2021年1月7日,據(jù)美國國防部新聞報道,在過去的10個月中,國防信息系統(tǒng)局(DISA)一直在致力于“基于云的互聯(lián)網(wǎng)隔離”(cloud-based internet isolate,CBII),該計劃將行業(yè)領先的技術與快速獲取策略結(jié)合在一起。DISA主任海軍副上尉南希?諾頓指出:事實證明,CBII可以改變國防部的局面,因為它能夠保護部門網(wǎng)絡免受基于Web瀏覽器的威脅,從而使它們在辦公室或在家中都更安全。她明確表示:國防部有望在2021年獲得永久的遠程辦公能力。
一
CBII被確立為美軍2022年之前的戰(zhàn)略技術重點
1.背景
隨著新冠肺炎疫情的流行,美國國防部大量員工不得不遠程工作。這種大規(guī)模遠程辦公為對手提供了更大的網(wǎng)絡攻擊機會,給美軍帶來了更加突出的網(wǎng)絡安全威脅問題,使得美國國防部面臨前所未有的壓力。為應對這種威脅,DISA將安全的遠程辦公功能確立為2021年計劃的首要任務,著手從技術和管理等多方面為美國國防部網(wǎng)絡提供更強的安全性。
近年來DISA的“雙帽”架構(gòu)受到特朗普政府的挑戰(zhàn),但2020年DISA依然維護了這種獨特的架構(gòu)。同時,DISA的組織架構(gòu)發(fā)生了調(diào)整,把多個組織從DISA中剝離,從而使得DISA更聚焦于網(wǎng)絡空間安全領域,更符合“The IT Combat Support Agency”的定位(如圖1)。DISA網(wǎng)絡安全解決方案必須緊跟快速發(fā)展且愈加復雜的網(wǎng)絡威脅。而隨著基于云的各種技術在國防部應用越來越廣泛,針對DOD網(wǎng)絡的基于瀏覽器的攻擊變化和復雜性也在持續(xù)上升,據(jù)統(tǒng)計,大約30%到70%的網(wǎng)絡攻擊來自瀏覽器。因此,在眾多新興技術中,基于云的互聯(lián)網(wǎng)隔離(CBII)新技術在2021-2022財年將持續(xù)獲得美軍大力推廣。
圖1 DISA聚焦領域
2.新技術路線圖
一直以來,DISA的戰(zhàn)略計劃是與美國國家和國防戰(zhàn)略保持一致的,包括國家安全戰(zhàn)略、國家網(wǎng)絡戰(zhàn)略、國防戰(zhàn)略、國防部網(wǎng)絡戰(zhàn)略和國防部數(shù)字現(xiàn)代化戰(zhàn)略,等等。總的來說,這些戰(zhàn)略指導了DISA戰(zhàn)略計劃的制定,并支持國防部的目標,即加強有助于當前和未來美國軍事優(yōu)勢的網(wǎng)絡和系統(tǒng)的安全性和彈性。
DISA在其最新發(fā)布的戰(zhàn)略計劃第一份年度更新中(即《2019-2022財年戰(zhàn)略計劃》第2版),概述了國防部到2022年的愿景。考慮到COVID-19大流行的進展和重點,DISA更新了2022年之前的戰(zhàn)略技術重點,調(diào)整了國防部長期網(wǎng)絡安全和云計劃。這份最新戰(zhàn)略計劃的主要補充是一項新技術路線圖(如圖2所示)。
圖2 DISA2021-2022技術路線圖
這份戰(zhàn)略計劃的新技術路線圖概述了DISA將如何在2021和2022財年實現(xiàn)其目標。該路線圖側(cè)重于網(wǎng)絡防御、云計算和國防企業(yè)辦公解決方案(DEOS)這三大核心技術重點領域,列出了有助于其實現(xiàn)技術目標的重點工作內(nèi)容。其中,基于云的互聯(lián)網(wǎng)隔離(CBII)不僅是云計算領域下三個重要性能指標之一(注:另外二個為云訪問和安全、云基礎設施),同時也出現(xiàn)在網(wǎng)絡防御領域下邊界防御工具之中,突出顯示了DISA將在 2021-2022年大力推進CBII能力的實現(xiàn)。
二
CBII技術能力概述
1.核心能力
