《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 美軍網(wǎng)絡(luò)安全:用零信任替代中間層安全,?

美軍網(wǎng)絡(luò)安全:用零信任替代中間層安全?

2021-02-01
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 零信任 網(wǎng)絡(luò)安全

  DOT&E(作戰(zhàn)試驗(yàn)和鑒定主任,,The Director, Operational Test & Evaluation)是美軍試驗(yàn)和鑒定領(lǐng)域的最高主管,,由總統(tǒng)任命,,其報(bào)告直接提交給國(guó)防部長(zhǎng)和國(guó)會(huì)。

  每年一度的DOT&E年度報(bào)告,,是非常重量級(jí)的國(guó)防部報(bào)告,。筆者一直關(guān)注其每年對(duì)JRSS(聯(lián)合區(qū)域安全棧)項(xiàng)目的評(píng)估結(jié)論。

  JRSS(聯(lián)合區(qū)域安全棧)是美國(guó)國(guó)防部聯(lián)合信息環(huán)境(JIE)的最重要的創(chuàng)新之舉,,是一種標(biāo)準(zhǔn)化的中間層安全設(shè)備,。既備受頌揚(yáng),又屢遭指責(zé),,爭(zhēng)議不斷,。自2017年被列入DOT&E年度報(bào)告以來(lái),幾乎每年都遭到批評(píng),。盡管如此,JRSS的預(yù)算卻屢屢增加,。批評(píng)反倒成為改進(jìn)的動(dòng)力,。

  在2021年1月6日最新發(fā)布的2020財(cái)年DOT&E年度報(bào)告中,,關(guān)于JRSS的論調(diào)仍然與以往相似。但不同的是,,這次不是干說(shuō),,而是真做——直接關(guān)停涉密版JRSS(并沒(méi)有關(guān)停非密版JRSS)。更重要的是,,報(bào)告強(qiáng)烈地期待零信任架構(gòu)能夠替代JRSS,。由于JRSS本質(zhì)上起到了中間層安全的作用,所以DOT&E報(bào)告是希望零信任架構(gòu)能夠承擔(dān)起國(guó)防部網(wǎng)絡(luò)的中間層安全的重任,。

  回顧發(fā)展歷程,,筆者推斷:盡管以往每年都批評(píng)JRSS不行,但國(guó)防部也找不到更好的替代品,,只好繼續(xù)改進(jìn)它,;而從2020年開(kāi)始,國(guó)防部終于發(fā)現(xiàn)零信任架構(gòu)有可能成功替代JRSS,,并且避免JRSS的弊端,,所以開(kāi)始真刀真槍地要關(guān)停JRSS了。

  筆者當(dāng)然希望,,零信任架構(gòu)能夠不辱使命,。而對(duì)于JRSS的歷史地位,筆者也還堅(jiān)持肯定的態(tài)度,。因?yàn)镴RSS開(kāi)創(chuàng)了美軍網(wǎng)絡(luò)中間層安全(即區(qū)域安全架構(gòu))的先河,。當(dāng)然可以說(shuō),它只是增加了一層網(wǎng)絡(luò)防御的縱深,,沒(méi)有什么了不起,;但也可以說(shuō),它是Gartner在2019年提出的SASE(安全訪問(wèn)服務(wù)邊緣)思想的早期實(shí)現(xiàn),,也是想把安全推向子網(wǎng)/用戶的接入邊緣,。請(qǐng)記住,國(guó)防部是在2012年提出JRSS的設(shè)計(jì)思想的,。那時(shí)候,,它的實(shí)現(xiàn)方式當(dāng)然是硬件、靜態(tài),、性能不足的,。而一旦Gartner說(shuō)要用零信任、SDP,、SD-WAN等新一代技術(shù)去實(shí)現(xiàn)的時(shí)候,,瞬間又包裝出一個(gè)高大上的SASE概念。

  筆者認(rèn)同JRSS,,自然也不會(huì)反對(duì)SASE,。JRSS和SASE之間,,當(dāng)然不只差一個(gè)零信任。但如果零信任技術(shù)不過(guò)關(guān),,SASE也只能是空中樓閣,。

  目錄

  1. JRSS創(chuàng)造的中間層安全

  2. DOT&E報(bào)告中的主要結(jié)論

  3. DOT&E報(bào)告中的主要建議

  01

  JRSS創(chuàng)造的中間層安全

  本節(jié)內(nèi)容為筆者便于讀者理解而添加,非DOT&E年度報(bào)告內(nèi)容,。關(guān)于JRSS的更多信息,,請(qǐng)參見(jiàn)本公眾號(hào)《美軍網(wǎng)絡(luò)安全 | 第3篇:JIE聯(lián)合區(qū)域安全棧JRSS》。

微信圖片_20210201153357.png  

  圖1-聯(lián)合區(qū)域安全棧的整體概念圖

  從整體上看,,JRSS的目的是要將全局性態(tài)勢(shì)感知下沉到區(qū)域一級(jí),。因?yàn)樵跊](méi)有JRSS之前,國(guó)防部只能通過(guò)CSAAC(網(wǎng)絡(luò)態(tài)勢(shì)感知分析云)形成國(guó)防部一級(jí)(即總部一級(jí))的態(tài)勢(shì)感知,,并看不到區(qū)域一級(jí)(或者說(shuō)是分支一級(jí)),。所以,JRSS成為國(guó)防部的一個(gè)重要抓手,,使得國(guó)防部能夠?qū)B(tài)勢(shì)感知下探到區(qū)域一級(jí),,形成更加全面完整的可見(jiàn)性。從這個(gè)角度上講:

  CSAAC(網(wǎng)絡(luò)態(tài)勢(shì)感知分析云)可以類比于云端安全大腦,,統(tǒng)管全局,。

  JRSS(聯(lián)合區(qū)域安全棧)可以類比于區(qū)域安全大腦,統(tǒng)管區(qū)域,。國(guó)防部在全球按地域分為二十多個(gè)區(qū)域,,每個(gè)區(qū)域部署一套JRSS設(shè)備(非密版、涉密版各一套),。JRSS并不只是傳感器,,具有很強(qiáng)的本地安全分析能力。

  總之,,JRSS旨在形成集中化和標(biāo)準(zhǔn)化的區(qū)域安全架構(gòu),,而非之前在美軍各個(gè)軍事基地構(gòu)建的各自為政、成熟度各不相同的本地化,、非標(biāo)準(zhǔn)化架構(gòu),。

  從觀念上看,JRSS的想法很先進(jìn),,只可惜其實(shí)現(xiàn)方式太老舊,,難以達(dá)成其安全和性能目的。所以,,屢遭非議,。

  何謂中間層(mid-tier)安全?下圖展示得比較清楚:

微信圖片_20210201153440.png

  圖2-JRSS部署在中間層

  通過(guò)增加JRSS,國(guó)防部網(wǎng)絡(luò)共形成三層縱深防御:1)邊界(外部邊界,,如互聯(lián)網(wǎng)邊界,、商業(yè)云邊界等),;2)中間段(JRSS),;3)飛地/端點(diǎn)(局域網(wǎng))。

  02

  DOT&E報(bào)告中的主要結(jié)論

  2020財(cái)年DOT&E年度報(bào)告的主要結(jié)論如下:

  1)對(duì)涉密網(wǎng)JRSS的評(píng)估效果很差,。

  2020年2月,,DOT&E高級(jí)網(wǎng)絡(luò)作戰(zhàn)(ACO)團(tuán)隊(duì)和國(guó)防信息系統(tǒng)局(DISA)紅隊(duì),與聯(lián)合區(qū)域安全棧(JRSS)項(xiàng)目管理辦公室(PMO)一起,,開(kāi)展了一項(xiàng)重要評(píng)估活動(dòng),。

  本次活動(dòng)旨在評(píng)估SIPRNET-JRSS(S-JRSS)、SIPRNET聯(lián)合管理網(wǎng)絡(luò)(S-JMN)和SIPRNET聯(lián)合管理系統(tǒng)(S-JMS)的網(wǎng)絡(luò)態(tài)勢(shì),。這次檢查了四個(gè)已部署,、但未實(shí)際運(yùn)行的S-JRSS堆棧的網(wǎng)絡(luò)安全狀況。

  本次評(píng)估活動(dòng)得到了糟糕的網(wǎng)絡(luò)安全調(diào)查結(jié)果,,這導(dǎo)致項(xiàng)目管理辦公室(PMO)關(guān)閉了現(xiàn)有的S-JRSS,,而數(shù)字現(xiàn)代化基礎(chǔ)設(shè)施執(zhí)行委員會(huì)(DMI EXCOM)也將未來(lái)的S-JRSS部署推遲到FY23。2020年8月,,DMI執(zhí)行委員會(huì)(前聯(lián)合信息環(huán)境執(zhí)行委員會(huì))批準(zhǔn)了2022財(cái)年的縮減開(kāi)支計(jì)劃,,將S-JRSS工作推遲到2023財(cái)年。在此期間,,國(guó)防部將考慮替代的中間層(mid-tier)防御網(wǎng)絡(luò)安全解決方案,。

  注:JRSS目前僅在NIPRNET(N-JRSS)上運(yùn)行。原計(jì)劃在2016年安裝一個(gè)SIPRNET(S-JRSS)版本,,其中有幾個(gè)正在安裝,,但尚未投入運(yùn)行。

  2)對(duì)非密網(wǎng)JRSS的評(píng)估結(jié)果一直不佳,。

  向N-JRSS的遷移仍在繼續(xù),,并不取決于運(yùn)行測(cè)試結(jié)果。盡管DOT&E建議暫停遷移,,直到安全棧在運(yùn)行測(cè)試中顯示有效為止,。自2016年以來(lái),N-JRSS作戰(zhàn)評(píng)估不斷顯示,,N-JRSS無(wú)法幫助網(wǎng)絡(luò)防御者保護(hù)國(guó)防部組成部門的網(wǎng)絡(luò)免受實(shí)際網(wǎng)絡(luò)攻擊,。

  2020年1月至3月,JRSS項(xiàng)目管理辦公室在美國(guó)大陸內(nèi)的兩個(gè)N-JRSS生產(chǎn)堆棧上,,對(duì)選定的加密流量進(jìn)行了中斷和檢查(B&I)能力的試點(diǎn),。2020年9月,JRSS高級(jí)咨詢小組投票決定暫緩實(shí)施JRSS B&I,,直到對(duì)該能力以及如何在國(guó)防部使用該能力進(jìn)行進(jìn)一步分析,。

  2020年6月,,空軍停止資助第346測(cè)試中隊(duì)參與JRSS試驗(yàn)。這導(dǎo)致測(cè)試人員無(wú)法深入了解空軍的方法,、優(yōu)先級(jí)和拓?fù)浣Y(jié)構(gòu),,從而降低了對(duì)空軍JRSS使用的評(píng)估效率。

  3)期待用零信任架構(gòu)取代JRSS,。

  國(guó)防部正在評(píng)估國(guó)防部采用以數(shù)據(jù)為中心的安全模式,,而不是傳統(tǒng)的以網(wǎng)絡(luò)為中心的安全模式。

  美國(guó)網(wǎng)絡(luò)司令部(USCC)在DOT&E評(píng)估支持下,,正在幫助軍種試點(diǎn)實(shí)施零信任架構(gòu),,因?yàn)閲?guó)防部需要評(píng)估一個(gè)更加以數(shù)據(jù)為中心的安全模型。這種新模式比JRSS目前提供的邊界防御系統(tǒng)保證了更有效的網(wǎng)絡(luò)安全,。

  2020年9月,,DOT&E開(kāi)始了一系列驗(yàn)證活動(dòng),以支持軍種對(duì)USCC零信任試點(diǎn)進(jìn)行的網(wǎng)絡(luò)安全評(píng)估,。DOT&E正在通過(guò)一系列驗(yàn)證活動(dòng)幫助評(píng)估網(wǎng)絡(luò)安全,,USCC零信任試點(diǎn)的結(jié)果將用于指導(dǎo)未來(lái)中間層安全(mid-tier security)的發(fā)展方向。

  在國(guó)防部將用戶遷移到零信任環(huán)境(通常通過(guò)軟件定義邊界(SDP)能力實(shí)現(xiàn))之前,,需要修改N-JRSS的概念,、設(shè)計(jì)和使用,以有效,、適當(dāng)?shù)刂С趾图傻椒烙W(wǎng)絡(luò)任務(wù)中,。

  03

  DOT&E報(bào)告中的主要建議

  1)國(guó)防部首席信息官(CIO)和國(guó)防部組成部門應(yīng):

  繼續(xù)開(kāi)發(fā)更加有效的網(wǎng)絡(luò)安全替代方案以替代JRSS,例如軍種正在進(jìn)行的實(shí)施零信任架構(gòu)的試點(diǎn)工作,,并更加注重發(fā)展和維持一支訓(xùn)練有素的防御性網(wǎng)絡(luò)工作隊(duì)伍,。

  如果零信任架構(gòu)被證明是可行的,那么應(yīng)該完全放棄S-JRSS運(yùn)行,。

  停止將新用戶遷移到JRSS,,直到該系統(tǒng)證明其能夠幫助網(wǎng)絡(luò)防御者檢測(cè)和應(yīng)對(duì)現(xiàn)實(shí)運(yùn)行的網(wǎng)絡(luò)攻擊,直到USCC,、國(guó)防部CIO,、國(guó)防部首席網(wǎng)絡(luò)顧問(wèn)和外部顧問(wèn)的中間層網(wǎng)絡(luò)安全分析,能夠告知未來(lái)方向,。

  在USCC和DOD CIO分析如何在DODIN中最佳利用和實(shí)施流量檢查能力時(shí),,重新評(píng)估N-JRSS B&I的功能需求。

  優(yōu)先考慮培訓(xùn),、系統(tǒng)可用性和操作員熟練程度,,而不是滿足遷移時(shí)間表的最后期限。

  2)JRSS PMO、DISA Global,、國(guó)防部組成部門應(yīng):

  繼續(xù)關(guān)注培訓(xùn)和SOP開(kāi)發(fā),。

  操作員培訓(xùn)是任務(wù)成功的一個(gè)重要因素,作為COVID-19響應(yīng)的一部分,,最近的最低人員配置變化使得操作員的能力更加重要,。

  3)DISA和國(guó)防部組成部門應(yīng):

  驗(yàn)證JRSS操作員的能力和培訓(xùn),以便在新用戶遷移之前正確配置和使用JRSS服務(wù),。

  4)DISA(JRSS PMO),、國(guó)防部組成部門和JITC應(yīng):

  與軍種網(wǎng)絡(luò)司令部和作戰(zhàn)部隊(duì)協(xié)調(diào),確定真實(shí)世界的測(cè)試指標(biāo)和數(shù)據(jù)源,,以支持遠(yuǎn)程評(píng)估和補(bǔ)充作戰(zhàn)測(cè)試數(shù)據(jù)。

  5)空軍應(yīng):

  考慮恢復(fù)346測(cè)試中隊(duì)的JRSS測(cè)試資金,,以代表空軍繼續(xù)進(jìn)行JRSS性能評(píng)估,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。