• 《(美)国防部零信任参考架构》严格遵循了零信任的“永不信任,始终验证”理念。
  • 参考结构采用DoDAF(类似ToGAF)美军队体系结构描述方法;DoDAF以“数据为中心”设计开发,提供体系架构描述方法,主要目的是提供决策数据。
  • 参考架构划分了低、中、高三个实施阶段。在设计零信任体系结构之前,必须实现符合现有IT安全策略和标准的基线保护级别。

奇安信身份安全实验室基于美军队体系结构描述方法DoDAF,对美国防部零信任参考架构进行了解读,展示了架构的高层视角,能力视角和作战视角。

1. 概述  

美国国防信息系统局(DISA)在2021年2月发布了《(美)国防部零信任参考结构》的1.0版,于2021年5月13日在线上公开全文。1.5版的预计发布时间在2022年。

该报告开篇即明确: 美国防部(DoD)下一代的网络安全架构将基于零信任原则,以数据为中心进行建设。其认为实施零信任是保护基础设施、网络和数据的一次巨大的安全范式转变。即:从信任的网络、设备、人员、进程的观念转变为基于多属性分析、多检查点判定的信任级别授权,具备在最少特权访问理念下身份验证和授权策略访问能力。

美国防部2022 年拟议预算显示,政府将大力推动零信任安全,资金将向更具防御性的网络安全措施倾斜,特别提到在实施零信任架构的新项目中拟投入6.15亿美元。

同样是在2021年5月,拜登政府发布加强国家网络安全的行政命令,明确指示联邦政府各机构实施零信任方法。在过去两年中,美国政府接连投入技术资源、人力、以及巨额资金,零信任在其网络安全战略中的地位,不言自明。

《(美)国防部零信任参考架构》共分五章以及附录。该参考架构首先介绍其目的、背景、方法等内容。其次,讨论零信任的核心概念及原则,并提供了零信任支柱的一些细节信息。参考架构所使用的标准由标准配置表(StdV-1)一一列出,标准预测表(StdV-2)描述标准的使用等级。紧接着,参考架构通过多级别DoDAF视角切入,介绍并讨论了美国防部网络环境下零信任架构的能力以及应用场景等。

值得注意的是,该参考体系架构采用了DoDAF(类似ToGAF)美军队体系结构描述方法。零信任的原则虽然看似简单,但实际实现和操作层面却很复杂繁琐,涉及了SDN、数据打标、行为分析、访问控制、策略编排、加密、自动化、ICAM等多个领域。为准确描述架构中这些巧妙集成的领域,该报告故而采用了与国防部信息企业架构(IEA)一致的架构描述方法,即DoDAF。

在此需要注明的是,该报告中有几张示意图出现了空白,文中涉及的一些视角和信息在图中并未显示完整,有可能是因为生成或上传PDF文件时出现了一点问题。当然也不排除是有意设置了一些信息屏蔽与脱敏,个中缘由我们暂时无法知晓了。但为保持与原稿一致,在本文中还是遵从原文件进行展示。

全文按照美军队体系结构描述方法的角度切入对零信任架构的理解,可以更好的理解零信任架构的预期目标、架构中各能力组成及关系,以及数据流转、应用场景的活动。

2. 什么是DoDAF?

国防部体系结构框架 (DoDAF1) 由美国防部开发,经历不断版本改进,现在DoDAF V2.0版应用比较广泛(2009年5月推出)。

DoDAF以“数据为中心”设计开发,主要目的是提供决策数据。强调组成产品的体系结构数据元素,而不只是体系结构产品。在这一点上与零信任架构的以数据为中心原则,也是符合的。

DoDAF提供的是一种体系架构描述方法,而不是体系架构设计方法。DoDAF确保架构描述可比较、评估,为复杂系统的理解、比较、集成和互操作提供共同的架构基础,它可用于涵盖美国防部 (DoD) 作战领域和业务领域所有项目的顶层设计,甚至可以用于创建跨越国界和组织的IT系统架构。

DoDAF中的体系架构框架主要分为视角(Viewpoints)及对应模型(Models)。视角(Viewpoints)描述了如何通过适当的架构或模板构造和使用该组内的视角,表达和分析的建模技术信息以及这些选择的依据;模型(Models)指用于收集数据的模板。

