美国《国防部零信任参考架构》解读*

徐 莉，陈 倩

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

2021年5月13日，美国国防信息系统局在其官网上公开发布了《国防部零信任参考架构（DoD ZT RA）》1.0版（以下简称架构）。该参考体系结构由国防信息系统局和国家安全局零信任联合工程小组编写，在2021年2月就发布了，但直到5月才将其公开。该架构为国防部大规模采用零信任设定了战略目的、原则、相关标准和其他技术细节，旨在增强美国国防部的网络安全并保持美军在数字战场上的信息优势。

该架构的形成经过了较长时间的酝酿：2020年9月30日，初始零信任0.9版提交给国防信息系统局、国家安全局、国防部首席信息官和美国网络司令部审查；同年11月4日，零信任0.9版提交给企业架构工程小组进行反馈；同年12月4日，零信任联合工程团队收到反馈并开始裁决；同年12月24日，零信任0.95版被提交给企业架构工程小组用于公函及任务管理系统（CATMS）；2021年1月4日，CATMS开始评估；2021年2月11日，数字现代化基础设施执行委员会批准零信任1.0版。国防部始终秉持严谨、慎重的态度，在反复测试、调整零信任核心能力之后形成该架构。

1 背景分析

美国国防部零信任参考架构的出台跟业界的技术与产品研发现状、国防部自身的转型需求以及联邦政府的大力推动等背景密切相关。

1.1 零信任已成为业界的一种标志性网络安全解决方案

根据NIST的定义，零信任（ZT）提供了一系列概念和思想，旨在面向被视为遭受入侵网络时，在信息系统和服务中执行准确、最低特权的请求访问决策，从而将不确定性降至最低。零信任是一种专注于资源保护的网络安全范式，其前提是永远不会授予绝对信任，而必须不断对其进行评估。零信任架构（ZTA）是企业的网络安全计划，它利用零信任概念，并包含组件关系、工作流程规划和访问策略[1]。零信任架构是一种用于企业资源和数据安全的端到端方法，其中包括身份（个人和非个人实体）、凭证、访问管理、运营、终端、托管环境和互联基础设施。

当前，企业的基础设施变得日益复杂，这种复杂性已经超越了传统的基于边界的网络安全方法，从而导致零信任网络安全新模型的开发。商业机构必须迅速采用“永不信任、始终验证”的零信任心态，以减轻漏洞的传播，限制访问并防止横向移动。零信任范式将防御从静态的、基于网络边界转向关注用户、资产和资源。而零信任架构使用零信任原则来规划工业和企业基础设施以及工作流程。以VPN接入为主的现有边界安全产品在端口开放、多维认证、细粒度权限、自身安全防护方面均存在不足，难以应对安全挑战。

据全球权威咨询机构Forrester在2021年5月最新发布的报告称，企业为寻求更安全的解决方案，零信任网络访问已成为标志性的安全技术，众多安全厂商推出了相关的零信任解决方案和产品[2]。

1.2 零信任架构是美国国防部网络安全架构的必然演进方向

在早期网络终端和用户数量有限的情况下，美国国防部专注于网络“边界”安全，采用终端保护、威胁检测和响应等措施保护广泛网络。但是随着网络的扩展和大量终端的加入，以及攻击者继续寻求新的方法来突破边界安全，例如，通过社交工程攻击操纵用户以泄露其凭证，导致对具有复杂检查规范的防火墙的需求数量增加，在导致成本增加的同时效果却呈递减态势。随着美军用户和终端的数量不断增加，美军网络被攻击面不断增加，其网络安全防御面临极限挑战。美国国防部迫切需要将现有基于“边界”的网络安全方式转变为“零信任”方式，通过为网络内的特定应用程序和服务创建离散且精细的访问规则，从而显著抵消国防部网络中的漏洞和威胁。

