美国国家安全局发布零信任安全模型指南

2021年2月25日，美国国家安全局(NSA)发布关于零信任安全模型的指南《拥抱零信任安全模型》(Embracing a Zero Trust Security Model)。

NSA是美国情报界的中流砥柱，是美国国家安全系统的技术权威，是美国网络司令部的摇篮。由于它深不可测，大家对它的了解多来自于斯诺登的曝光。这次的指南发布，可视为NSA对零信任的明确表态。

在美军网络空间安全领域，笔者认为DISA(国防信息系统局)和NSA是“雌雄双煞”：DISA主内，NSA主外;DISA管防御，NSA管进攻;DISA管非涉密安全，NSA管涉密安全。他俩还都具有独特的双帽体制。

既然NSA已经发布零信任指南，而DISA早就宣布要发布零信任参考架构，那么，关于美国国防部对零信任的拥护立场，几乎没有什么悬念了。

接下来，我们继续等待DISA的零信任参考架构和NSA的附加零信任实施指南。

《拥抱零信任安全模型》原文下载地址：下载原文

一、NSA指南概要

NSA网络安全指南《拥抱零信任安全模型》的制定，是为了促进NSA的网络安全任务，即识别和传播对国家安全系统(NSS)、国防部(DoD)和国防工业基础(DIB)信息系统的威胁，以及制定和发布网络安全规范和缓解措施。

本指南展示了如何遵循零信任安全原则，以更好地指导网络安全专业人员保护企业网络和敏感数据。为了让NSA的客户对零信任有一个基本的了解，本指南讨论了它的好处和潜在的挑战，并提出了在他们的网络中实现零信任的建议。

零信任模型通过假设失陷是不可避免的或已经发生的，消除了对任何一个元素、节点、服务的信任。以数据为中心的安全模型，在持续控制访问的同时，寻找异常或恶意的活动。

采用零信任思想和利用零信任原则，将使系统管理员能够控制用户、进程、设备如何处理数据。这些原则可以防止滥用泄露的用户凭证、远程利用或内部威胁、缓解供应链恶意活动影响。(注：参见本文第4节(使用中的零信任示例))

NSA强烈建议国家安全系统(NSS)内的所有关键网络、国防部(DoD)的关键网络、国防工业基础(DIB)关键网络和系统考虑零信任安全模型。(注：NSA负责保护国家安全系统(NSS)，即敏感程度较高的网络和系统，如涉密信息系统。所以，这条建议对于高敏感网络在应用零信任理念方面，具有很强的权威性。)

NSA指出，网络及其运营生态系统的大多数方面都应实施零信任原则，以使其充分有效。

为了应对实施零信任解决方案的潜在挑战，NSA正在制定并将在未来几个月发布额外的指南。

二、NSA与DISA

美国军方在网络空间作战领域占据主导地位，四只主要力量是：美国国家安全局(NSA)、国防信息系统局(DISA)、美国网络司令部(USCYBERCOM)、联合部队总部国防部信息网络部(JFHQ-DODIN)。这四个机构之间具有双帽关系：

图1：美国国防部内四大网络空间作战机构之间的“双帽”关系

该图显示了四个机构之间的双帽体制：国家安全局(NSA)局长与美国网络司令部司令官是同一人(现为Paul M. Nakasone);国防信息系统局(DISA)局长与JFHQ-DODIN司令官也是同一个人(现为Nancy Norton)。两人的相片如下：

图2：NSA(左)/DISA(右)“雌雄双煞”

NSA的工作侧重于涉密侧和进攻侧，敏感程度较高，所以不像DISA那么开放。NSA曾在2018年11月发布了《NSA/CSS技术网络威胁框架v2》(NSA/CSS Technical Cyber Threat Framework v2)。

三、NSA指南目录

1. 执行摘要

2. 已经落伍的方法

3. 日益复杂的威胁

4. 什么是零信任

5. 采取零信任思维

(1) 拥抱零信任指导原则

(2) 利用零信任设计理念

(3) 使用中的零信任示例

• 泄露的用户凭据
• 远程利用或内部威胁
• 供应链受损

(4) 零信任成熟度

6. 零信任道路上的潜在挑战

7. 小心地最小化嵌入的信任可以实现更安全的任务

(1) 进一步的指南

(2) 引用的工作

(3) 背书免责声明

(4) 目的

(5) 联系方式

简单评述：

笔者在对NSA零信任指南快速浏览后，觉得没必要粘贴全文译文。因为NSA指南中关于零信任的理念、思路、原则、挑战等，与NIST零信任架构指南是一致的，只是换了些说法，无需赘述。

这篇NSA零信任指南的译文不到6千字;而NIST零信任架构指南(SP 800-207)则超过了3万7千字。若为更好地理解零信任架构，直接参考NIST零信任架构指南(SP 800-207)的译文即可。

