来趋势和潜在挑战。
0 引 言
1 项目背景
2 “雷霆穹顶”项目概况
2.1 项目目标
2.2 项目进展
2.3 项目要点
3 美军零信任建设态势分析
3.1 美军开始加速向零信任安全架构迁移
3.2 美军以商用方案推动零信任架构建设
3.3 美军的零信任架构可能面临兼容问题
4 结 语
2023年2月,美国国防信息系统局(Defense Information Systems Agency,DISA)宣布Booz Allen Hamilton公司(以下简称“博思艾伦公司”)完成了零信任项目“雷霆穹顶”原型设计;同年7月28日,DISA又与博思艾伦公司签订了金额上限为18.6亿美元的“雷霆穹顶”软硬件生产合同,该合同预计将持续至2028年 。作为DISA推出的第一种零信任体系,“雷霆穹顶” 集成了一系列现成的商用技术,意在推动美国国防部从基于边界防护的纵深防御网络安全架构,转向基于身份验证的零信任网络安全架构。博思艾伦公司开始生产“雷霆穹顶”相关装备,标志着美军的零信任建设开始从规划阶段迈入部署阶段,其零信任战略的实施工作全面提速。随着移动办公和远程办公的日益普及,位于美军国防信息系统网络边界之外的用户数量迅速增加,传统的网络安全技术已难以实现安全的端到端连接。美军曾希望通过网络安全系统“联合区域安全堆栈”,将分散在全球的1000多个网络入口缩减至25个左右,以集中管理的方式强化网络安全。但美国国防部运作试验与评测局的测试表明,“联合区域安全堆栈”存在配置过于复杂、数据流量超出处理能力及因通信延时而效率低下等问题,这一系列问题最终迫使美国国防部于2021年停止推动“联合区域安全堆栈”项目。为填补“联合区域安全堆栈”项目留下的安全空白,美军将目光投向在商业领域崭露头角的零信任架构。零信任架构不再聚焦于边界防御,而是假设对手已经入侵己方网络,因此会不断验证用户和设备身份,并根据验证结果授予对应的访问权限,从而极大地限制入侵者的活动范围及其造成的损害。为推动零信任建设DISA先于2021年2月发布《国防部零信任参考结构》,又于2021年7月启动“雷霆穹顶”项目招标 。该项目遵循零信任理念,旨在将美军当前以网络为中心的纵深防御模式,转变为以数据保护为中心的新模式。该项目利用“软件定义广域网”技术搭建虚拟网络,再利用虚拟网络将安全Web网关、云访问安全代理和“防火墙即服务”等安全功能整合到同一云平台中,从而提供覆盖系统、网络、终端和用户的一站式安全服务。根据DISA于2021年9月发布的项目申请白皮书,“雷霆穹顶”项目的目标是创建、设计、开发、演示和部署一系列的工具、系统或能力。最主要的部分包括软件定义广域网技术、客户边缘安全堆栈和应用程序安全堆栈等,其中,客户边缘安全堆栈应设置在国防信息系统网络的客户边缘入网点处,可扩展的应用程序安全堆栈则应设置在应用程序的工作负载前端。DISA将利用这些工具、系统或能力,在“涉密互联网协议路由器网络”和“非密互联网协议路由器网络”上建立基于安全边缘的零信任网络安全架构,从而改善美军的网络安全水平,提高网络路由效率,以及简化复杂或冗余的网络安全架构。2022年1月,DISA与博思艾伦公司签订价值680万美元的“雷霆穹顶”原型设计合同,要求该公司在6个月内开发出可供25个软件定义广域网站点和5000名用户试用的“基本可用产品”。同时,为了更充分地进行安全测试,以及将试点范围扩大到“涉密互联网协议路由器网络”,DISA将合同延期至2023年1月 ,并将试用人数调整为3处DISA场所的共5400名用户。2023年2月,博思艾伦公司宣布完成“雷霆穹顶”原型设计,DISA等单位的约1600名用户开始试用该架构。2023年7月,DISA宣布与博思艾伦公司签订金额上限为18.6亿美元、包含1年基期和4年可选续约期的“雷霆穹顶”软硬件生产合同,以便大规模部署该项目下的相关装备。“雷霆穹顶”项目进展如图1所示,2024年4月,DISA宣布2023年内已将“雷霆穹顶”项目装备部署至15处设施,并计划于2024年内部署至其他60处设施,2025年内再部署至其他14处设施。这些装备将优先部署至不直接参与作战和情报工作的“第四类业务机构”,即DISA、国防合同管理局、国防后勤局和国防先进研究项目局等22家使用DoDNet(由DISA运营的国防部共用网络)的美国国防部机构 。截至2024年4月,DISA已将大部分业务迁移至“雷霆穹顶”架构下,美国海岸警卫队和南方司令部也已部署该项目装备,欧洲司令部和非洲司令部则正在考虑部署 。