近年来，美军加速对“以网络为中心”向“以数据为中心”的网络安全模式的转变，从网络边界防护转变为数据安全防护。2019年7月9日，美国国防部创新委员会（DIB）通过了《通往零信任安全之路》白皮书，敦促美军方尽快实施零信任架构（ZTA）。同年10月24日，美国国防部创新委员会又发布《零信任架构建议》报告，建议国防部应将零信任实施列为最高优先事项。国防部创新委员会称，国防部安全架构的现状是不可持续的，国防部应将实施零信任列为最高优先事项，同时明确分配实施和管理责任，在整个国防部内迅速采取行动。可见，国防创新委员会认为零信任架构是美国国防部网络安全架构的必然演进方向。

1.3 零信任安全是美国国防部数字现代化战略的具体目标之一

美国国防部很早就关注了零信任（ZT），但直到2019年7月才开始对零信任方法进行实施，将其作为具体目标纳入《国防部数字现代化战略》。战略将“零信任安全”作为美军未来有望提高效率和安全性的代表性架构技术之一，明确列入其数字现代化战略目标中。战略明确提出了与零信任相关的4大重点领域：云部署是实施零信任概念的绝佳选择；安全自动化和协调是成功部署和管理零信任合规基础设施的关键功能；加密现代化将确保数据保护水平符合国家安全系统委员会（CNSS）政策；分析能力需要扩展以处理与零信任安全相关的传感器和日志记录数据。

1.4 零信任网络试点工作指导了美国国防部的实施路线方向

2020年，美国国防部进行了几个零信任网络试点项目，并从这些项目以及远程工作相关数据中吸取了经验教训，从而确定了零信任网络的前进道路。其中，国防信息系统局、国家安全局和网络司令部联合启动了一项针对“零信任”技术的试点项目，并总结试点项目已取得的成果，探讨如何将“零信任”技术融入美国国防部体系中。2021年2月25日，美国国家安全局发布《拥抱零信任安全模型》指南，建议将零信任架构规划成从初始准备阶段到基本、中级、高级阶段这样一个逐步成熟的过程，逐渐增强其可见性和自动化响应，使防御者能够跟上威胁的步伐，同时将零信任功能作为战略计划的一部分进行逐步整合，从而降低每一步的风险。新架构将在利用现有功能的同时，整合新的原则、分析、策略、设备和自动化方案。该架构不会取代现有的系统、工具或技术，而是以更为全面的方式来集成、扩充和优化现有功能，发展企业架构。

1.5 新一届联邦政府大力推动各机构实施零信任

以拜登为总统的美国新一届政府在上台不久即面临了比以往任何时候都大的网络安全挑战：2020年12月的SolarWinds供应链攻击事件、2021年4月的微软Exchange漏洞以及2021年5月的Colonial Pipeline输油管道事件等，这些网络安全事件的发生使美国政府意识到来自网络的复杂恶意活动，也暴露出联邦政府机构在保护、响应以及防御安全入侵的能力上仍然存在薄弱环节，其中，公私部门更容易受到相关事件的影响。为此，在2021年5月12日拜登发布行政命令以加强国家网络安全，明确指示联邦政府各机构实施零信任方法，实现联邦政府网络安全现代化。要求在命令签署之后的60天内，相关机构要制定实施零信任架构的计划，该计划应酌情考虑国家标准与技术研究所（NIST）在标准和指南中概述的迁移步骤，并说明已完成的任何步骤，确定会对网络安全产生最直接影响的那些活动，并包括实施这些活动的时间表[2]。

2 主要内容

《国防部零信任参考架构》公开的非密版文件一共163页，内容相当丰富，概括起来主要有以下内容。

2.1 明确战略目的

该参考架构首先明确指出国防部下一代网络安全架构将以数据为中心，并基于零信任原则。该架构侧重于以数据为中心的设计，同时保持跨业务的松散耦合，以最大限度地提高互操作性。它特别强调零信任是一种网络安全战略和框架，将安全嵌入整个架构，以防止恶意角色访问美国国防部最重要的资产。同时指出零信任模型的基本原则是在安全边界之外或之内运行的任何参与者、系统、网络或服务都不可信。国防部采用零信任希望实现的长远目标包括：（1）使信息企业现代化，以解决机构之间的孤岛与隔阂问题；（2）简化安全体系架构；（3）制定统一策略；（4）优化数据管理操作；（5）提供动态认证和授权。

2.2 提出5大原则、7大支柱

架构提出了零信任的5个主要原则，分别是：（1）假设环境敌对；（2）假设失陷；（3）永不信任，始终验证；（4）显式验证；（5）应用统一分析。同时，它开发了支柱和能力模型，支柱是指实施零信任控制的关键重点领域；能力是指通过组合方式和方法来执行一系列活动，从而在特定标准和条件下实现预期效果的能力。该架构的7大支柱包括：（1）用户；（2）设备；（3）网络/环境；（4）应用程序和工作负载；（5）数据；（6）可见性和分析；（7）自动化和流程编排。在每个支柱下面都有对应的能力，这种分层方法允许灵活实施零信任控制。该支柱和功能实现了数据的最大可见性和保护，是零信任实施的重点。

2.3 列出适用的标准

该架构用较大的篇幅详细列出了适用于每个零信任支柱解决方案的标准。列出包括技术标准（TECH），相关法律、法规或政策（LRP）以及战术、技术和程序（TTP）共计63个标准规范清单，其中技术标准占据绝大多数。不仅如此，架构还详细说明了与7大零信任支柱功能相对应的具体技术相关标准、操作标准或业务标准和惯例的应用现状，并注明了标准是属于“新兴”“强制”“退役”还是“积极”状态。

2.4 开发能力视图和操作活动模型

该架构最大的看点和贡献就是在第4部分内容，它开发了相关能力的视图结构，描述了各种规划的能力之间的依赖关系，同时还从逻辑上对各项能力进行了分类。架构描述了各项能力与支持这些能力的操作活动之间的映射关系、各项功能与支持这些功能的业务之间的映射关系，从而确保业务与所需功能相匹配；描述了操作资源流。它开发的操作活动模型描述了在实现任务或目标的过程中进行的通用操作，并详细描述了简化认证请求、设备合规性、用户分析、数据权限管理（DRM）、宏观分段、微观分段、特权访问、应用程序交付等内容。

3 特点分析

美国国防部出台的《国防部零信任参考架构》在权威性、继承性和可操作性方面都具有鲜明特点。

3.1 该架构在美国国防部零信任架构的实施上具有相当的权威性

该架构由美军权威部门牵头制定，内容涵盖战略目的、原则、相关技术标准、法律、法规或政策、战术、技术和程序、各项能力、业务、操作活动以及它们之间的各种映射关系，并对该参考体系结构中使用的与解决方案体系结构相关的缩略语、术语和架构元素提供了统一的定义，包括各项实施策略、国防部相关业务、7大支柱及对应能力等。其严格遵循《国防部网络战略》《国防部数字现代化战略》《国防部数据战略》以及《国防部人工智能战略》的愿景，与NIST SP 800-207《零信任架构》《国防部信息企业架构（IEA）》《网络安全参考架构（CSRA）》以及《身份、证书和访问管理参考设计（ICAM RD）》等保持一致性，可指导和约束多种架构和解决方案的实例化。该架构内容全面清晰，并且将随着需求、技术和最佳实践的发展和成熟而发展，将不断融入行业最佳实践、工具和方法。

3.2 该架构是对其他相关架构体系的一种继承和发展

该架构与其他相关架构体系既密切相关又各有侧重。这些架构体系主要包括国防部发布的《网络安全参考体系架构（CSRA）》和《身份、证书和访问管理参考设计（ICAM RD》），以及NIST发布的特别出版物800-207《零信任架构》。

CSRA描述了成功运行和防御国防部信息网络（DoDIN）所需的能力、服务、活动、原则、功能和技术基础设施，并为其实现提供了一个架构参考框架，但是目前没有包含零信任。因此，该架构将作为《国防部CSRA零信任补遗》的权威参考，它主要围绕身份、自动化和数据安全等方面阐述关键安全事项，而CSRA将阐述更高级的安全和工程概念。

国防部发布的《身份、证书和访问管理参考设计（ICAM RD）》是从能力角度提供ICAM的高级描述，其中包括根据《国防部数字现代化战略》的ICAM转型目标，但它没有强制特定的技术、流程或程序。而《国防部零信任参考架构》利用来自ICAM RD的概念和词汇，提供了一种统一的方法来实施零信任架构。该架构没有包括对ICAM使用案例的详尽参考，但它认可其中关于零信任的关键概念。ICAM RD参考资料包含在整个架构中，但是更深入的ICAM特定用例仅在ICAM RD可用。

NIST特别出版物800-207《零信任架构》包含零信任架构的抽象定义，并提供了零信任可以改善企业整体信息技术安全状况的一般部署模型和使用案例。该架构利用了NIST标准中的概念和词汇，提供了一种统一的方法来实施零信任架构。NIST SP 800-207的参考资料包含在整个该架构中。

3.3 该架构为国防部各机构的零信任解决方案提供了高度的可操作性

该架构不仅为整个国防部的任务所有者提供了一个最终愿景和框架，它还希望向国防部信息网络（DoDIN）上的所有机构推出一套可使用的企业零信任功能，每个功能都由可测量、可重复、可支持和可扩展的标准、设备和流程组成，并在DoDIN上进行联合。该架构既开发了愿景和高层目标，又开发了能力分类法以及顶层可操作概念等，其要求企业根据用户的风险利用微细分来确定是否授予用户、机器或应用程序访问企业的一部分权限，要求利用多因素身份验证、ICAM、编排、分析、评分和文件系统权限等技术来实现零信任；该架构还展示了国防部零信任架构的整体运行流程，将国防部零信任实现划分了基线、中级、高级3个阶段。该架构对于零信任的工程化落地实现具有现实指导意义。

4 几点认识

国防部初始零信任架构的落地，代表着美国国防部网络架构的全面转变。有以下几点认识。

4.1 美军方和政府对零信任架构的推行已达成全面共识

这份国防部初始零信任架构以及国家安全局于2021年2月发布的《拥抱零信任安全模型》，再结合2021年5月12日拜登发布的加强国家网络安全行政命令可以看出，美国军方和政府在推行零信任架构这一点上已达成多方共识，美军正在按计划有条不紊地实现2021年全面推行零信任架构这一国防部的重要目标。未来还需要密切关注美军网络在实施零信任架构上的具体措施、典型应用等问题。

4.2 美军推动零信任的一大前提是持续并强制使用通信加密

从该架构内容可以看到，美国国防部推动零信任的一大前提是最大限度地持续并强制使用通信加密，从而最大程度地保护机密性和完整性，并提供源认证。这是国防部零信任投资的规划、风险评估和论证的核心前提之一。

4.3 美军将探索涉密网和非密网统一的零信任架构

尽管在这份初始零信任架构上没有涉及这个问题，但是在国家安全局指南中以及之前国防创新委员会的建议中，都可以看出美军对零信任架构安全性和先进性极其认可，未来将探索涉密网（SIPRNet）和非密网（NIPRNet）统一零信任架构，依靠零信任原则来保护访问，并将用户许可级别作为访问的核心属性。未来美军如何基于零信任实现两网融合，值得密切跟踪。

4.4 美军零信任架构的实施仍面临众多技术层面的挑战

当然，这份国防部初始零信任架构还有众多实施层面的潜在技术挑战没有具体涉及。比如，在新的零信任环境下，如何重新搭建一个高性能、可横向扩展的权限引擎，处理更复杂、更细粒度的访问策略，包括国防部统一的身份管理目录、密钥管理系统（KMS）（或公钥基础设施PKI）、风险评估、安全信息及事件管理（SIEM）与日志审计等环节都必须利用更成熟的技术、更先进的科技、更安全的算法，突破旧的安全瓶颈，才能将国防部网络的安全水平提升到全新的级别。为了应对实施零信任解决方案的潜在挑战，美军未来还将发布额外的指南，值得进一步关注。

5 结 语

目前，美国国防部已将“零信任”视作提升美国军事网络整体安全性，以及推进“联合全域指挥与控制”（JADC2）概念发展的关键技术实现手段。在过去2年里，美国国防部推出了几个测试零信任概念的试点项目，这份国防部初始零信任架构指南的出台必将加速推进美军向零信任网络安全转型。