CBII是一種工具,它使用了一些技術上的技巧,可實現(xiàn)以下三大主要功能:
(1)將互聯(lián)網(wǎng)瀏覽從端點移至基于云的環(huán)境:CBII旨在在國防部網(wǎng)絡和web瀏覽之間加入隔離區(qū),將Web瀏覽活動從終端用戶的桌面定向到國防部信息網(wǎng)絡(DoDIN)以外的、基于云的遠程服務器,從而有效地在互聯(lián)網(wǎng)和國防部信息網(wǎng)絡之間造成了空隙。
(2)大大降低了網(wǎng)絡的風險和攻擊面:當入侵者試圖利用瀏覽活動時,潛在的惡意代碼等不會觸及國防部信息網(wǎng)絡,而是被隔離在云數(shù)據(jù)中心進行檢測,因此惡意代碼是在云中引爆,而不是在政府計算機上引爆,因而極大縮減了國防部信息網(wǎng)絡的受攻擊面。
(3)緩解互聯(lián)網(wǎng)接入點的擁塞:CBII技術可減輕國防部因特網(wǎng)接入點的負荷,與通常的Web瀏覽相比,到達用戶終端的網(wǎng)絡數(shù)據(jù)流量可減少約25%,對于視頻流等帶寬消耗型服務甚至可減少40%。同時,CBII還減輕了VPN網(wǎng)絡的負荷,使VPN的峰值負荷從94%降低到了約50%。即使有所減少,CBII用戶體驗仍保持與直接訪問瀏覽體驗相同的質(zhì)量,同時可釋放帶寬用于其他任務必不可少的流量。
DISA將把“網(wǎng)絡帶寬節(jié)約情況”和“網(wǎng)絡安全威脅攔截數(shù)量”作為對“基于云的互聯(lián)網(wǎng)隔離”項目效果進行評估的依據(jù)。
2.代表性的商用產(chǎn)品
“互聯(lián)網(wǎng)隔離”技術頗受企業(yè)的歡迎,因為采取這種方式后,用戶從內(nèi)部工作機瀏覽外部互聯(lián)網(wǎng)時將被“隔離”,不必擔心黑客的入侵。過去,這種隔離是通過虛擬化方式來實現(xiàn)的。但虛擬化成本過高,并且不能很好地進行擴展。因此,供應商正在探索新的架構(gòu)來隔離網(wǎng)絡瀏覽活動。“瀏覽器隔離”技術在2017年就被Gartner列為十大安全技術之一,并指出這是一項新興戰(zhàn)略技術。
目前,“基于云的互聯(lián)網(wǎng)隔離”(CBII)技術已在商業(yè)市場中應用,其中,美國Menlo Security公司、By Light Professional IT Services公司、Sealing technologies公司、Symantec公司(2017年它收購了以色列初創(chuàng)公司FireGlass以增強其在瀏覽器隔離上的技術實力)等都推出了相關產(chǎn)品。目前比較具有代表性的產(chǎn)品是Menlo Security公司的“自適應性無客戶端渲染技術”(Adaptive Clientless Rendering,ACR),它也是美軍采購的要技術,下面簡單介紹這項技術。
(1)Menlo Security上網(wǎng)隔離安全方案
Menlo Security公司位于美國加州,該公司2014年11月進行了1050萬的A輪融資,2015年6月獲得2500萬美元的B輪融資。Menlo的主要產(chǎn)品是2015年6月推出的業(yè)內(nèi)首款SaaS或本地部署虛擬機形式的隔離平臺。
先進的 Menlo Security Web Isolation 上網(wǎng)隔離安全方案,是設計來針對各種利用瀏覽器上網(wǎng)時所帶來的水坑式攻擊、有毒文件的下載、偷偷挖礦網(wǎng)頁、瀏覽器漏洞利用……等威脅在不改變使用者的前提下,透過 Menlo Security Isolation Platform(MSIP)隔離平臺達成防護目標。