鉴于《国防部零信任战略》要求美国国防部在2027年前全面达到该战略所述的“目标级零信任”水平,届时美国国防部内的大部分机构都可能部署该项目装备。“雷霆穹顶”架构如图2所示,“雷霆穹顶”项目的突出特点,在于依托既有网络基础设施构建软件定义广域网,进而以该广域网为基础,构建以客户侧和程序侧两大“边缘”为重点的云基网络安全架构“安全访问服务边缘”,并计划利用人工智能来改善该架构的数据收集、分析和处理能力。2.3.1 以“安全访问服务边缘”方案集成网络连接与网络安全能力“雷霆穹顶”项目以Palo Alto公司的云基安全访问服务边缘(Secure Access Service Edge,SASE) 方案Prisma Access SASE为核 心 ,融合了“身份、凭证及访问管理”和MicrosoftDefender等美国国防部既有的部分安全功能。作为遵循零信任原则的综合性网络安全访问方案Prisma Access SASE既集成了Prisma软件定义广域网、虚拟云数据中心和虚拟专用网络等网络连接技术,又集成了“防火墙即服务”、安全Web网关、数据防泄露和云访问安全代理等网络安全技术,实现了网络连接技术与网络安全技术的深度整合。借助这些技术,Prisma AccessSASE可通过“身份、凭证及访问管理”等美国国防部身份服务来验证用户,并根据身份属性、设备状态、地理位置和使用时间等要素,授权用户在限定条件下访问工作所需的应用程序和资源。此外,Prisma Access SASE还可防止使用云服务或互联网服务的用户流量穿过美国国防部信息系统网络,从而最大限度地减轻该网络面临的风险。由与流量管理“雷霆穹顶”项目采用Versa Networks公司的软件定义广域网技术,该技术利用美国国防部现有的路由基础设施形成一层覆盖网络,从而得以在软件层面定义和调整网络路由,比如为本地用户形成基准/次级安全策略所需的父/子类多租户网络架构等。该软件定义广域网技术可对特定流量进行动态微隔离、优先级排序和自动配置,其中微隔离能力是按零信任要求限制各类权限、防止用户在内网中越权横向移动的关键,优先级排序和自动配置能力则可优化网络流量,以确保在网络连通和网络安全的前提下,降低网络连接成本。除此之外,“雷霆穹顶”还将软件定义广域网技术与美国国防部一些现有安全系统的部分功能(包括身份、凭证及访问管理系统,各类端点系统,安全信息与事件管理器及数据分析平台等)相整合,以便根据这些系统提供的用户和端点属性及应用程序与数据标记策略,来限制相应的流量和功能。2.3.3 以专用安全堆栈加强客户侧和程序侧的网络安全与其他SASE方案相比,“雷霆穹顶”项目的特别之处,在于设计了客户边缘安全堆栈和应用程序安全堆栈,即专门面向用户和应用程序的2种网络安全套件。其中,“雷霆穹顶”的客户边缘安全堆栈也由Versa Networks公司开发,该堆栈符合《联邦信息处理标准 140-2:加密模块的安全要求》,适用于从非密到绝密的各类涉密环境,并可为用户提供“下一代防火墙”、入侵防范/入侵检测系统和本地零信任网络访问等安全服务。该客户边缘安全堆栈将被安装在用户的网络接入点处,只有通过该堆栈验证的用户,才能访问美国国防部的信息系统网络。“雷霆穹顶”的应用程序安全堆栈则包含了Palo Alto公司的Prisma Cloud容器安全解决方案和“下一代防火墙”解决方案,以及F5公司的Web应用程序防火墙等功能,并由Palo Alto公司的Panorama自动化安全管理解决方案进行管理。这些应用程序安全堆栈均可通过云端提供安全功能,从而大幅减轻“雷霆穹顶”的软硬件部署负担。此外,为简化应用程序安全堆栈的部署流程,DISA还将提供“基础设施即代码”模板,以便在物理设备上自动设置虚拟机或自动执行Ansible工具 。截至2024年4月,“雷霆穹顶”架构尚不具备人工智能功能,但DISA正在评测由美国国防部首席数字与人工智能办公室运营的人工智能部署与监控平台“感知器”(Perceptor),以决定是否将其纳入“雷霆穹顶”架构。“感知器”将向用户端点及入侵防范/入侵检测系统等数据来源订阅数据,然后对收到的数据进行检测、分析和处理。处理过的数据及其检测分析结果将被发送给数据代理工具,再由代理工具将这些数据分发给“安全信息与事件管理”工具等应用程序,以便分析师通过这些程序获得后续行动所需的数据。值得注意的是,“感知器”可与美国国防部各机构的系统相整合,从而使各机构既能继续使用现有系统,又能共享基于人工智能的网络安全服务。