零信任和安全架构传道者。专注于解析国外先进网络安全体系，为国内军政企首席安全官提供参考。帐号主体为柯善学博士，现任职360研发中心。自2020年7月起，本订阅号只做原创，其中文章观点，不代表所在公司立场。谢谢关注！

　　零信任硬币的一面是访问控制和身份管理，硬币的另一面是主机微分段。前者本质上仍是由外到内的方法，而后者则是由内到外的方法。两者虽然都要解决访问问题，但前者是从用户角度来看，而后者则是从应用程序和工作负载的角度来看。

　　实现国防部零信任网络安全框架的目标，是一个多阶段的过程。在实现了访问控制和身份管理等基本阶段后，国防部可能开始向零信任的中高级阶段迈进，即更加以数据为中心的安全方法。

　　访问控制永远是至关重要的，但它只是零信任旅程中重要的第一步。SolarWinds复杂网络攻击事件为美国国防部加速向零信任的中高级阶段迈进，提供了更具说服力的理由。

　　本文是《Illumio六部曲》系列的第5篇，重点揭示了美国国防部零信任与主机微分段技术的关系。

　　从本文的逻辑看，在统领零信任框架方面，Gartner的零信任网络访问（ZTNA）的确是不完整的，而Forrester的零信任生态扩展（ZTX）框架显然更胜一筹。

　　目  录

　　1. 零信任硬币的两面

　　1）零信任的两种视角

　　2）硬币的一面是访问控制和身份管理

　　3）硬币的另一面是主机微分段

　　2. 为何要重视主机微分段

　　1）实现微分段的三种途径辨析

　　2）两种零信任视角的对比

　　3. 国防部零信任的两个阶段

　　1）国防部零信任的基本阶段

　　2）国防部零信任的中高级阶段

　　3）现实示例：用事实说话

　　4）让两种方法并驾齐驱

　　一、零信任硬币的两面

　　01  零信任的两种视角

　　NIST SP 800-207（零信任架构指南）指出，“零信任是一套不断发展的网络安全模式的术语，它将防御从静态的、基于网络的边界，转移到关注用户、资产和资源上。”  笔者认为，这里的“用户、资产和资源”应该被分解为两部分：一是用户（访问）；二是资产和资源。因为两者对应于不同的视角。

　　我们知道，最小权限访问是零信任的核心。这表明，国防部需改变传统的“允许所有访问、拒绝指定访问”的理念，转向“拒绝所有访问、允许指定访问”的原则。

　　问题的关键在于，对于所有这些访问：一方面是从用户角度来看；另一方面是从应用程序和工作负载的角度来看。

　　显然，美国联邦政府和国防部已经在致力于改善零信任的用户访问；然而，在一个零信任环境中，关注点正在逐渐转移到保护其资产和资源上。

　　02  硬币的一面是访问控制和身份管理

　　美国联邦政府和国防部已经开始认真考虑零信任。而且零信任的一个重要方面，即关于零信任网络访问（ZTNA，Zero Trust Network Access）的初步工作已经完成。

　　然而，这主要还是一种由外到内（outside-in）实现零信任的方法。

　　03  硬币的另一面是主机微分段

　　零信任更加重要的一个方面，与应用程序和工作负载的连接有关。而这正是攻击者的目标所在，但目前联邦政府和国防部在这一方面还没有得到足够保护。

　　零信任的“另一面”，即基于主机的微分段方法，将带来由内到外（inside-out）的更高安全性，并将阻止恶意软件的横向移动。

　　NIST SP 800-207专门将微分段定义为在一个或多个端点资产上使用软件代理或防火墙。这些网关设备动态地向来自客户端、资产或服务的单个请求授予访问权限。而这也是在《2020财年FISMA首席信息官指标》报告中专门提出的保护高价值资产（HVA）的最佳方式。

　　二、为何要重视主机微分段

　　01  实现微分段的三种途径辨析

　　因为零信任的核心是最小权限的概念，所以如果发生失陷，则失陷理应被锁定在一台服务器、工作负载或笔记本电脑上。这是实现零信任的由内到外的方法。

　　从系统架构的角度来看，这种零信任的方法可以通过三种方式实现：软件定义网络（SDN）、网络防火墙、基于主机的微分段。

　　1）SDN或网络虚拟化方法：是实施强制执行的一个弱安全选项，因为它关注网络安全并使用自由形式的标记和标签结构。由于在管理用于标识工作负载的元数据方面缺乏治理，使得管理和提供策略变得困难。跟踪IP地址会增加复杂性并阻止规模的扩展。它还需要一个完整的网络升级，并且是昂贵的。记住：SDN中的“N”代表网络。因此，任何SDN控制器部署的任何分段，都是一种以网络为中心的方法，都被实现为聚焦网络挑战，而非主机挑战。

　　2）网络防火墙方法：为了控制东西向流量的移动，需要部署额外的防火墙。然而，硬件防火墙太“硬”了，缺乏灵活性。而对于内部/数据中心防火墙，当环境被虚拟化和高度自动化时，要想跟踪区域、子网、IP地址、规则顺序，也变得相当笨拙和困难。随着环境变得更加复杂，在防火墙规则变更期间中断应用程序的可能性也会增加。与SDN方法类似，应用程序到应用程序的流量缺乏可见性，大型部署可能很昂贵，并且这仍然是一种以网络为中心的方法。

　　3）基于主机的微分段方法：是对驻留在每个主机中的本机状态防火墙进行编程。从本质上讲，关注应用程序，可以将分段与网络架构解耦。它部署简单，易于扩展，成本较低，可以在任何架构中推出，包括云、容器、混合和裸机。它可以与防火墙、负载均衡器、网络交换机等异构硬件资产协同工作，并提供实时应用程序和工作负载依赖关系图。首席信息官和首席信息安全官终于头一回可以看到，他们的应用程序和工作负载在做什么。

　　02  两种零信任视角的对比

　　用户采取何种角度/路线来实现零信任架构，将决定其实现的难易程度。

　　如果用户可以实时创建应用程序和工作负载地图时，则他们可以显著降低零信任的实施复杂性。因为，正确地创建一个基准应用程序和工作负载依赖关系图，对于在整个机构的计算体系架构中嵌入安全性非常重要。用户得以查看应用到应用和工作负载的流量，以便正确分段。

　　虽然，零信任需要强大的身份管理工具；但用户还需要对工作负载和应用程序进行分段，以防止可能严重影响机构或任务的非法横向移动。

　　两种不同的方法：用户到应用和设备到应用的流量监控，需要对凭证托管、强身份验证、身份管理的显著依赖关系；而机器到机器或工作负载到工作负载的连接，通常是基于API的，需要不同的方法。

　　两面可以同时进行。凭证依赖于网络安全；强制执行策略则侧重于应用程序安全，而应用程序安全并不需要网络。所以，事实上，零信任硬币的两面都可以同时进行。

　　零信任的前进之路意味着，过去对网络边界的强调，必须由对用户、数据、应用程序的更加重视所取代。

　　更进一步讲，采用由内到外（inside-out）的方式保障高价值资产，是启动零信任试点项目的最审慎的方式。这个建议，与2019年11月国土安全部发布微分段作为CDM（持续诊断和缓解）计划的推荐能力，是一致的。

　　三、美国国防部零信任的两个阶段

　　01  国防部零信任的基本阶段

　　实现零信任愿景，是一个多阶段的努力。美国国防信息系统局（DISA）和国家安全局（NSA）正在合作开发零信任参考架构，也在建立新的零信任实验室。

　　如果询问美国联邦和国防部IT部门的人“零信任意味着什么”，你可能会听说它是关于访问控制的：即在没有首先验证用户或设备的情况下，决不允许访问任何系统、应用程序、网络，即便用户是内部人士。

　　在国防信息系统局（DISA）对零信任的解释清单上，排名第一的术语是“从不信任、始终验证”，紧随其后的是“始终假设网络环境中已经存在对手”和“显式验证”。这些都对应于国防部零信任成熟度模型的基本阶段。

　　基本阶段，即访问控制和身份管理，确实是零信任的第一个重要组成部分，国防部正在积极开展这项工作。目前，美国陆军、空军、海军、DISA都有一些试点项目在进行中，这些项目侧重于从外到内（outside-in）的零信任，其重点是使用零信任网络访问（ZTNA）方法，来升级身份管理和用户凭证。然而，ZTNA并不显示工作负载到工作负载的连接和数据流。这些工作只能说明问题的一半。

　　在之前的《美国国防部零信任的支柱》和《美军网络安全 | 用零信任替代中间层安全？》中，介绍过国防部的零信任建设思路，的确主要是以身份管理和SDP为主的。

　　02  国防部零信任的中高级阶段

　　国防部零信任之旅并没有就此结束。国防部（DoD）和国土安全部（DHS）网络安全与基础设施安全局（CISA）的官员在2月说，要针对SolarWinds攻击中使用的复杂网络攻击建立真正有效的防御措施，需要进一步采用零信任安全。该事件也为美国国防部加速向零信任的中高级阶段迈进，提供了一个更具说服力的理由。

　　再者，美国国防部一直寻求，在无需购买新设备的条件下，利用零信任来改善网络安全，而基于主机的微分段，通过允许代理来编程本地防火墙，使得国防部的安全思路成为可能。

　　另外，国防部的数字现代化战略（DMS，Digital Modernization Strategy）已将“将数据视为战略资产”作为其主要目标之一，国防部最近发布了一份单独的《国防部数据战略》，将“数据治理”列为实施该战略的第一步。应用层即第七层，是零信任的核心，它涉及应用程序和以数据为中心的安全性。

　　把零信任的基本阶段（身份/访问控制）想象成一个类似于保护一个房子的前门，甚至可能是从一个房间通向另一个房间的内门。你要确保每个进入者都经过验证和认证，即使他们想从家里进入另一个房间。

　　但是前门并不是唯一的入口。还有侧门、后门、地下室的门、各种窗户，也需要保护。对于这些门窗，主要关注的应该是数据。国防部IT人员需要确保他们能够通过多云/多应用程序可见性以及对进出侧门和后门的任何数据进行命令和控制，以了解所有门窗的活动。如果没有这些控制，数据可能会泄漏，从而暴露敏感信息。

　　上一任DISA局长、美国海军中将Nancy Norton曾说，“零信任将影响我们网络领域的每一个领域，允许我们通过关闭船上的每个隔间来更好地保护我们的数据。” 要做到这些，显然需要超越访问控制或只保护前门。

　　随着国防部向零信任成熟度模型的中级和高级阶段迈进，确保其成功的关键能力包括：对多云环境的完全可见性；用于评估用户行为的安全分析；针对已批准应用程序、未经批准应用程序、和更重要的国防部编写的任务应用程序的高级数据保护的动态策略执行；在混合云环境中自动化和编排的威胁检测。

　　03  现实示例：用事实说话

　　上面说了一堆大道理和逻辑，现在让我们举几个现实中的例子。

　　众所周知，在疫情大流行期间，云的使用率和威胁情况都急剧上升。国防部在短短几个月内就向一百多万用户部署了商用虚拟远程（CVR）云生产力工具，并在2020年迅速扩大了他们的云使用量。最近的一份报告发现，2020年前4个月里，来自非托管设备的云使用量翻了一番，而针对云帐户的外部攻击则增加了6倍以上。因此，通过保护前门以外的安全来保护数据尤其重要，因为国防部的许多人都在远程环境中工作，从多个云环境和混合云环境访问数据和应用程序。

　　假设某个军种成员正在个人计算设备上工作，而不是通过该部门的VPN，并且希望通过云服务Microsoft Teams访问一个应用程序。虽然该部门有与Microsoft Teams的安全连接，但应用程序插件可能由另一个云提供商托管，它可能是安全的，但也可能不安全。这种云到云的连接，打开了一个洞、一扇侧门，需要被锁上以防止敏感数据暴露。访问控制无助于这种情况；这是统一云策略数据保护的角色。

　　让我们举一个更具技术性的后门例子。Open S3（简单存储服务）数据桶是最近数据泄露的罪魁祸首，因为当配置错误时，可能导致数据泄漏。一个开放的数据桶，就像是一个没有安全保护的后门。S3桶可以设置为公开或者私有，可能出现错误的设置，尤其是当技术人员过度工作和跨企业管理多个桶时。选择错误的设置，将会意外地向公众打开这扇后门。同样，访问控制和身份管理不能解决这个问题，但是中间阶段的多云数据保护解决方案可以解决这个问题。

　　04  让两种方法并驾齐驱

　　实现国防部零信任网络安全框架的目标，是一个多阶段的过程。计划推出的DISA/NSA零信任参考架构将有助于国防部更好地前进。在实现了访问控制、身份管理、从端点到云端的数据流加密等基本阶段后，国防部可能开始向零信任的中高级阶段迈进。

　　初期行动正在从身份管理或ZTNA的角度展开；然而，下一步需要更多地关注由内到外的方法，即一种基于主机的微分段方法，来实现零信任。这样做将有助于防止横向移动的蔓延，利用现有设备改善国防部机构或司令部的网络安全态势，并提供前所未有的实时可见性地图。

　　总之，要以零信任方式关闭国防部的所有网络门窗。零信任硬币的两面可以同时进行，也应该并驾齐驱。