其上網(wǎng)隔離技術運作原理是:Menlo Security Isolation Platform,簡稱 MSIP,采用最新的容器技術(Container),讓使用者想訪問的內(nèi)容,包含各種網(wǎng)頁、開啟各種文件、郵件的超連結(jié)與附件,都在隔離平臺中開啟一個獨立的容器,讓這些網(wǎng)頁或文件中存在的主動式內(nèi)容(HTML5, JavaScript, Flash, Java…等 Active Content)在容器中運行,使用者端不須安裝端點的前提下,仰賴標準的各種瀏覽器工具就可以使用,并且受到隔離的防護。
圖3 Menlo Security上網(wǎng)隔離安全方案
(2)關于ACR技術
Adaptive Clientless Rendering,簡稱ACR技術,是一項無須端點的內(nèi)容繪制技術,只需要符合HTML5標準的瀏覽器程式,無論各種裝置(包含電腦、平板、手機……),無論各種作業(yè)系統(tǒng)(Windows,iOS, MaxOS,Linux,Android……等),各種瀏覽器品牌(例如, IE、Chrome、Firefox、Safari……等),都可以正確的瀏覽被隔離的資料。
當使用者開啟一個瀏覽器分頁,輸入網(wǎng)址準備瀏覽時,透過代理伺服器Proxy 設定(可以是Explicit Proxy,或 Transparent 透明式 Proxy),指到隔離平臺中,隔離平臺會啟動一個該連線專屬的安全容器 ,抓取并執(zhí)行網(wǎng)頁的內(nèi)容后,透過ACR技術將網(wǎng)頁的內(nèi)容傳遞給使用者瀏覽器畫出內(nèi)容,訪問完成后,該安全容器就會被丟棄并刪除資料,因此即使該網(wǎng)頁有被植入惡意程式,或者是含有背景挖礦的程式,也無法感染使用者桌面的瀏覽器或電腦。
利用ACR技術,可以將各種可能會造成危害的主動式內(nèi)容(Active Content)進行隔離,但持續(xù)讓終端使用者有與被隔離前相同的檢視、瀏覽,以及互動的體驗。不需要為了安全而犧牲方便與改變資料使用習慣。
圖4 ACR技術
(3)Web Isolation效益
透過隔離技術,確保上網(wǎng)過程中,任何有可能造成威脅的物件都被隔離在平臺的安全容器中,而非傳統(tǒng)藉由識別已知威脅、阻擋已知威脅的防護邏輯。預期采用上網(wǎng)隔離安全方案后,可以滿足以下的效益:
* 移除上網(wǎng)的惡意程式感染風險:避免上網(wǎng)過程中不小心點到有問題的網(wǎng)頁,將所有主動式內(nèi)容,包含惡意程式都隔離在安全容器平臺中,沒有機會下載到使用者的裝置中。
* 無縫的使用者體驗:Menlo的隔離技術,設計來讓終端使用者不需改變習慣,整個瀏覽網(wǎng)頁的操作上,與導入隔離技術前有相同的體驗。
* 較傳統(tǒng)虛擬桌面,只需不到1/10的資源使用:隔離平臺的設計,在所需的軟硬體資源頭投入上,相較于采用傳統(tǒng)的虛擬桌面(VDI技術),可以更節(jié)省,更符合經(jīng)濟效益。
* 于端點不須安裝程式或瀏覽器外掛:透過Menlo,要達到安全非常的簡單,不須布署端點程式的下載、派送、安裝與管理。一切都變得很簡單。
三
CBII目前在美軍的應用進展
1.國防部的具體技術要求
2018年6月4日,DISA發(fā)布《基于云的互聯(lián)網(wǎng)隔離方案》信息征詢書(RFI),希望工業(yè)部門協(xié)助開發(fā)一種互聯(lián)網(wǎng)隔離方案,將國防部用戶的互聯(lián)網(wǎng)上網(wǎng)行為與國防部網(wǎng)絡相隔離,以保障國防部網(wǎng)絡的安全。其技術要求方案必須能夠滿足以下能力和功能要求:
(1)方案在必要時可利用多個地理位置,可包括:華納羅賓斯(喬治亞州)、哥倫布(俄亥俄州)、圣安東尼奧(德克薩斯州)、北島(加利福尼亞州)、五角大樓(華盛頓特區(qū))、漢普頓路(弗吉尼亞州)、橫田(日本)、拉姆施坦因(德國)、斯圖加特(德國)和希凱姆(夏威夷)。
