徐 莉，陳 倩

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

2021年5月13日，美國國防信息系統(tǒng)局在其官網(wǎng)上公開發(fā)布了《國防部零信任參考架構(gòu)（DoD ZT RA）》1.0版（以下簡稱架構(gòu)）。該參考體系結(jié)構(gòu)由國防信息系統(tǒng)局和國家安全局零信任聯(lián)合工程小組編寫，在2021年2月就發(fā)布了，但直到5月才將其公開。該架構(gòu)為國防部大規(guī)模采用零信任設(shè)定了戰(zhàn)略目的、原則、相關(guān)標(biāo)準(zhǔn)和其他技術(shù)細(xì)節(jié)，旨在增強美國國防部的網(wǎng)絡(luò)安全并保持美軍在數(shù)字戰(zhàn)場上的信息優(yōu)勢。

該架構(gòu)的形成經(jīng)過了較長時間的醞釀：2020年9月30日，初始零信任0.9版提交給國防信息系統(tǒng)局、國家安全局、國防部首席信息官和美國網(wǎng)絡(luò)司令部審查；同年11月4日，零信任0.9版提交給企業(yè)架構(gòu)工程小組進行反饋；同年12月4日，零信任聯(lián)合工程團隊收到反饋并開始裁決；同年12月24日，零信任0.95版被提交給企業(yè)架構(gòu)工程小組用于公函及任務(wù)管理系統(tǒng)（CATMS）；2021年1月4日，CATMS開始評估；2021年2月11日，數(shù)字現(xiàn)代化基礎(chǔ)設(shè)施執(zhí)行委員會批準(zhǔn)零信任1.0版。國防部始終秉持嚴(yán)謹(jǐn)、慎重的態(tài)度，在反復(fù)測試、調(diào)整零信任核心能力之后形成該架構(gòu)。

1 背景分析

美國國防部零信任參考架構(gòu)的出臺跟業(yè)界的技術(shù)與產(chǎn)品研發(fā)現(xiàn)狀、國防部自身的轉(zhuǎn)型需求以及聯(lián)邦政府的大力推動等背景密切相關(guān)。

1.1 零信任已成為業(yè)界的一種標(biāo)志性網(wǎng)絡(luò)安全解決方案

根據(jù)NIST的定義，零信任（ZT）提供了一系列概念和思想，旨在面向被視為遭受入侵網(wǎng)絡(luò)時，在信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確、最低特權(quán)的請求訪問決策，從而將不確定性降至最低。零信任是一種專注于資源保護的網(wǎng)絡(luò)安全范式，其前提是永遠不會授予絕對信任，而必須不斷對其進行評估。零信任架構(gòu)（ZTA）是企業(yè)的網(wǎng)絡(luò)安全計劃，它利用零信任概念，并包含組件關(guān)系、工作流程規(guī)劃和訪問策略[1]。零信任架構(gòu)是一種用于企業(yè)資源和數(shù)據(jù)安全的端到端方法，其中包括身份（個人和非個人實體）、憑證、訪問管理、運營、終端、托管環(huán)境和互聯(lián)基礎(chǔ)設(shè)施。

當(dāng)前，企業(yè)的基礎(chǔ)設(shè)施變得日益復(fù)雜，這種復(fù)雜性已經(jīng)超越了傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全方法，從而導(dǎo)致零信任網(wǎng)絡(luò)安全新模型的開發(fā)。商業(yè)機構(gòu)必須迅速采用“永不信任、始終驗證”的零信任心態(tài)，以減輕漏洞的傳播，限制訪問并防止橫向移動。零信任范式將防御從靜態(tài)的、基于網(wǎng)絡(luò)邊界轉(zhuǎn)向關(guān)注用戶、資產(chǎn)和資源。而零信任架構(gòu)使用零信任原則來規(guī)劃工業(yè)和企業(yè)基礎(chǔ)設(shè)施以及工作流程。以VPN接入為主的現(xiàn)有邊界安全產(chǎn)品在端口開放、多維認(rèn)證、細(xì)粒度權(quán)限、自身安全防護方面均存在不足，難以應(yīng)對安全挑戰(zhàn)。

