美国国防部计划推出零信任战略2021

• 国密应用研究院
• 2021-04-29

美国国防部CIO（首席信息官）谢尔曼（John Sherman）于4月22日宣布：美国国防部计划推出一个零信任战略2021。谢尔曼特别强调："这不是技术问题，而是战略问题。"

国防部重视零信任，并不足为奇。但是这次的关键词是“战略”。从重视零信任到形成零信任战略，还是有本质不同的。另外，之前重视零信任的主要是DISA（国防信息系统局）和NSA（国家安全局）等国防部的下级机构，他们主要是执行者。而国防部CIO（首席信息官）是他们的上级，是决策者。所以，这次算是决策者的表态。这也是为何重视此项消息的原因。

本文主要概述三件事：一是国防部CIO计划推出零信任战略；二是国防部零信任参考架构指南的进展；三是国防部CISO（首席信息安全官）表示计划建立零信任投资组合管理办公室。

至此，我们可以简单地总结和预判：美国国防部的IT战略是DMS（数字现代化战略）；美国国防部的网络安全战略大概率是基于云的零信任战略。

01、国防部计划推出2021年零信任架构战略

美国国防部代理首席信息官（CIO）谢尔曼（John Sherman）周四（4月22日）宣布：美国国防部计划发布2021年零信任架构战略（zero-trust architecture strategy 2021）。这也进一步增加了美国国防部今年将发布的越来越多与零信任相关的文件列表。

图-约翰·谢尔曼（John Sherman）

尽管没有分享多少关于战略性质的细节，但谢尔曼强调，达成一个零信任框架以改善国防部网络的网络安全，是枢纽性的。这项战略可以改变国防部建立安全态势的方式，即围绕零信任原则组织网络——将网络分段，并限制用户只能访问他们所需的数据。

谢尔曼在Billington 网络安全防御峰会上说："我认为我们正处在这些转折点之一。" "而我们目前的做法，无法将我们带向未来。”

零信任是一种安全架构，它把每个用户都当作局外人对待——给予他们所谓的"零信任"，并限制他们在网络中漫游。尽管边界突破是不可避免的，但零信任方式可以将边界突破造成的损害降到最低。

在这次最新的消息中，一个有趣的用词是：国防部官员调侃了国防信息系统局（DISA）和国家安全局（NSA）正在编制的参考架构指南。为什么使用"调侃/取笑"（tease）这个词？希望有机会弄明白。

在最近的SolarWinds攻击中，俄罗斯黑客通过软件供应链渗透网络，这给了政府IT官员转向零信任框架的新动力。目前还不清楚，零信任是否能够阻止俄罗斯人对几个政府网络和数千家私营公司的黑客攻击。但在零信任模式下，他们将无法横向移动以访问数据或长期隐藏（至少安全专家希望如此）。

虽然国防部已经制定了一些"纵深防御"措施，但谢尔曼强调，全面实施技术、文化、战略变革是安全的当务之急。

谢尔曼补充说，到国防部完全实现零信任时，它可能已经有了一个新的绰号。但分段网络和限制横向移动的指导原则才是关键。这一战略应该在今年最终确定，它很可能会解决零信任所涉及的技术和实践问题。当然，这取决于谢尔曼在多大程度上强调了用户和管理员文化的变化，以使零信任发挥作用。

"这不是技术问题，而是战略问题。"谢尔曼强调。

02、国防部零信任参考架构指南的进展

DISA（国防信息系统局）计划在2021年发布零信任参考指南。该参考指南是DISA、国家安全局（NSA）、美国网络司令部和私营部门之间持续合作的产物，将为国防机构和IT部门提供了一个蓝图，使网络过渡到这样一个模型，从本质上讲，网络对用户的信任为零。

2020年7月，DISA（国防信息系统局）在的AFCEA国际年度陆军信号会议上宣布，将为国防部制定一个零信任参考架构。注意DISA不能完全代表国防部的意图。

2020年10月，已经完成零信任参考架构的初稿。它是一套指导方针，旨在使该机构的网络安全协议超越传统的边界防御行动。这个消息，是DISA安全使能组合负责人Joseph Brinker在一封电子邮件中告诉Nextgov网站的。Brinker说，它已经作为国防部CIO（首席信息官）“正式的企业架构内容审查、评估、批准流程”的一部分发布，供整个国防部人员使用。

2020年12月，DISA前局长Nancy Norton在AFCEA技术网络会议上第一次提到该参考指南。同月，DISA发布了DISA战略计划的首次年度更新，概述了该机构到2022年的愿景，零信任在该计划的新技术路线图中占据突出位置。路线图表明，DISA将定义零信任参考架构，并开发策略测试和实施能力。可参见《DISA战略计划2.0版抬升零信任地位》。

Brinker表示，参考架构的最终批准，可能会在2021财年第二季度的中途完成。

03、国防部计划建立零信任投资组合管理办公室

4月14日，一位高级IT官员对国会表示，国防部的最高IT部门正在考虑建立一个投资组合管理办公室（portfolio management office），致力于加速采用零信任网络安全架构。

国防部首席信息安全官David McKeown，在参议院军事委员会的网络安全小组委员会作证说，零信任投资组合管理办公室的建立，将为国防部向高级网络安全架构的发展提供“关键的集中和协调”。

如果国防部首席信息官办公室建立了投资组合管理办公室，它将负责"整合"整个部门的人才，包括网络管理和网络安全专家，以管理"将DoDIN（国防部信息网）移动到这个新的网络安全结构的复杂任务"，McKeown在证词中写道。

McKeown还在书面证词中说，该办公室还将负责一场宣传零信任好处的运动，并将在国防部、任务伙伴、国防工业基础（DIB）和盟国内部分享最佳实践。该办公室还将为国防部走向零信任制定“战略路线图”。国防部发言人Russ Goemaere表示，该办公室将“瞄准”在未来六个月内设立投资组合办公室。

McKeown还强调了空军的Cloud-One，即其企业云，是一个云原生的零信任环境，并补充说，国防部的几个系统已经迁移到该云环境中。根据McKeown的说法，Cloud-One实现了国防部认为是“支柱”的零信任的所有组件：用户；应用程序和工作负载；设备；数据；网络和基础设施；可见性和分析；自动化和协调。可参见《美国国防部零信任的支柱》。

考虑到云计算是五角大楼数字现代化战略（DMS）的核心，以及国防信息系统局（DISA）作为国防部主要IT提供商的未来计划，在国防部的云计算环境中转向零信任模式至关重要。DISA与国防部CIO（首席信息官）、NSA（国家安全局）、网络司令部合作，正在创建一个零信任实验室，以测试零信任能力。

McKeown还说，国防部还通过DISA新的企业级的身份、凭证和访问管理（ICAM）工具，朝着零信任网络安全迈出了又一步。他说，国防部已经将国防部的许多财务系统纳入这一工具。"我们相信，这将是我们在整个部门全面采用的范例"，McKeown说。

04、国防部推行零信任的方式

国防部推行零信任的方式会比较特别。国防部领导人表示，在军队中推行零信任将不同于其他网络计划，所以并不会像大多数计划那样的方式推出零信任。这本质上是因为，零信任并不是一个计划。而是国防部网络架构的一次大规模转型，随着时间推移，这种变化必然会发生。

（本篇完）

注：内容来源公众号网络安全观，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。