(2)方案須兼容聯(lián)邦信息處理標準(FIPS)140-2加密模塊,支持國防部公鑰基礎設施(PKI)認證,兼容國防部批準的所有瀏覽器,并使用國防部提供的用戶配置文件的目錄服務。系統(tǒng)可位于FedRamp II級認證數(shù)據(jù)中心。供應商可提供主機和構(gòu)建“軟件即服務”(SaaS),并負責系統(tǒng)設置、服務器維護、中間件和操作系統(tǒng)支持以及托管/維護等。
(3)基于企業(yè)云的互聯(lián)網(wǎng)隔離能力由以下幾個方面組成:
1)將瀏覽器中用戶互聯(lián)網(wǎng)活動的全部或可配置部分發(fā)送至國防部信息網(wǎng)絡(DoDIN)以外的、基于云的供應商解決方案;
2)安全存儲和傳輸數(shù)據(jù),在此過程中藥確保數(shù)據(jù)的機密性、完整性、可用性及來源真實性;
3)在主機處包含一種內(nèi)容控制軟件;
4)可記錄所有的Web請求,可將Web請求與特定用戶綁定(從身份驗證至會話結(jié)束);
5)可允許不同的組為每個客戶端設置網(wǎng)絡使用閾值。如果超過帶寬閾值,則向指定的電子郵件地址自動發(fā)送電子郵件;
6)支持瀏覽器活動的不可否認性(Non-repudiation)。不可否認性是指在網(wǎng)絡環(huán)境中,信息交換的雙方不能否認其在交換過程中發(fā)送信息或接收信息的行為;
7)可配置用戶會話的“非活動超時”;
8)支持使用安全套接字層(SSL)3.0和傳輸層安全性(TLS)1.0-1.3的網(wǎng)站連接;
9)滿足多項性能標準,比如能夠近實時地提供信息,將打開客戶端到瀏覽會話開始的時間控制在5秒之內(nèi)等。
2.推進部署情況
當前,CBII技術已經(jīng)完成測試驗證,正處于國防部內(nèi)推廣部署的階段,DISA計劃在2021財年將其擴展到整個國防部,并將其應用于電子郵件和附件。
在2021-2022年期間,DISA計劃CBII項目的用戶數(shù)量從其最初的10萬最終擴展至350萬;該機構(gòu)將首先啟動其自有用戶的遷移工作,目前的計劃是在該項目進入生產(chǎn)階段后的第一年內(nèi)完成美軍150萬用戶的遷移。
3.新型合同機制
CBII項目是DISA第一次嘗試采用“其他交易授權(quán)”(OTA)合同模式項目。2019年,DISA將其內(nèi)部幾個創(chuàng)新職能部門進行了重組,構(gòu)建了新興技術局,尋求通過新興技術局引入網(wǎng)絡能力、身份識別和基礎設施等領域的新興技術。為了加強與國防廠商的合作和快速引入新技術,新興技術局在國防創(chuàng)新合同授予機制方面設立了系統(tǒng)工程、技術和創(chuàng)新(SETI)和其他交易授權(quán)(OTA)兩種機制。SETI機制是為解決復雜IT工程和開發(fā)活動中快速引入先進技術而設置的合同機制,該合同將是否具備最先進的技術作為衡量指標,而不以價格因素作為衡量指標。OTA機制旨在鼓勵不滿足政府采辦規(guī)定要求(如與DISA合作時間低于1年或從未參與國防研究項目)的小公司能夠參與國防項目,以便DISA獲取最先進的商用技術,這些公司只需提供最少數(shù)量的原型系統(tǒng)即可參與合同投標。
2020年8月,DISA以1.99億美元的價格將第一份其他交易授權(quán)(OTA)生產(chǎn)合同授予By Light Professional IT Services,由該公司為國防信息系統(tǒng)局的CBII項目提供支持。By Light Professional IT Services公司作為該項目的主承包商,Menlo Security公司將負責項目解決方案的交付工作。
目前,DISA正在實施五份OTA類合同,其中基于云的互聯(lián)網(wǎng)隔離(CBII)和移動端點保護(Mobile Endpoint Protection)已投入生產(chǎn),其他三個OTA合同處于原型開發(fā)階段,這些合同關注身份認證領域,涉及的技術包括:身份憑證和訪問管理、人工智能和機器學習、傳感器和告警網(wǎng)絡。