DoDAF V2.0中包含了8类视角,分别是全景视角、能力视角、数据和信息视角、作战视角、项目视角、服务视角、标准视角与系统视角,其结构如下图所示。 

《(美)国防部零信任参考架构》中提及的有:全景视角(AV),作战视角(OV),能力视角(CV),标准视角(StdV)。报告中明确了美国防部零信任参考架构由哪些视角组成,及这些视角功能和每个视角内或跨视角的关联性。

该报告未包含的视角有:

  • 项目视角(PV):如何有序组织相关联的采购项目等;
  • 服务视角(SvcV):为作战能力提供支撑的系统、服务策略;
  • 数据和信息视角(DIV):描述体系结构中与信息交换相关的内容,诸如属性、特征和相互关系等;
  • 系统视角(SV):支撑作战能力的系统、系统之间交互关系以及系统功能等。

3.基于DoDAF解读零信任参考架构

3.1 全景视角All Viewpoint(AV) 

全景视角AV是与所有视角相关的体系结构描述的顶层概貌,提供有关体系结构描述的总体信息,比如,体系结构描述的范围和背景。

在《零信任参考架构》中,AV-1概述和摘要信息虽没有显性表述,但是1.1概述以及1.2目标章节归纳总结了DoD实施零信任体系架构的范围和背景。《零信任参考架构》的第5章则是AV-2综合词典。

3.1.1 概述和摘要信息AV-1

《(美)国防部零信任参考架构》严格遵循了零信任的“永不信任,始终验证”理念。

DoD实施零信任的意义,是为实现保护基础设施、网络以及数据的安全范式巨大转变:从传统边界防护的一次验证,转变为对每个用户、设备、应用程序和事务的持续验证。

零信任架构的背景延续了2018年网络战略(2018 DoD Cyber Strategy)以及2019年数字现代化战略(2019 DoD Digital Modernization Strategy)的相关内容。该体系架构由DoD零信任工程团队开发,通过应用“零信任”对国防部现有网络安全能力和资源进行整合,重新排列优先级,并保持可用性;最小化身份验证时间的延迟度,从而达成国防部首席信息官“更安全、协调、无缝、透明、高效信息的架构”的愿景。

该参考架构与国防部其他领域的参考体系架构在目的和定义上保持一致,即参考体系结构是关于特定主题领域的权威信息来源,该领域指导和约束多个体系结构和解决方案的实例化。通俗的理解:设计定义清楚,便于指导工程化落地实施。

为了指导落地且便于作为实施参考,该参考体系结构中所提及的术语和内容与国防部信息企业架构(IEA)一致。构建中所需要使用的单个产品的标准、功能都一一说明,这样可以保持跨服务、松散耦合,以最大限度地提高互操作性;同时,也能够更灵活地选择不同供应商的套件,不求最好、力求成功地推进信息网络的建设,最终达成零信任能力的集成。

3.1.2 综合词典AV-2

以表格的形式定义“参考架构”中的总体术语、CV-6中使用的活动、CV-7中使用的服务以及文档中使用的首字母缩写列表。零信任中常见的术语名称,如“属性”、“ABAC”、“微边界”、“微分段”等均有涉及。在架构的第5章,可作为查阅参考。

3.2 能力视角 Capability Viewpoint(CV)

能力视角CV是集中反映与整体构想相关的、在特定标准和条件下进行行动或达成期望效果的能力,为体系结构描述中阐述的能力提供了战略背景和相应的高层范围,方便决策者理解。

文中能力视角主要体现在:

  • 1.4.1节 CV-1 构想;
  • 1.4.3节 CV-2能力分类;
  • 4.1节 能力依赖CV-4;
  • 4.2节 能力与作战活动的映射 CV-6;
  • 4.3节 能力与服务的映射CV-7;

该版本移除了CV-3能力时段,且不包含CV-5能力与组织部署的映射。

3.2.1 构想CV-1

CV-1是描述在一定时期内所具备零信任能力的战略构想。确定了零信任架构的关键目标和输出物。CV1与CV-2能力分类一起使用,为描述零信任未来愿景提供能力基础。最终实现的高层目标:

1)实现现代化信息企业架构。解决在逻辑上、技术上、和组织结构上存在 的问题,实现并建立一个全面、动态和接近实时的通用操作视图;

2)简化安全架构。解决内部和横向威胁,提升响应速度和用户体验度;

3)生成内外网一致的访问策略。

4)优化数据管理。提升数据质量,特别是结构化数据和标签数据的管理。

5)提供动态认证和授权。增加动态、上下文感知、来自不同源的身份认证机制(包括人与非人)。

关于认证授权可以参阅国防部身份认证、访问管理(Defense Enterprise Identity, Credential, and Access Management,ICAM)的设计。

ICAM提及了以下几点:

1)基于风险的决策;

2)基于多属性的信任级别;

3)最小特权访问;

4)将持续的多因素认证、微分割、加密、端点安全、分析和鲁棒审计,融入到DAAS的7大零信任支柱中实现,以提供网络弹性;

5)提高终端用户在基础架构、应用和数据使用中的可见性、控制和风险分析能力。

3.2.2 能力分类CV-2

能力分类(CV-2)是一个功能层次结构,它指定在整个体系结构描述中引用的所有功能。为解决方案体系结构提供参考功能。CV-2的功能围绕着零信任7大支柱展开,即:用户、设备、网络/环境、应用程序/工作负载、数据、可见性与分析以及自动化与编排。在附录A给出了CV-2中各能力的定义,但是具体的功能详细描述信息在附录D中,但由于该文档并不包含附录D,故无法查阅详情。

能力分类(CV-2)

其中,蓝色方框表示每个功能节点,包括功能名称和表示该功能在层次结构中的位置编号。Z1至Z7是根节点能力(即七大支柱)。CV-2还描述了零信任能力与国防部Information Enterprise Architecture,IEA能力(T1到T8,绿色的节点)之间的高层连接。

  • 用户功能:含认证、授权、特权账号管理(PAM);
  • 设备功能:含设备认证、设备授权、合规性要求;
  • 网络/环境功能:SDN,宏分段(Macro Segmentation网络分段);
  • 应用/工作负载功能:软件定义计算(SDC),DevSecOps(DSO2),软件供应链,应用交付,微分段(Micro Segmentation 应用分段);
  • 数据功能:软件定义存储(SDS),数据打标,数据防泄漏(DLP),数据版权管理(DRM);
  • 可视化与分析功能:发现与基线建立3,安全与信息事件管理(SEIM),机器学习;
  • 自动化和编排能力:API标准,风险响应,安全编排与自动化响应(SOAR),人工智能。

参阅附录D查找数据打标,机器学习和人工智能等方面内容,对于理解美国防部的功能具有很高的参考价值。

3.2.3 能力依赖CV-4

CV-4描述了在体系架构中,所有应具备的计划能力之间的依赖关系,并且定义了功能的逻辑分组。即,能力是如何进行合乎逻辑的划分,且分析了功能间的依赖关系,指导能力管理。如下图所示:

图中每个蓝色方框框是CV-2中定义的能力,红色连线说明需求关系。如:“用户认证能力”是需要“身份基础服务能力”来提供支撑。绿色连线是说明支撑关系,如:“特权访问管理能力”支持“微分段能力”,“微分段能力”支持“数据防泄漏DLP能力”,紫色的连线是管理关系。如:“SOAR”是对整个左侧虚线框中的能力进行管理(以下发策略来实施管理)。

3.2.4 能力与作战活动的映射CV-6

CV-6描述了所需功能和启用功能所需的作战活动两者之间的映射。即,如何使用在CV视角中定义的各种能力要素来执行作战视角OV中所描述的作战活动(应用场景)。活动映射的能力可以包含活动能完全满足所需能力的情况以及活动仅部分满足能力需求的情况。

参考架构文档是通过表格的方式来显示零信任支柱中的能力(第1列“功能”),功能定义(第2列“定义”)以及主要功能相关的活动,三者间的关系。如下图所示:

作战活动的能力模型示例

软件供应链能力,是能够验证用于构建应用程序的二进制代码、库或源代码的安全性的能力。涉及到A2.8,A2.8.1,A2.8.2等内容,可以在AV-2词典(第5章)查找对应的CV-6活动名词解释。如下图: