應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

美國國防部網(wǎng)絡(luò)安全的下一個(gè)轉(zhuǎn)型

2021-02-20 07:09 FreeBuf

導(dǎo)讀:通過本文的分析,筆者得出一種解釋:從GIG(全球信息柵格)到JIE(聯(lián)合信息環(huán)境),引領(lǐng)了美國國防部的上一個(gè)轉(zhuǎn)型;從JIE(聯(lián)合信息環(huán)境)到DMS(數(shù)字現(xiàn)代化戰(zhàn)略),將引領(lǐng)美國國防部的下一個(gè)轉(zhuǎn)型。

美國國防部為何要將JIE(聯(lián)合信息環(huán)境)升格為DMS(數(shù)字現(xiàn)代化戰(zhàn)略)?

通過本文的分析,筆者得出一種解釋:從GIG(全球信息柵格)到JIE(聯(lián)合信息環(huán)境),引領(lǐng)了美國國防部的上一個(gè)轉(zhuǎn)型;從JIE(聯(lián)合信息環(huán)境)到DMS(數(shù)字現(xiàn)代化戰(zhàn)略),將引領(lǐng)美國國防部的下一個(gè)轉(zhuǎn)型。

從安全角度看,下一個(gè)轉(zhuǎn)型將融合云服務(wù)、即服務(wù)、零信任的思想,可以概括為基于云的網(wǎng)絡(luò)安全即服務(wù)的轉(zhuǎn)型之路。

趨勢(shì),總是在發(fā)生之后才被確信。而向云服務(wù)的轉(zhuǎn)型,已經(jīng)不再是一個(gè)“是否”(轉(zhuǎn)型)的問題,而是一個(gè)“如何”(轉(zhuǎn)型)的問題。美國國防部的轉(zhuǎn)型之路,對(duì)政企客戶具有參考價(jià)值。

一、JIE引領(lǐng)上一次轉(zhuǎn)型

1. GIG向JIE的轉(zhuǎn)型

GIG面對(duì)的問題。自2001年911事件之后,美國國防部(DoD)意識(shí)到各機(jī)構(gòu)網(wǎng)絡(luò)過于孤立,阻礙了各機(jī)構(gòu)與全球任務(wù)伙伴之間的關(guān)鍵信息共享。另外,每個(gè)機(jī)構(gòu)繼續(xù)建立自己的網(wǎng)絡(luò),設(shè)計(jì)自己的安全架構(gòu)。建造豎井的做法,造成了持續(xù)的重復(fù)工作和不斷增加的總體設(shè)計(jì)費(fèi)用。

向JIE的轉(zhuǎn)型。由于效率低下,國防部于2012年12月制定了聯(lián)合信息環(huán)境(JIE)框架。JIE的目標(biāo)是建立一種統(tǒng)一的方式,使國防部各機(jī)構(gòu)能夠使其IT網(wǎng)絡(luò)現(xiàn)代化。JIE框架有助于確保各機(jī)構(gòu)和任務(wù)伙伴能夠安全地共享信息,同時(shí)減少人力和基礎(chǔ)設(shè)施開支。

圖1-JIE集中式架構(gòu)與GIG分散式架構(gòu)的對(duì)比

JIE的技術(shù)挑戰(zhàn)。JIE是一個(gè)雄心勃勃的目標(biāo),也是國防部發(fā)展的必要步驟。在JIE這個(gè)框架內(nèi),最困難的兩個(gè)技術(shù)挑戰(zhàn)是單一安全架構(gòu)(SSA)和云計(jì)算。接下來,重點(diǎn)解釋這幾項(xiàng)技術(shù)挑戰(zhàn)。

2. 單一安全架構(gòu)(SSA)

單一安全架構(gòu)(SSA)是國防部實(shí)施JIE的一項(xiàng)最重要舉措,其好處在于:

破除各部門之間的網(wǎng)絡(luò)安全隔閡。減少部門的外部攻擊面。標(biāo)準(zhǔn)化管理、運(yùn)行、技術(shù)安全控制。

最重要的優(yōu)勢(shì)之一是,單一安全架構(gòu)(SSA)將使國防部能夠了解整個(gè)國防部網(wǎng)絡(luò)的情況,全局態(tài)勢(shì)感知達(dá)到之前無法實(shí)現(xiàn)的水平。這在前面的圖1中體現(xiàn)。

SSA最關(guān)鍵的兩個(gè)組件是聯(lián)合區(qū)域安全棧(JRSS)和互聯(lián)網(wǎng)接入點(diǎn)(IAP)。如下圖所示:

圖2-國防部JIE框架

上圖中顯示了三大類安全組件:

邊界安全棧:即企業(yè)邊界保護(hù)(EPP)組件(帶放大鏡的圖標(biāo));它其實(shí)是一個(gè)邏輯概念,整合了各種網(wǎng)關(guān)安全服務(wù),包含了幾種不同的網(wǎng)關(guān),如:路由互聯(lián)網(wǎng)流量的互聯(lián)網(wǎng)接入點(diǎn)(IAP)、路由任務(wù)伙伴流量的任務(wù)伙伴網(wǎng)關(guān)(MPG)、路由移動(dòng)終端用戶流量的移動(dòng)網(wǎng)關(guān)(MG)、路由商業(yè)云流量的云接入點(diǎn)(CAP)。其中紅色標(biāo)記的互聯(lián)網(wǎng)接入點(diǎn)(IAP)和云接入點(diǎn)(CAP)比較重要,將在下面介紹;區(qū)域安全棧:即聯(lián)合區(qū)域安全棧(JRSS)(盾牌圖標(biāo)),將在下面介紹;態(tài)勢(shì)感知:含在企業(yè)運(yùn)營中心。匯總邊界安全棧和區(qū)域安全棧的信息,形成全局可見性;以及全局指揮控制。

3. 聯(lián)合區(qū)域安全棧(JRSS)

聯(lián)合區(qū)域安全棧(JRSS)是SSA(單一安全架構(gòu))最重要的落地實(shí)現(xiàn)。它反映了中間層安全的思想,旨在實(shí)現(xiàn)區(qū)域級(jí)的標(biāo)準(zhǔn)化安全架構(gòu),而避免每個(gè)軍事基地、哨所、營地或工作站的非標(biāo)準(zhǔn)化架構(gòu)。

圖3-JRSS部署在中間層

4. 互聯(lián)網(wǎng)接入點(diǎn)(IAP)

JIE邊界防御從互聯(lián)網(wǎng)接入點(diǎn)(IAP)開始,它也是一個(gè)安全棧,充當(dāng)從國防部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的安全網(wǎng)關(guān)。它提供企業(yè)級(jí)邊界安全能力,如企業(yè)電子郵件安全網(wǎng)關(guān)、入侵檢測(cè)、防火墻和訪問控制等,在上面的圖3中有所反映(即邊界安全)。

5. 安全云計(jì)算架構(gòu)(SCCA)

為了應(yīng)對(duì)云安全挑戰(zhàn),國防部利用了聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(FedRAMP)和安全云計(jì)算架構(gòu)(SCCA)。FedRAMP建立了訪問和授權(quán)云服務(wù)的標(biāo)準(zhǔn)方法,國防部對(duì)低敏感度和中等敏感度數(shù)據(jù)使用FedRAMP。

為了保護(hù)敏感程度更高的數(shù)據(jù),國防部提出了SCCA(安全云計(jì)算架構(gòu))。它為商業(yè)云環(huán)境中托管的影響級(jí)別為IL-4/5的數(shù)據(jù),提供了邊界和應(yīng)用程序級(jí)別安全的標(biāo)準(zhǔn)方法。SCCA的目的是在國防部信息系統(tǒng)網(wǎng)絡(luò)(DISN)和國防部使用的商業(yè)云服務(wù)之間提供一道保護(hù)屏障。

圖4-國防部混合云部署和SCCA架構(gòu)

從上圖可見,IAP(互聯(lián)網(wǎng)接入點(diǎn))和CAP(云接入點(diǎn))的主要功能,是提供一個(gè)全面而健壯的安全棧(應(yīng)對(duì)web、互聯(lián)網(wǎng)、云威脅),分別保護(hù)國防部信息系統(tǒng)網(wǎng)絡(luò)(DISN)不受Internet和CSP(云服務(wù)提供商)的影響。

二、DMS開啟下一次轉(zhuǎn)型

1. 轉(zhuǎn)向基于云的IT即服務(wù)方式

設(shè)法從IT運(yùn)維中脫身。美國國防部的IT現(xiàn)代化思路表明,它希望從基礎(chǔ)設(shè)施運(yùn)維業(yè)務(wù)中脫身,將IT作為一種服務(wù)從云服務(wù)提供商處進(jìn)行消費(fèi)。然而,國防部IT基礎(chǔ)設(shè)施的許多底層設(shè)計(jì),都植根于十多年前開發(fā)的基礎(chǔ)架構(gòu),花費(fèi)了多年時(shí)間才投入生產(chǎn),導(dǎo)致國防部各個(gè)機(jī)構(gòu)不得不繼續(xù)親自運(yùn)維大量的IT基礎(chǔ)設(shè)施,無法立即轉(zhuǎn)向IT即服務(wù)的方式。

實(shí)施IT即服務(wù)解決方案。美國國防部正在探索并實(shí)施商業(yè)提供商的“企業(yè)IT即服務(wù)”解決方案,以降低成本和保持相對(duì)于他國對(duì)手的競(jìng)爭(zhēng)優(yōu)勢(shì)。國防部企業(yè)協(xié)作和生產(chǎn)力服務(wù)(ECAPS)戰(zhàn)略,就是轉(zhuǎn)向IT即服務(wù)的示例。如下圖所示:

圖5-ECAPS(企業(yè)協(xié)作和生產(chǎn)力服務(wù))內(nèi)容

圖中,作為ECAPS能力集1,國防企業(yè)辦公解決方案(DEOS)也是數(shù)字現(xiàn)代化戰(zhàn)略(DMS)的關(guān)鍵要素(即DMS的15個(gè)要素)之一,還是DISA(國防信息系統(tǒng)局)技術(shù)路線圖(2.0版)的三大戰(zhàn)略領(lǐng)域之一(如下圖所示),其重要性不言而喻。它是一種企業(yè)級(jí)商業(yè)云服務(wù)產(chǎn)品,通過獲取和實(shí)施通用的企業(yè)應(yīng)用程序和服務(wù),在整個(gè)國防部內(nèi)聯(lián)合使用,以取代現(xiàn)有的國防部統(tǒng)一能力(UC),使得云應(yīng)用標(biāo)準(zhǔn)化,可在本地的基地/哨所/營地/站點(diǎn)(B/P/C/S)級(jí)別(包括流動(dòng)組織)實(shí)現(xiàn)跨部門協(xié)作。

圖6-DISA(國防信息系統(tǒng)局)技術(shù)路線圖(2.0版)

國防企業(yè)電子郵件(DEE)是重要的第一步,因?yàn)樗沟脟啦繌姆植际诫娮余]件解決方案遷移到集中式企業(yè)服務(wù),并為轉(zhuǎn)變到完全由即服務(wù)方式提供的云辦公解決方案鋪平了道路。而在過去,國防部的每個(gè)機(jī)構(gòu)都要維護(hù)自己的Microsoft Exchange服務(wù)器集群,這對(duì)于國防部來說是非常低效和昂貴的。

2. 轉(zhuǎn)向基于云的安全即服務(wù)方式

沿著上述IT即服務(wù)的思路,國防部當(dāng)然也希望將國防部網(wǎng)絡(luò)架構(gòu)的安全組件,以安全即服務(wù)的方式使用。

當(dāng)今由DISA(國防信息系統(tǒng)局)在全球10個(gè)地點(diǎn)托管和管理的IAP(互聯(lián)網(wǎng)接入點(diǎn)),將可以由滿足國防部IL-2要求的安全棧以即服務(wù)方式提供。

國防部也已經(jīng)開始探索替代的CAP(云接入點(diǎn))解決方案,它將采用滿足國防部IL-4/5要求的安全即服務(wù),以避免出現(xiàn)與當(dāng)前的JIE SSA實(shí)現(xiàn)有關(guān)的瓶頸和延遲。

在轉(zhuǎn)向云解決方案的過程中,JRSS(聯(lián)合區(qū)域安全棧)、IAP(互聯(lián)網(wǎng)接入點(diǎn))、CAP(云接入點(diǎn))之間的許多重疊功能可以得到整合,從而為國防部用戶和作戰(zhàn)人員提供更高效和簡(jiǎn)化的服務(wù)消費(fèi)方式。