四
啟示
1.從管理上進一步規(guī)范軍隊遠程辦公網(wǎng)絡安全
新冠疫情的爆發(fā),對全球各個領域均產(chǎn)生了深遠影響。其中,全球遠程辦公需求激增,用戶和市場規(guī)模呈爆發(fā)式增長。而遠程辦公突破了傳統(tǒng)網(wǎng)絡邊界,帶來巨大安全風險。對此,美國國防部出臺了遠程辦公政策確保安全地開展工作,白宮管理和預算辦公室發(fā)布了備忘錄支持遠程辦公安全,美國國土安全部網(wǎng)絡安全與基礎設施安全局發(fā)布指導文件加強網(wǎng)絡安全風險管理,上述機構(gòu)從管理規(guī)范上為軍隊、聯(lián)邦機構(gòu)、關鍵基礎設施運營商和相關企業(yè)等紛紛給出遠程辦公安全操作建議和指南,其反應敏捷度和機構(gòu)間的協(xié)同行動能力值得我們借鑒。
2.從技術上保證后疫情時代大規(guī)模遠程辦公網(wǎng)絡安全
后疫情時代,遠程辦公網(wǎng)絡安全問題已經(jīng)從管理政策上進行嚴格規(guī)范逐步進入到從技術手段上加以切實解決的階段。進入2021年,美軍在確保遠程辦公網(wǎng)絡安全這項被DISA確立的2021年首要任務上,重點圍繞其關鍵技術解決方案加快其在全軍范圍內(nèi)的推進部署節(jié)奏。除了CBII技術,DISA還正在探索與商業(yè)虛擬遠程環(huán)境分離的“灰色網(wǎng)絡”,灰色網(wǎng)絡需要兩個虛擬專用網(wǎng)絡解決方案,其中外部VPN終止于灰色網(wǎng)絡,而內(nèi)部VPN以備份方式繼續(xù)其灰色網(wǎng)絡。國防部計劃在2021年將基于Microsoft Teams的遠程工作工具商用虛擬遠程(CVR)移至永久性功能,以及增加對機密遠程技術(或至少需要具有不同密級人員可以協(xié)作的工具)的需求。除了保密的遠程辦公工具外,DISA還研究加密的流量分析,尋找異常情況以幫助更好地檢測惡意軟件,以及使用零信任安全性概念替代網(wǎng)絡邊界安全性的潛在方法,等等。同樣,我軍的遠程辦公需求激增,面臨的網(wǎng)絡攻擊威脅同樣巨大,如何解決我軍遠程辦公網(wǎng)絡安全問題也是擺在我們面前亟待解決的一個緊迫問題。
3.以創(chuàng)新影響創(chuàng)新
DISA在CBII項目合同簽署上首次采取的其他交易授權(quán)(OTA)模式值得關注。近年來,美軍對于一些尚未被廣泛采用的商業(yè)新興及尖端技術,使用了創(chuàng)新的快速開發(fā)流程來獲取,OTA方式就是其中之一。OTA合同模式可以讓原型技術得到更大的創(chuàng)新和更快的發(fā)展。國防部正在通過越來越多地使用OTA來加大對創(chuàng)新的關注,從而影響業(yè)界的創(chuàng)新解決方案,幫助其更快實現(xiàn)目標。國防部已將OTA視為其武器系統(tǒng)發(fā)展戰(zhàn)略的一個關鍵組成部分,在國防工業(yè)基地某些部門的主要武器系統(tǒng)開發(fā)流程的中后期,出現(xiàn)了向OTA的重大轉(zhuǎn)變。這種通過國防創(chuàng)新單元“商業(yè)解決方案入口(Commercial Solutions Opening)”來執(zhí)行的機制,為美國防部采購創(chuàng)新產(chǎn)品及服務、特別是非傳統(tǒng)防務承包商所提供的解決方案提供了必要的政策靈活性。我軍在技術與裝備采購上雖然有其固有的特定模式,但是如何從軍隊層面來幫助工業(yè)部門加大對尖端技術的創(chuàng)新,加快新興技術在國防部門的部署,以自身模式的創(chuàng)新來影響商業(yè)技術創(chuàng)新,美軍的做法值得借鑒。
