零信任与美国网络安全行政令
2021年5月12日,美国总统拜登签署了推进美国网络安全的行政令。行政令概述了美国联邦政府加强美国网络安全的计划,并将零信任作为这一过程的主要支柱。
网络安全行政令
这份行政令可视为对近期几起重大网络安全事件(SolarWinds、Kaseya、Colonial Pipeline等)的回应,也可当作美国接受了联邦各部门和机构无法妥善保护自身系统安全的现实。2021年8月,题为《联邦网络安全:美国的数据仍面临风险》的参议院报告评论道:“该报告发现,八家接受调研的联邦机构中有七家仍未达到基本的网络安全标准,不足以保护美国的敏感数据。”
政府的结论很简单:“渐进式改善给不了给我们所需的安全;相反,联邦政府需要做出大胆改变并加大投资,从而保护支撑美国生活方式的重要机构。”
行政令分八个章节概述了这些“大胆改变”:改进威胁信息共享;现代化网络安全(加速云迁移并引入零信任架构);加强供应链安全;建立网络安全审查委员会;标准化对漏洞和事件的响应;改进漏洞检测和事件检测;提升调查和修复能力;豁免国家安全系统。
行政令仅针对联邦各部门和机构,但其价值和意图远不止于此。
行政令的目的
私营部门各位首席信息安全官之间流传的看法是,“没要求的事儿就不会发生。”要求来自立法,但法律要数年时间才能颁布执行。网络安全可等不起。行政令部分短路了这一过程:虽然范围仅限于联邦部门和机构,但行政令对网络安全作出了即时要求。不过,希望广大私营部门也能采纳行政令中的建议。
为更好地理解这份行政令的目的,尤其是与零信任的关系,网络安全媒体采访了退役海军少将Mike Brown(现任Spinnaker Security总裁,前国土安全部网络安全协调主管,曾参与多份行政令拟制)和SecZetta创始人兼首席执行官David Pignolet。
Pignolet称:“行政令可以激发意识。而意识能够驱动资源。如果已经重要到政府要如此关注,那可能私营部门也得照做。所以,董事会现在开始主抓企业内部的网络安全策略,因为与政府保持一致是联邦的强制要求。”
但是,一份行政令显然无法详细描述规定性网络安全要求。所以,行政令也没想着这么做。相反,行政令列出了如何达到既定结果的计划。行政令就是关于计划的计划,具体到这份行政令上,那就是网络安全改善计划的计划。该行政令针对联邦部门和机构,但也指向私营部门;尤其是那些可能不具备开发实现自身计划所需资源的小企业。
零信任计划的计划
美国国防部、国家安全局和国土安全部的网络安全专家,也就是指导政府意见的那些人,已经明确了向云迁移和实现零信任架构是改善美国网络安全态势最直接、最实用的两种方法。
Pignolet称:“作为实践者,我们仍在试图定义零信任。不同人眼中的零信任具有不同的形态。”这就是给计划制定计划的部分目的:“在未来12到18个月里,我们将看到零信任真正定义的演进,以及构成零信任架构的各个部分。”
Brown用保卫房子的比喻来解释这一基本前提。“拿保卫房子来类比网络安全,我们常见的策略是不仅仅要锁上大门,还要锁上后门和全部窗户。”这是经典的外围防御。
“但是,我们发现这没什么效果。而零信任概念应用到房子上意味着每道门和每扇窗,包括房子内部的门窗,都需要单独的钥匙(密钥)和授权。屋子里的每个房间、每个橱柜、每个抽屉,都需要不同的授权和身份验证重点。”
在适用于获取访问权的“信任但验证”场景中,不再是一套钥匙通万物,而是万物都必须有各自的一套钥匙。“但当今世界中的很多东西都无法仅靠人来实现有效管控。我们的环境中存在非人元素,这正是该行政令试图解决的部分问题:零信任策略中的运营技术。”
万事万物的钥匙和锁仅仅是问题的一部分,谁在什么时候拿着哪把钥匙也是个问题。正确的人必须在正确的时间持有相应资产的正确钥匙,其中囊括了全职员工、承包商和供应商。供应商访问权限对于缓解供应链攻击尤为重要。这将需要正式的身份授权。
保护凭证及其使用也必须涵盖在内。这份计划的计划中写道:“本行政令颁布之日起180天内,机构应对静态数据和传输中数据实施多因素身份验证和加密。”
简要总结一下,我们可以看到,零信任架构需要对资产进行识别和微分隔;所有授权用户遵循最小权限原则识别、验证和颁发所需密钥(同样的原则适用于设备到设备访问和供应商访问);密钥需安全创建和存储;要使用由多因素身份验证控制的密钥。
这份行政令是开发集成参考架构的计划,想要成功开发和实现零信任网络安全方法,美国联邦各部门和机构必须采用此架构,资源不足的私营公司也应该采用此架构。Pignolet称:“关于如何运营零信任的参考架构将由联邦政府定义。这是私营行业可以使用的资源。私营部门公司不必都去按照自己对零信任的理解来构建自己的参考架构,联邦政府会提供这个资源,里面至少用政府的语言定义了零信任,私营公司可以用来构建他们自己的基础架构。”