下面主要介绍其中的第5.3节(使用中的零信任示例)和5.4节(零信任成熟度)的内容。

四、使用中的零信任示例

1. 泄露的用户凭据

示例场景：在本示例中，恶意网络行为体将窃取合法用户的凭据并尝试访问组织资源。在这种情况下，恶意行为体试图使用未经授权的设备，要么通过远程访问，要么利用已加入组织无线局域网的恶意设备。

在传统网络中，仅用户的凭据就足以授予访问权限。

在零信任环境中，由于设备是未知的，因此设备无法通过身份验证和授权检查，因此被拒绝访问并记录下恶意活动。此外，零信任要求对用户和设备身份进行强身份验证。

建议在零信任环境中使用强多因素用户身份验证，这会使窃取用户的凭据变得更加困难。

2. 远程利用或内部威胁

示例场景：在本示例中，恶意网络行为体通过基于互联网的移动代码漏洞利用，来入侵用户的设备;或者，行为体是具有恶意意图的内部授权用户。

在一个典型的非零信任场景中，行为体使用用户的凭据，枚举网络，提升权限，并在网络中横向移动，以破坏大量的数据存储，并最终实现持久化。

在一个零信任网络中，失陷的用户的证书和设备被默认为是恶意的，除非被证明清白;并且网络是分段的，从而限制了枚举和横向移动的机会。尽管恶意行为体可以同时作为用户和设备进行身份验证，但对数据的访问将受到基于安全策略、用户角色、用户和设备属性的限制。

在成熟的零信任环境中，数据加密和数字权限管理可以通过限制可以访问的数据和可以对敏感数据采取的操作类型，来提供额外的保护。此外，分析能力可以持续监视帐户、设备、网络活动和数据访问中的异常活动。尽管在这种情况下仍可能出现一定程度的失陷，但损害程度却是有限的，而且防御系统用来检测和启动缓解响应措施的时间将大大缩短。

上述文字描述，可对照下图理解：

图3：零信任远程利用场景的示例

3. 供应链受损

示例场景：在此示例中，恶意行为体在流行的企业网络设备或应用程序中嵌入恶意代码。而设备或应用程序也已按照最佳实践要求，在组织网络上进行维护和定期更新。

在传统的网络架构中，这个设备或应用程序是内部的，并且是完全可信的。这种类型的失陷可能会特别严重，因为它隐含了太多的信任。

在零信任架构的成熟实现中，由于设备或应用程序本身默认不可信，因此获得了真正的防御效果。设备或应用程序的权限和对数据的访问，将受到严格的控制、最小化和监控;分段(包括宏观和微观粒度)将依据策略来强制执行;分析将用于监控异常活动。此外，尽管设备可能能够下载已签名的应用程序更新(恶意或非恶意)，但设备在零信任设计下允许的网络连接将采用默认拒绝安全策略，因此任何连接到其他远程地址以进行命令和控制(C&C)的尝试都可能被阻止。此外，网络监视可以检测并阻止来自设备或应用程序的恶意横向移动。

五、零信任成熟度

NSA指南也再次强调，零信任的实施需要时间和精力：不可能一蹴而就。

NSA指南进一步指出：一次性过渡到成熟的零信任架构是没有必要的。将零信任功能作为战略计划的一部分逐步整合，可以降低每一步的风险。随着“零信任”实现的逐步成熟，增强的可见性和自动化响应，将使防御者能够跟上威胁的步伐。

NSA建议：将零信任工作规划为一个不断成熟的路线图，从初始准备阶段到基本、中级、高级阶段，随着时间的推移，网络安全保护、响应、运营将得到改进。如下图所示：

图4：逐步成熟的零信任实现

六、下一步期待

NSA指南中提到，NSA正在协助国防部客户试验零信任系统，协调与现有国家安全系统(NSS)和国防部计划的活动，并制定附加的零信任指南，以支持系统开发人员克服在NSS(国家安全系统)、DoD(国防部)、DIB(国防工业基础)环境中集成零信任的挑战。即将发布的附加指南将有助于组织、指导、简化将零信任原则和设计纳入企业网络的过程。

另外，大家也许还记得，DISA(国防信息系统局)局长曾宣称在2020日历年年底前发布初始零信任参考架构，然后将花几个月时间征求行业和政府的意见建议，然后再发布完整的文件。故从时间上估计，目前应该处于征求行业和政府意见的过程中。

不论是NSA下一步的实施指南，还是DISA正在征求意见的参考架构，笔者都认为：

• 从零信任的架构层面看：与NIST零信任架构相比，可能不会有大的变化。
• 从零信任的实施层面看：则会结合美军网络的现实情况，有更加具体的建设思路、落地指导、应用示例。

所以，让我们继续期待吧。