圖7-國防部云服務(wù)架構(gòu)

3. 探索以資源為中心的零信任方法

當(dāng)前的JIE設(shè)計(jì)是以網(wǎng)絡(luò)為中心的,這意味著重點(diǎn)是保護(hù)網(wǎng)絡(luò)本身,其假設(shè)前提是:一旦網(wǎng)絡(luò)得到保護(hù),資源和用戶也將得到保護(hù)。這種觀點(diǎn)已經(jīng)被證明是不合時(shí)宜的。

國防部需要的是采用NIST定義的零信任架構(gòu)(ZTA)的現(xiàn)代方法。美國海軍中將、美國國防信息系統(tǒng)局(DISA)局長 Nancy Norton,已經(jīng)表達(dá)了這種訴求(參見《2020年底美國國防部將提供零信任架構(gòu)》)。而DISA新興技術(shù)局局長Wallace也進(jìn)一步解讀了國防部向零信任架構(gòu)演進(jìn)的思路(參見《美國國防部零信任的支柱》)。

國防部已經(jīng)開始探索零信任解決方案,ZTA(零信任架構(gòu))很有可能成為保護(hù)網(wǎng)絡(luò)內(nèi)部資源的關(guān)鍵;而IAP(互聯(lián)網(wǎng)接入點(diǎn))和CAP(云接入點(diǎn))等解決方案則繼續(xù)保護(hù)邊界。

圖8-國防部零信任實(shí)施的支柱

4. 結(jié)論

用歷史的眼光看,JIE是一個(gè)創(chuàng)新概念,實(shí)現(xiàn)了上一個(gè)轉(zhuǎn)型。它將國防部從一個(gè)高度分散和孤立的架構(gòu)(國防部內(nèi)的每個(gè)機(jī)構(gòu)都管理自己的網(wǎng)絡(luò)安全)轉(zhuǎn)變?yōu)橐粋€(gè)統(tǒng)一的單一安全架構(gòu)(SSA)。

區(qū)域安全:位于全球各地B/P/C/S的約兩百個(gè)機(jī)構(gòu)安全棧,被DISA集中管理的幾十個(gè)安全棧(即聯(lián)合區(qū)域安全棧JRSS)所取代。云安全:而為了安全上云,SSA的安全云計(jì)算架構(gòu)(SCCA)為采用商業(yè)云服務(wù)提供商的云服務(wù),提供了安全框架。

在統(tǒng)一安全架構(gòu)下,國防部準(zhǔn)備開始下一個(gè)轉(zhuǎn)型,即從管理和維護(hù)該架構(gòu)本身,轉(zhuǎn)向?qū)⑵渥鳛橐环N服務(wù)來消費(fèi)。

邊界安全即服務(wù):通過將基于云的安全棧以即服務(wù)方式交付,可以提供邊界安全能力,以發(fā)揮IAP(互聯(lián)網(wǎng)接入點(diǎn))和CAP(云接入點(diǎn))的作用。區(qū)域安全即服務(wù):通過將零信任架構(gòu)與基于云的EDR解決方案相結(jié)合,可以取代已經(jīng)被證實(shí)過于復(fù)雜和昂貴的區(qū)域安全棧(RSS)。

國防部將JIE轉(zhuǎn)變到安全即服務(wù)模式的好處,將體現(xiàn)在成本節(jié)約、更大的可擴(kuò)展性、終端用戶和作戰(zhàn)人員的更佳性能,和最終更強(qiáng)大的網(wǎng)絡(luò)安全能力。

5. 啟示

安全服務(wù)并不是安全即服務(wù)。安全即服務(wù)是安全服務(wù)的SaaS化。因?yàn)榘踩捶?wù)將主要基于云來實(shí)現(xiàn),所以也被稱為安全云服務(wù)(并非云安全服務(wù))。

顯然,安全即服務(wù)必須能夠與網(wǎng)絡(luò)安全行業(yè)的合作伙伴緊密集成(如SIEM、EDR、威脅情報(bào)供應(yīng)商等),以確??梢皂樌夭渴鸷图煞?wù),從而提供一流的整體解決方案。

所以,真正的安全即服務(wù),需要一家具有即服務(wù)思維的網(wǎng)絡(luò)安全服務(wù)運(yùn)營商。