此外,“雷霆穹顶”还将纳入保护域名系统的域生成算法,以及追踪安全超文本传输协议攻击的Sherlock算法 ,但尚不确定这些人工智能算法是否会集成到“感知器”中。近年来,美国的政府和企业多次遭遇SolarWinds和MOVEit等重大网络攻击事件,暴露出美国现有的网络安全架构存在明显短板。尽管这些事件并未直接影响到美军,但为避免重蹈美国政府的覆辙,美军已开始加速推进零信任架构的建设。DISA首先于2020年提出向零信任架构迁移的设想,接着在2021年5月发布《国防部零信任参考架构》,随即于2021年7月推出“雷霆穹顶”项目。DISA起初甚至要求博思艾伦公司在短短6个月内完成项目,可见其已将零信任建设视为美军的当务之急。在此背景下,美国国防部先于2022年1月组建“零信任资产组合管理办公室”以协调零信任工作,后于2022年11月发布《国防部零信任战略》,其中明确要求到2027年底,美军的7大零信任支柱领域都应达到“目标级零信任”水平。按照这一要求,美军各机构已在2023年10月前出台43份零信任计划,其中DISA更是走在各方前列,其将于2024年9月推出的云基托管平台“奥林匹斯”(Olympus)就已采用“雷霆穹顶”架构 。这些举措表明,美军的零信任建设工作已全面提速,零信任架构(但未必是“雷霆穹顶”架构)在美军中全面铺开已是大势所趋。零信任并非美军的独创或专利,其主要倡导者和开发者为谷歌等商业公司,最初也只是为了满足企业的网络安全需求。正因如此,“雷霆穹顶”项目也存在着明显的商业印记:该项目几乎所有的组件和功能都由商业公司提供,其中最关键的安全访问服务边缘、软件定义广域网和安全堆栈等技术也并非专门的军用设计,而是在成熟商业方案的基础上进行定制化调整。DISA之所以敢于采用Prisma Access SASE等商用方案,是因为这些方案的保密性、可靠性和可用性已得到市场证明,同时成熟的商用方案也能大幅降低零信任工作的资金成本和人力成本。DISA作为美军信息化改革的领头羊,其对商用方案的信任将有助于带动其他美军单位也采用类似做法,从而加快整个美军的零信任建设进程。不过如果零信任建设完全依赖商用方案,美军对信息系统的管控力度可能有所下降,各方的责任边界也可能变得更加模糊,客观上加大了因企业安全意识不足而引发网络事件的风险。从《国防部零信任战略》来看,尽管美国国防部打算全面推行零信任,但并未对如何建设零信任架构做出具体规定,只是要求各单位如期达到“目标级零信任”水平即可。同时,DISA也并未强制要求美军各单位使用“雷霆穹顶”架构。就海陆空三军而言,海军最有可能尝试“雷霆穹顶”架构,陆军则在开发自己的安全访问服务边缘解决方案,空军也倾向于使用已有的安全堆栈,这些分歧可能导致美军的访问权限与数据管理复杂化,甚至重蹈“联合区域安全堆栈”的覆辙。更严重的问题在于,零信任构想与美军近年来同样大力推崇的“联合全域指挥与控制”构想存在一定冲突:“联合全域指挥与控制”要求任意传感器都能将数据传输给任意火力平台,但在混乱的战场上,新部署的传感器可能无法及时通过零信任架构下的多重认证,进而难以形成最佳杀伤链。此外,在联合行动中,即便是美国的盟友,也不太可能将其官兵和设备的身份信息向美军和盘托出;而若接入身份不够明确的用户或设备,又违背了零信任的精细化管理原则。未来若无法有效解决这些问题,零信任架构可能反而会削弱美军的战斗力。作为DISA的首个零信任项目,“雷霆穹顶”仅用一年半时间就正式投产,这种推进速度在美军的IT项目中并不多见。可见在网络安全形势日趋严峻的背景下,美军正迫切希望向以数据保护为核心的零信任架构快步转型。不过鉴于美军各部尚无统一的零信任建设规划,且零信任构想与“联合全域指挥与控制”构想存在一定冲突,“雷霆穹顶”项目能否助力美军实现零信任战略目标还有待观察。鞠佳洋(1988—),男,学士,工程师,主要研究方向为信息安全技术检测、通信安全保密;
蒋 莉(1986—),女,学士,助理工程师,主要研究方向为图书情报管理、信息安全保密;
张 君(1984—),女,硕士,工程师,主要研究方向为信息安全保密;
陈 莹(1996—),女,学士,助理工程师,主要研究方向为网络信息安全保密;
张松岩(1997—),男,学士,助理工程师,主要研究方向为情报分析、通信保密。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com
还没有评论,来说两句吧...