夏冰冰：零信任與密碼-從美國聯邦政府看零信任落地實踐要點（18頁）.pdf

《夏冰冰：零信任與密碼-從美國聯邦政府看零信任落地實踐要點（18頁）.pdf》由會員分享，可在線閱讀，更多相關《夏冰冰：零信任與密碼-從美國聯邦政府看零信任落地實踐要點（18頁）.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、 信任是網絡秩序的基石，是數字交互的基礎和前提，是數字經濟的潤滑劑數據的可信數據的可信可信數據電文、可信的日志、可信的代碼/算法身份的可信可靠的身份信息源、可信的標識、可信的數字身份憑證.行為的可信行為的可信訪問行為的事前授權和事后審計、個人意愿的充分表達、產品/服務的合法合規.隨著數字經濟的發展，信息系統的復雜度日益提升，網絡信任呈現出明顯 的復雜化、動態化特征云計算的廣泛應用導致用 戶、企業數據離開原有的 物理安全邊界移動訪問方式的增長導致 接入系統的外部人員和外 部設備增多基于大數據應用的新型業 務模式導致跨信任域的業 務交互增多網絡信任的復雜化信任的評估依賴于多種 因素，評估的結果往往

2、 不是絕對化的是或否網絡信任的動態化信任評估的結論會隨著 影響因素的變化而變化，是有時效性的零信任安全是以建立和管理網絡信任為基礎，多種安全保障措施協同構建 網絡安全保障體系的理念或思路網絡信任的復雜化信任的評估依賴于多種 因素，評估的結果往往 不是絕對化的是或否網絡信任的動態化信任評估的結論會隨著 影響因素的變化而變化，是有時效性的綜合多種要素確定信任水平綜合多種要素（身份、設備、網絡、應 用、數據、）進行信任評估，避免 單純依賴那些不可靠的默認要素（如IP 地址），持續性地實施管理信任對每次訪問行為進行持續的信任評估，并根據信任的動態變化隨時調整安全策 略，避免僅通過一次鑒別、一次授權就

3、給予永久性、無限制的訪問權限美國聯邦政府是目前針對零信任戰略發聲的“最重量級的用戶”之一對其戰略的分析有助于我們從用戶視角更好地理解零信任落地實踐的要點 美國管理和預算辦公室OMB發布的M-22-09號備忘錄美國聯邦政府認為，實現零信任安全的關鍵能力體現為“五大支柱”，即：身份、設備、網絡環境、應用與工作負載、數據2020年8月，美國國家標準與技術研究院（NIST）發布SP800-207零信任架構2021年2月，美國國家安全局（NSA）發文擁抱零信任安全模 型2021年2月，美國國防部（DOD）發布零信任參考架構2021年5月，美國總統拜登發布了14028號行政令改善國家網絡安全2021年6月

4、，網絡安全與基礎設施安全局（CISA）為響應14028號行政令的要求發布了零信任成熟度模型（征求意見稿）2021年9月，同樣是為了響應14028號行政令的要求，行政管理 和預算局（OMB）發布了題為美國政府向零信任網絡安全原 則的遷移的征求意見稿2022年1月，行政管理和預算局（OMB）發布美國政府向零信 任網絡安全原則的遷移正式版本目標：政府雇員應使用聯邦政府管理的身份訪問政務應用，需要能夠抵 御釣魚攻擊的多因素鑒別機制保護這些身份免遭針對性的線上攻擊行動：1.各政府機構應為自己的雇員建立中心化的身份管理系統，該系統支持 與應用或通用平臺集成2.各政府機構應使用高安全強度的多因素鑒別機制（M

5、FA）3.當授權用戶訪問資源時，除了用戶身份信息外，各政府機構應至少額 外考慮一項設備層面的信任信號OMB備忘錄引用NIST SP 800-63B 數字身份指南鑒別和生命周期管 理標準的內容：基于短信驗證、OTP等技術的雙因素機制都不防釣魚我國GB/T 22239-2019 網絡安全等級保護基本要求對三級及以上系統的 要求：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術 對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現密碼技術對于 建立身份信任 的關鍵作用目標：聯邦政府建立一套完整的設備信息庫，包含所有受控的、許可使 用的設備，并能夠阻止、發現和響應這些設備遭遇的安

6、全事件行動：1.各政府機構應建立自己的資產清單庫（借助CISA的持續性診斷和改 進項目CDM）2.各政府機構應確保自己的端點檢測與響應工具（EDR）滿足CISA的技術要求并廣泛部署使用資產清單庫用哪種“標識”來標記、識別設備？序列號、MAC地址還是設備證書？端點檢測與響應工具的重要功能：設備軟硬件配置的可信程度密碼技術對于 建立設備信任 的關鍵作用目標：各機構應加密保護所有DNS請求和所有HTTP流量，并開始執行將 傳統網絡邊界重構為網絡安全隔離的計劃行動：1.在技術條件允許的情況下，各政府機構應使用支持加密功能的DNS系 統解析DNS請求2.各政府機構應確保所有（包含內網）Web訪問和API

7、接口流量采用HTTPS3.CISA將聯合聯邦風險與授權管理計劃FedRAMP評估解決郵件傳輸加 密問題的選項4.各政府機構應在CISA的協助下編制零信任架構規劃，描述怎樣實現網絡環境隔離，并提交給OMB作為零信任實施方案的一部分基于密碼協議（TLC、IPsec、我國的TLCP/國密SSL、國密IPsec）不 僅保護網絡流量的機密性、完整性，同時也提供通信實體的身份鑒別密 碼 技 術 對 于 建 立 網 絡 信 任 的關鍵作用目標：各政府機構應將自己的應用視為互聯網能夠訪問到的，定期對這 些應用進行細致的實戰測試，充分接納和利用外部的威脅漏洞報告行動：1.各政府機構應實施針對性的應用安全測試評估

8、工程2.各政府機構應充分利用專業力量開展應用安全的第三方獨立評估3.各政府機構應為所有互聯網可訪問的系統維護公開漏洞披露工程4.各政府機構應至少指定一個互聯網可訪問的FISMA中級系統并將對其 的運營和訪問全部由公網實現5.CISA和GSA協助提供各政府機構有關其線上應用和資產情況的數據6.各政府機構應致力于使用“不可變的工作負載”部署自己的應用服務，尤是云上環境基于數字簽名的完整性保護機制，能夠確保工作負載的“不可變”密碼技術對于 建立應用信任 的關鍵作用目標：基于全面細致的數據目錄梳理，各政府機構應遵循清晰、協作的 路線開展數據安全防護，充分利用云安全服務監測所有訪問敏感數據的 活動，實施

9、聯邦政府總體層面的日志審計和信息共享行動：1.聯邦首席數據官和首席信息安全官構建聯合委員會，為各政府機構指定零信任數據安全指南2.各政府機構應開展自動化的數據分類和安全響應工作，關注對敏感文 檔的標記和訪問管理3.各政府機構應對所有保存在商用云環境中的加密存儲數據進行訪問行 為審計4.各政府機構應在CISA協助下建立日志審計和信息共享能力存儲加密并不僅僅是保護靜態存儲數據的安全，還為敏感數據訪問行 為的審計提供了一種不可繞過的必經之路除了存儲安全之外，數據的傳輸安全和使用安全同樣依賴于密碼技術密碼技術對于 建立數據信任 的關鍵作用零信任安全是以建立網絡信任和管理網絡信任為基礎，多種安全保障措施

10、協同構建網絡安全保障體系的理念或思路信任的建立和管理離不開密碼技術的正確、合規、高效的使用綜合多種要素確定信任水平綜合多種要素（身份、設備、網絡、應 用、數據、）進行信任評估，避免 單純依賴那些不可靠的默認要素（如IP 地址），持續性地實施管理信任對每次訪問行為進行持續的信任評估，并根據信任的動態變化隨時調整安全策 略，避免僅通過一次鑒別、一次授權就 給予永久性、無限制的訪問權限信任信號來源的身份真實性信任信號的數據完整性信任信號的數據傳輸安全訪問主體、客體的身份真實性安全策略、配置的完整性授權令牌信息的完整性密碼技術在零信任落地實踐中的用戶、設備、網絡、應用和數據等方面都 發揮著關鍵作用，零

11、信任的落地實踐，就是遵循零信任安全思想進行密碼 保障系統的規劃、建設和運行基于密碼技術的“挑 戰-響應”式鑒別智能密碼鑰匙、移動 端協同簽名系統基于密碼技術的設備 身份與配置管理設備證書、端點檢測與響應系統（含設備配置管理）基于TLCP等密碼協議 的網絡流量安全支持反向代理、應用隱藏、負載均衡的國密網關產品基于數字簽名的工作 負載完整性保護支持長效驗證的代碼簽名產品，計算環境集成驗簽工具經典密碼技術與隱私保護技術相結合密鑰管理與數據安全訪問控制系統，多方安全計算產品密碼基礎設施（公鑰基礎設施、密鑰管理系統、密碼服務平臺）用戶設備網絡應用數據零信任安全實踐中，密鑰管理面臨許多新的挑戰，應結合具體

12、應用場景進行規劃設計虛擬化實體的身份管理和鑒別問題：虛擬機、容器、鏡像、實例、微服務等各類工作負載“API Key”是口令還是密鑰？如何正確的產生、分發、存儲、使用、更新？軟件定義邊界架構下，單包授權協議SPA的HMAC密鑰如何安全的分發到客戶端？圖片來源：Jason Haley.“Demystifying containers,Docker,andKubernetes”,Microsoft Azure圖片來源：Michael Rash.“Single Packet Authorization”,Linux Journal高可用性和高實時性，提供海量證書簽發和證書狀態管理服務一套PKI體系支持用戶、設備、應用等多種實體的證書管理策略引擎能夠統一利用多個CA的證書信息進行判決和授權PKI系統需要提供更豐富、靈活的集成接口資產清單庫維護設備、人員證書白名單，不一定需要CRL或OCSP