據(jù)全球權(quán)威咨詢機構(gòu)Forrester在2021年5月最新發(fā)布的報告稱，企業(yè)為尋求更安全的解決方案，零信任網(wǎng)絡(luò)訪問已成為標(biāo)志性的安全技術(shù)，眾多安全廠商推出了相關(guān)的零信任解決方案和產(chǎn)品[2]。

1.2 零信任架構(gòu)是美國國防部網(wǎng)絡(luò)安全架構(gòu)的必然演進方向

在早期網(wǎng)絡(luò)終端和用戶數(shù)量有限的情況下，美國國防部專注于網(wǎng)絡(luò)“邊界”安全，采用終端保護、威脅檢測和響應(yīng)等措施保護廣泛網(wǎng)絡(luò)。但是隨著網(wǎng)絡(luò)的擴展和大量終端的加入，以及攻擊者繼續(xù)尋求新的方法來突破邊界安全，例如，通過社交工程攻擊操縱用戶以泄露其憑證，導(dǎo)致對具有復(fù)雜檢查規(guī)范的防火墻的需求數(shù)量增加，在導(dǎo)致成本增加的同時效果卻呈遞減態(tài)勢。隨著美軍用戶和終端的數(shù)量不斷增加，美軍網(wǎng)絡(luò)被攻擊面不斷增加，其網(wǎng)絡(luò)安全防御面臨極限挑戰(zhàn)。美國國防部迫切需要將現(xiàn)有基于“邊界”的網(wǎng)絡(luò)安全方式轉(zhuǎn)變?yōu)椤傲阈湃巍狈绞?，通過為網(wǎng)絡(luò)內(nèi)的特定應(yīng)用程序和服務(wù)創(chuàng)建離散且精細(xì)的訪問規(guī)則，從而顯著抵消國防部網(wǎng)絡(luò)中的漏洞和威脅。

近年來，美軍加速對“以網(wǎng)絡(luò)為中心”向“以數(shù)據(jù)為中心”的網(wǎng)絡(luò)安全模式的轉(zhuǎn)變，從網(wǎng)絡(luò)邊界防護轉(zhuǎn)變?yōu)閿?shù)據(jù)安全防護。2019年7月9日，美國國防部創(chuàng)新委員會（DIB）通過了《通往零信任安全之路》白皮書，敦促美軍方盡快實施零信任架構(gòu)（ZTA）。同年10月24日，美國國防部創(chuàng)新委員會又發(fā)布《零信任架構(gòu)建議》報告，建議國防部應(yīng)將零信任實施列為最高優(yōu)先事項。國防部創(chuàng)新委員會稱，國防部安全架構(gòu)的現(xiàn)狀是不可持續(xù)的，國防部應(yīng)將實施零信任列為最高優(yōu)先事項，同時明確分配實施和管理責(zé)任，在整個國防部內(nèi)迅速采取行動?？梢姡瑖绖?chuàng)新委員會認(rèn)為零信任架構(gòu)是美國國防部網(wǎng)絡(luò)安全架構(gòu)的必然演進方向。

1.3 零信任安全是美國國防部數(shù)字現(xiàn)代化戰(zhàn)略的具體目標(biāo)之一

美國國防部很早就關(guān)注了零信任（ZT），但直到2019年7月才開始對零信任方法進行實施，將其作為具體目標(biāo)納入《國防部數(shù)字現(xiàn)代化戰(zhàn)略》。戰(zhàn)略將“零信任安全”作為美軍未來有望提高效率和安全性的代表性架構(gòu)技術(shù)之一，明確列入其數(shù)字現(xiàn)代化戰(zhàn)略目標(biāo)中。戰(zhàn)略明確提出了與零信任相關(guān)的4大重點領(lǐng)域：云部署是實施零信任概念的絕佳選擇；安全自動化和協(xié)調(diào)是成功部署和管理零信任合規(guī)基礎(chǔ)設(shè)施的關(guān)鍵功能；加密現(xiàn)代化將確保數(shù)據(jù)保護水平符合國家安全系統(tǒng)委員會（CNSS）政策；分析能力需要擴展以處理與零信任安全相關(guān)的傳感器和日志記錄數(shù)據(jù)。

1.4 零信任網(wǎng)絡(luò)試點工作指導(dǎo)了美國國防部的實施路線方向

2020年，美國國防部進行了幾個零信任網(wǎng)絡(luò)試點項目，并從這些項目以及遠程工作相關(guān)數(shù)據(jù)中吸取了經(jīng)驗教訓(xùn)，從而確定了零信任網(wǎng)絡(luò)的前進道路。其中，國防信息系統(tǒng)局、國家安全局和網(wǎng)絡(luò)司令部聯(lián)合啟動了一項針對“零信任”技術(shù)的試點項目，并總結(jié)試點項目已取得的成果，探討如何將“零信任”技術(shù)融入美國國防部體系中。2021年2月25日，美國國家安全局發(fā)布《擁抱零信任安全模型》指南，建議將零信任架構(gòu)規(guī)劃成從初始準(zhǔn)備階段到基本、中級、高級階段這樣一個逐步成熟的過程，逐漸增強其可見性和自動化響應(yīng)，使防御者能夠跟上威脅的步伐，同時將零信任功能作為戰(zhàn)略計劃的一部分進行逐步整合，從而降低每一步的風(fēng)險。新架構(gòu)將在利用現(xiàn)有功能的同時，整合新的原則、分析、策略、設(shè)備和自動化方案。該架構(gòu)不會取代現(xiàn)有的系統(tǒng)、工具或技術(shù)，而是以更為全面的方式來集成、擴充和優(yōu)化現(xiàn)有功能，發(fā)展企業(yè)架構(gòu)。

1.5 新一屆聯(lián)邦政府大力推動各機構(gòu)實施零信任

以拜登為總統(tǒng)的美國新一屆政府在上臺不久即面臨了比以往任何時候都大的網(wǎng)絡(luò)安全挑戰(zhàn)：2020年12月的SolarWinds供應(yīng)鏈攻擊事件、2021年4月的微軟Exchange漏洞以及2021年5月的Colonial Pipeline輸油管道事件等，這些網(wǎng)絡(luò)安全事件的發(fā)生使美國政府意識到來自網(wǎng)絡(luò)的復(fù)雜惡意活動，也暴露出聯(lián)邦政府機構(gòu)在保護、響應(yīng)以及防御安全入侵的能力上仍然存在薄弱環(huán)節(jié)，其中，公私部門更容易受到相關(guān)事件的影響。為此，在2021年5月12日拜登發(fā)布行政命令以加強國家網(wǎng)絡(luò)安全，明確指示聯(lián)邦政府各機構(gòu)實施零信任方法，實現(xiàn)聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化。要求在命令簽署之后的60天內(nèi)，相關(guān)機構(gòu)要制定實施零信任架構(gòu)的計劃，該計劃應(yīng)酌情考慮國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）在標(biāo)準(zhǔn)和指南中概述的遷移步驟，并說明已完成的任何步驟，確定會對網(wǎng)絡(luò)安全產(chǎn)生最直接影響的那些活動，并包括實施這些活動的時間表[2]。

2 主要內(nèi)容

《國防部零信任參考架構(gòu)》公開的非密版文件一共163頁，內(nèi)容相當(dāng)豐富，概括起來主要有以下內(nèi)容。

2.1 明確戰(zhàn)略目的

該參考架構(gòu)首先明確指出國防部下一代網(wǎng)絡(luò)安全架構(gòu)將以數(shù)據(jù)為中心，并基于零信任原則。該架構(gòu)側(cè)重于以數(shù)據(jù)為中心的設(shè)計，同時保持跨業(yè)務(wù)的松散耦合，以最大限度地提高互操作性。它特別強調(diào)零信任是一種網(wǎng)絡(luò)安全戰(zhàn)略和框架，將安全嵌入整個架構(gòu)，以防止惡意角色訪問美國國防部最重要的資產(chǎn)。同時指出零信任模型的基本原則是在安全邊界之外或之內(nèi)運行的任何參與者、系統(tǒng)、網(wǎng)絡(luò)或服務(wù)都不可信。國防部采用零信任希望實現(xiàn)的長遠目標(biāo)包括：（1）使信息企業(yè)現(xiàn)代化，以解決機構(gòu)之間的孤島與隔閡問題；（2）簡化安全體系架構(gòu)；（3）制定統(tǒng)一策略；（4）優(yōu)化數(shù)據(jù)管理操作；（5）提供動態(tài)認(rèn)證和授權(quán)。

2.2 提出5大原則、7大支柱

架構(gòu)提出了零信任的5個主要原則，分別是：（1）假設(shè)環(huán)境敵對；（2）假設(shè)失陷；（3）永不信任，始終驗證；（4）顯式驗證；（5）應(yīng)用統(tǒng)一分析。同時，它開發(fā)了支柱和能力模型，支柱是指實施零信任控制的關(guān)鍵重點領(lǐng)域；能力是指通過組合方式和方法來執(zhí)行一系列活動，從而在特定標(biāo)準(zhǔn)和條件下實現(xiàn)預(yù)期效果的能力。該架構(gòu)的7大支柱包括：（1）用戶；（2）設(shè)備；（3）網(wǎng)絡(luò)/環(huán)境；（4）應(yīng)用程序和工作負(fù)載；（5）數(shù)據(jù)；（6）可見性和分析；（7）自動化和流程編排。在每個支柱下面都有對應(yīng)的能力，這種分層方法允許靈活實施零信任控制。該支柱和功能實現(xiàn)了數(shù)據(jù)的最大可見性和保護，是零信任實施的重點。

2.3 列出適用的標(biāo)準(zhǔn)

該架構(gòu)用較大的篇幅詳細(xì)列出了適用于每個零信任支柱解決方案的標(biāo)準(zhǔn)。列出包括技術(shù)標(biāo)準(zhǔn)（TECH），相關(guān)法律、法規(guī)或政策（LRP）以及戰(zhàn)術(shù)、技術(shù)和程序（TTP）共計63個標(biāo)準(zhǔn)規(guī)范清單，其中技術(shù)標(biāo)準(zhǔn)占據(jù)絕大多數(shù)。不僅如此，架構(gòu)還詳細(xì)說明了與7大零信任支柱功能相對應(yīng)的具體技術(shù)相關(guān)標(biāo)準(zhǔn)、操作標(biāo)準(zhǔn)或業(yè)務(wù)標(biāo)準(zhǔn)和慣例的應(yīng)用現(xiàn)狀，并注明了標(biāo)準(zhǔn)是屬于“新興”“強制”“退役”還是“積極”狀態(tài)。

2.4 開發(fā)能力視圖和操作活動模型

該架構(gòu)最大的看點和貢獻就是在第4部分內(nèi)容，它開發(fā)了相關(guān)能力的視圖結(jié)構(gòu)，描述了各種規(guī)劃的能力之間的依賴關(guān)系，同時還從邏輯上對各項能力進行了分類。架構(gòu)描述了各項能力與支持這些能力的操作活動之間的映射關(guān)系、各項功能與支持這些功能的業(yè)務(wù)之間的映射關(guān)系，從而確保業(yè)務(wù)與所需功能相匹配；描述了操作資源流。它開發(fā)的操作活動模型描述了在實現(xiàn)任務(wù)或目標(biāo)的過程中進行的通用操作，并詳細(xì)描述了簡化認(rèn)證請求、設(shè)備合規(guī)性、用戶分析、數(shù)據(jù)權(quán)限管理（DRM）、宏觀分段、微觀分段、特權(quán)訪問、應(yīng)用程序交付等內(nèi)容。

3 特點分析

美國國防部出臺的《國防部零信任參考架構(gòu)》在權(quán)威性、繼承性和可操作性方面都具有鮮明特點。

3.1 該架構(gòu)在美國國防部零信任架構(gòu)的實施上具有相當(dāng)?shù)臋?quán)威性

該架構(gòu)由美軍權(quán)威部門牽頭制定，內(nèi)容涵蓋戰(zhàn)略目的、原則、相關(guān)技術(shù)標(biāo)準(zhǔn)、法律、法規(guī)或政策、戰(zhàn)術(shù)、技術(shù)和程序、各項能力、業(yè)務(wù)、操作活動以及它們之間的各種映射關(guān)系，并對該參考體系結(jié)構(gòu)中使用的與解決方案體系結(jié)構(gòu)相關(guān)的縮略語、術(shù)語和架構(gòu)元素提供了統(tǒng)一的定義，包括各項實施策略、國防部相關(guān)業(yè)務(wù)、7大支柱及對應(yīng)能力等。其嚴(yán)格遵循《國防部網(wǎng)絡(luò)戰(zhàn)略》《國防部數(shù)字現(xiàn)代化戰(zhàn)略》《國防部數(shù)據(jù)戰(zhàn)略》以及《國防部人工智能戰(zhàn)略》的愿景，與NIST SP 800-207《零信任架構(gòu)》《國防部信息企業(yè)架構(gòu)（IEA）》《網(wǎng)絡(luò)安全參考架構(gòu)（CSRA）》以及《身份、證書和訪問管理參考設(shè)計（ICAM RD）》等保持一致性，可指導(dǎo)和約束多種架構(gòu)和解決方案的實例化。該架構(gòu)內(nèi)容全面清晰，并且將隨著需求、技術(shù)和最佳實踐的發(fā)展和成熟而發(fā)展，將不斷融入行業(yè)最佳實踐、工具和方法。

3.2 該架構(gòu)是對其他相關(guān)架構(gòu)體系的一種繼承和發(fā)展

該架構(gòu)與其他相關(guān)架構(gòu)體系既密切相關(guān)又各有側(cè)重。這些架構(gòu)體系主要包括國防部發(fā)布的《網(wǎng)絡(luò)安全參考體系架構(gòu)（CSRA）》和《身份、證書和訪問管理參考設(shè)計（ICAM RD》），以及NIST發(fā)布的特別出版物800-207《零信任架構(gòu)》。

CSRA描述了成功運行和防御國防部信息網(wǎng)絡(luò)（DoDIN）所需的能力、服務(wù)、活動、原則、功能和技術(shù)基礎(chǔ)設(shè)施，并為其實現(xiàn)提供了一個架構(gòu)參考框架，但是目前沒有包含零信任。因此，該架構(gòu)將作為《國防部CSRA零信任補遺》的權(quán)威參考，它主要圍繞身份、自動化和數(shù)據(jù)安全等方面闡述關(guān)鍵安全事項，而CSRA將闡述更高級的安全和工程概念。

國防部發(fā)布的《身份、證書和訪問管理參考設(shè)計（ICAM RD）》是從能力角度提供ICAM的高級描述，其中包括根據(jù)《國防部數(shù)字現(xiàn)代化戰(zhàn)略》的ICAM轉(zhuǎn)型目標(biāo)，但它沒有強制特定的技術(shù)、流程或程序。而《國防部零信任參考架構(gòu)》利用來自ICAM RD的概念和詞匯，提供了一種統(tǒng)一的方法來實施零信任架構(gòu)。該架構(gòu)沒有包括對ICAM使用案例的詳盡參考，但它認(rèn)可其中關(guān)于零信任的關(guān)鍵概念。ICAM RD參考資料包含在整個架構(gòu)中，但是更深入的ICAM特定用例僅在ICAM RD可用。

NIST特別出版物800-207《零信任架構(gòu)》包含零信任架構(gòu)的抽象定義，并提供了零信任可以改善企業(yè)整體信息技術(shù)安全狀況的一般部署模型和使用案例。該架構(gòu)利用了NIST標(biāo)準(zhǔn)中的概念和詞匯，提供了一種統(tǒng)一的方法來實施零信任架構(gòu)。NIST SP 800-207的參考資料包含在整個該架構(gòu)中。

3.3 該架構(gòu)為國防部各機構(gòu)的零信任解決方案提供了高度的可操作性

該架構(gòu)不僅為整個國防部的任務(wù)所有者提供了一個最終愿景和框架，它還希望向國防部信息網(wǎng)絡(luò)（DoDIN）上的所有機構(gòu)推出一套可使用的企業(yè)零信任功能，每個功能都由可測量、可重復(fù)、可支持和可擴展的標(biāo)準(zhǔn)、設(shè)備和流程組成，并在DoDIN上進行聯(lián)合。該架構(gòu)既開發(fā)了愿景和高層目標(biāo)，又開發(fā)了能力分類法以及頂層可操作概念等，其要求企業(yè)根據(jù)用戶的風(fēng)險利用微細(xì)分來確定是否授予用戶、機器或應(yīng)用程序訪問企業(yè)的一部分權(quán)限，要求利用多因素身份驗證、ICAM、編排、分析、評分和文件系統(tǒng)權(quán)限等技術(shù)來實現(xiàn)零信任；該架構(gòu)還展示了國防部零信任架構(gòu)的整體運行流程，將國防部零信任實現(xiàn)劃分了基線、中級、高級3個階段。該架構(gòu)對于零信任的工程化落地實現(xiàn)具有現(xiàn)實指導(dǎo)意義。

4 幾點認(rèn)識

國防部初始零信任架構(gòu)的落地，代表著美國國防部網(wǎng)絡(luò)架構(gòu)的全面轉(zhuǎn)變。有以下幾點認(rèn)識。

4.1 美軍方和政府對零信任架構(gòu)的推行已達成全面共識

這份國防部初始零信任架構(gòu)以及國家安全局于2021年2月發(fā)布的《擁抱零信任安全模型》，再結(jié)合2021年5月12日拜登發(fā)布的加強國家網(wǎng)絡(luò)安全行政命令可以看出，美國軍方和政府在推行零信任架構(gòu)這一點上已達成多方共識，美軍正在按計劃有條不紊地實現(xiàn)2021年全面推行零信任架構(gòu)這一國防部的重要目標(biāo)。未來還需要密切關(guān)注美軍網(wǎng)絡(luò)在實施零信任架構(gòu)上的具體措施、典型應(yīng)用等問題。

4.2 美軍推動零信任的一大前提是持續(xù)并強制使用通信加密

從該架構(gòu)內(nèi)容可以看到，美國國防部推動零信任的一大前提是最大限度地持續(xù)并強制使用通信加密，從而最大程度地保護機密性和完整性，并提供源認(rèn)證。這是國防部零信任投資的規(guī)劃、風(fēng)險評估和論證的核心前提之一。

4.3 美軍將探索涉密網(wǎng)和非密網(wǎng)統(tǒng)一的零信任架構(gòu)

盡管在這份初始零信任架構(gòu)上沒有涉及這個問題，但是在國家安全局指南中以及之前國防創(chuàng)新委員會的建議中，都可以看出美軍對零信任架構(gòu)安全性和先進性極其認(rèn)可，未來將探索涉密網(wǎng)（SIPRNet）和非密網(wǎng)（NIPRNet）統(tǒng)一零信任架構(gòu)，依靠零信任原則來保護訪問，并將用戶許可級別作為訪問的核心屬性。未來美軍如何基于零信任實現(xiàn)兩網(wǎng)融合，值得密切跟蹤。

4.4 美軍零信任架構(gòu)的實施仍面臨眾多技術(shù)層面的挑戰(zhàn)

當(dāng)然，這份國防部初始零信任架構(gòu)還有眾多實施層面的潛在技術(shù)挑戰(zhàn)沒有具體涉及。比如，在新的零信任環(huán)境下，如何重新搭建一個高性能、可橫向擴展的權(quán)限引擎，處理更復(fù)雜、更細(xì)粒度的訪問策略，包括國防部統(tǒng)一的身份管理目錄、密鑰管理系統(tǒng)（KMS）（或公鑰基礎(chǔ)設(shè)施PKI）、風(fēng)險評估、安全信息及事件管理（SIEM）與日志審計等環(huán)節(jié)都必須利用更成熟的技術(shù)、更先進的科技、更安全的算法，突破舊的安全瓶頸，才能將國防部網(wǎng)絡(luò)的安全水平提升到全新的級別。為了應(yīng)對實施零信任解決方案的潛在挑戰(zhàn)，美軍未來還將發(fā)布額外的指南，值得進一步關(guān)注。

5 結(jié) 語

目前，美國國防部已將“零信任”視作提升美國軍事網(wǎng)絡(luò)整體安全性，以及推進“聯(lián)合全域指揮與控制”（JADC2）概念發(fā)展的關(guān)鍵技術(shù)實現(xiàn)手段。在過去2年里，美國國防部推出了幾個測試零信任概念的試點項目，這份國防部初始零信任架構(gòu)指南的出臺必將加速推進美軍向零信任網(wǎng)絡(luò)安全轉(zhuǎn)型。