2021年1月7日,據美國國防部新聞報道,在過去的10個月中,國防信息系統局(DISA)一直在致力于“基于云的互聯網隔離”(cloud-based internet isolate,CBII),該計劃將行業領先的技術與快速獲取策略結合在一起。DISA主任海軍副上尉南希?諾頓指出:事實證明,CBII可以改變國防部的局面,因為它能夠保護部門網絡免受基于Web瀏覽器的威脅,從而使它們在辦公室或在家中都更安全。她明確表示:國防部有望在2021年獲得永久的遠程辦公能力。
一
CBII被確立為美軍2022年之前的戰略技術重點
1.背景
隨著新冠肺炎疫情的流行,美國國防部大量員工不得不遠程工作。這種大規模遠程辦公為對手提供了更大的網絡攻擊機會,給美軍帶來了更加突出的網絡安全威脅問題,使得美國國防部面臨前所未有的壓力。為應對這種威脅,DISA將安全的遠程辦公功能確立為2021年計劃的首要任務,著手從技術和管理等多方面為美國國防部網絡提供更強的安全性。
近年來DISA的“雙帽”架構受到特朗普政府的挑戰,但2020年DISA依然維護了這種獨特的架構。同時,DISA的組織架構發生了調整,把多個組織從DISA中剝離,從而使得DISA更聚焦于網絡空間安全領域,更符合“The IT Combat Support Agency”的定位(如圖1)。DISA網絡安全解決方案必須緊跟快速發展且愈加復雜的網絡威脅。而隨著基于云的各種技術在國防部應用越來越廣泛,針對DOD網絡的基于瀏覽器的攻擊變化和復雜性也在持續上升,據統計,大約30%到70%的網絡攻擊來自瀏覽器。因此,在眾多新興技術中,基于云的互聯網隔離(CBII)新技術在2021-2022財年將持續獲得美軍大力推廣。
圖1 DISA聚焦領域
2.新技術路線圖
一直以來,DISA的戰略計劃是與美國國家和國防戰略保持一致的,包括國家安全戰略、國家網絡戰略、國防戰略、國防部網絡戰略和國防部數字現代化戰略,等等。總的來說,這些戰略指導了DISA戰略計劃的制定,并支持國防部的目標,即加強有助于當前和未來美國軍事優勢的網絡和系統的安全性和彈性。
DISA在其最新發布的戰略計劃第一份年度更新中(即《2019-2022財年戰略計劃》第2版),概述了國防部到2022年的愿景。考慮到COVID-19大流行的進展和重點,DISA更新了2022年之前的戰略技術重點,調整了國防部長期網絡安全和云計劃。這份最新戰略計劃的主要補充是一項新技術路線圖(如圖2所示)。
圖2 DISA2021-2022技術路線圖
這份戰略計劃的新技術路線圖概述了DISA將如何在2021和2022財年實現其目標。該路線圖側重于網絡防御、云計算和國防企業辦公解決方案(DEOS)這三大核心技術重點領域,列出了有助于其實現技術目標的重點工作內容。其中,基于云的互聯網隔離(CBII)不僅是云計算領域下三個重要性能指標之一(注:另外二個為云訪問和安全、云基礎設施),同時也出現在網絡防御領域下邊界防御工具之中,突出顯示了DISA將在 2021-2022年大力推進CBII能力的實現。
二
CBII技術能力概述
1.核心能力
CBII是一種工具,它使用了一些技術上的技巧,可實現以下三大主要功能:
(1)將互聯網瀏覽從端點移至基于云的環境:CBII旨在在國防部網絡和web瀏覽之間加入隔離區,將Web瀏覽活動從終端用戶的桌面定向到國防部信息網絡(DoDIN)以外的、基于云的遠程服務器,從而有效地在互聯網和國防部信息網絡之間造成了空隙。
(2)大大降低了網絡的風險和攻擊面:當入侵者試圖利用瀏覽活動時,潛在的惡意代碼等不會觸及國防部信息網絡,而是被隔離在云數據中心進行檢測,因此惡意代碼是在云中引爆,而不是在政府計算機上引爆,因而極大縮減了國防部信息網絡的受攻擊面。
(3)緩解互聯網接入點的擁塞:CBII技術可減輕國防部因特網接入點的負荷,與通常的Web瀏覽相比,到達用戶終端的網絡數據流量可減少約25%,對于視頻流等帶寬消耗型服務甚至可減少40%。同時,CBII還減輕了VPN網絡的負荷,使VPN的峰值負荷從94%降低到了約50%。即使有所減少,CBII用戶體驗仍保持與直接訪問瀏覽體驗相同的質量,同時可釋放帶寬用于其他任務必不可少的流量。
DISA將把“網絡帶寬節約情況”和“網絡安全威脅攔截數量”作為對“基于云的互聯網隔離”項目效果進行評估的依據。
2.代表性的商用產品
“互聯網隔離”技術頗受企業的歡迎,因為采取這種方式后,用戶從內部工作機瀏覽外部互聯網時將被“隔離”,不必擔心黑客的入侵。過去,這種隔離是通過虛擬化方式來實現的。但虛擬化成本過高,并且不能很好地進行擴展。因此,供應商正在探索新的架構來隔離網絡瀏覽活動。“瀏覽器隔離”技術在2017年就被Gartner列為十大安全技術之一,并指出這是一項新興戰略技術。
目前,“基于云的互聯網隔離”(CBII)技術已在商業市場中應用,其中,美國Menlo Security公司、By Light Professional IT Services公司、Sealing technologies公司、Symantec公司(2017年它收購了以色列初創公司FireGlass以增強其在瀏覽器隔離上的技術實力)等都推出了相關產品。目前比較具有代表性的產品是Menlo Security公司的“自適應性無客戶端渲染技術”(Adaptive Clientless Rendering,ACR),它也是美軍采購的要技術,下面簡單介紹這項技術。
(1)Menlo Security上網隔離安全方案
Menlo Security公司位于美國加州,該公司2014年11月進行了1050萬的A輪融資,2015年6月獲得2500萬美元的B輪融資。Menlo的主要產品是2015年6月推出的業內首款SaaS或本地部署虛擬機形式的隔離平臺。
先進的 Menlo Security Web Isolation 上網隔離安全方案,是設計來針對各種利用瀏覽器上網時所帶來的水坑式攻擊、有毒文件的下載、偷偷挖礦網頁、瀏覽器漏洞利用……等威脅在不改變使用者的前提下,透過 Menlo Security Isolation Platform(MSIP)隔離平臺達成防護目標。
其上網隔離技術運作原理是:Menlo Security Isolation Platform,簡稱 MSIP,采用最新的容器技術(Container),讓使用者想訪問的內容,包含各種網頁、開啟各種文件、郵件的超連結與附件,都在隔離平臺中開啟一個獨立的容器,讓這些網頁或文件中存在的主動式內容(HTML5, JavaScript, Flash, Java…等 Active Content)在容器中運行,使用者端不須安裝端點的前提下,仰賴標準的各種瀏覽器工具就可以使用,并且受到隔離的防護。
圖3 Menlo Security上網隔離安全方案
(2)關于ACR技術
Adaptive Clientless Rendering,簡稱ACR技術,是一項無須端點的內容繪制技術,只需要符合HTML5標準的瀏覽器程式,無論各種裝置(包含電腦、平板、手機……),無論各種作業系統(Windows,iOS, MaxOS,Linux,Android……等),各種瀏覽器品牌(例如, IE、Chrome、Firefox、Safari……等),都可以正確的瀏覽被隔離的資料。
當使用者開啟一個瀏覽器分頁,輸入網址準備瀏覽時,透過代理伺服器Proxy 設定(可以是Explicit Proxy,或 Transparent 透明式 Proxy),指到隔離平臺中,隔離平臺會啟動一個該連線專屬的安全容器 ,抓取并執行網頁的內容后,透過ACR技術將網頁的內容傳遞給使用者瀏覽器畫出內容,訪問完成后,該安全容器就會被丟棄并刪除資料,因此即使該網頁有被植入惡意程式,或者是含有背景挖礦的程式,也無法感染使用者桌面的瀏覽器或電腦。
利用ACR技術,可以將各種可能會造成危害的主動式內容(Active Content)進行隔離,但持續讓終端使用者有與被隔離前相同的檢視、瀏覽,以及互動的體驗。不需要為了安全而犧牲方便與改變資料使用習慣。
圖4 ACR技術
(3)Web Isolation效益
透過隔離技術,確保上網過程中,任何有可能造成威脅的物件都被隔離在平臺的安全容器中,而非傳統藉由識別已知威脅、阻擋已知威脅的防護邏輯。預期采用上網隔離安全方案后,可以滿足以下的效益:
* 移除上網的惡意程式感染風險:避免上網過程中不小心點到有問題的網頁,將所有主動式內容,包含惡意程式都隔離在安全容器平臺中,沒有機會下載到使用者的裝置中。
* 無縫的使用者體驗:Menlo的隔離技術,設計來讓終端使用者不需改變習慣,整個瀏覽網頁的操作上,與導入隔離技術前有相同的體驗。
* 較傳統虛擬桌面,只需不到1/10的資源使用:隔離平臺的設計,在所需的軟硬體資源頭投入上,相較于采用傳統的虛擬桌面(VDI技術),可以更節省,更符合經濟效益。
* 于端點不須安裝程式或瀏覽器外掛:透過Menlo,要達到安全非常的簡單,不須布署端點程式的下載、派送、安裝與管理。一切都變得很簡單。
三
CBII目前在美軍的應用進展
1.國防部的具體技術要求
2018年6月4日,DISA發布《基于云的互聯網隔離方案》信息征詢書(RFI),希望工業部門協助開發一種互聯網隔離方案,將國防部用戶的互聯網上網行為與國防部網絡相隔離,以保障國防部網絡的安全。其技術要求方案必須能夠滿足以下能力和功能要求:
(1)方案在必要時可利用多個地理位置,可包括:華納羅賓斯(喬治亞州)、哥倫布(俄亥俄州)、圣安東尼奧(德克薩斯州)、北島(加利福尼亞州)、五角大樓(華盛頓特區)、漢普頓路(弗吉尼亞州)、橫田(日本)、拉姆施坦因(德國)、斯圖加特(德國)和希凱姆(夏威夷)。
(2)方案須兼容聯邦信息處理標準(FIPS)140-2加密模塊,支持國防部公鑰基礎設施(PKI)認證,兼容國防部批準的所有瀏覽器,并使用國防部提供的用戶配置文件的目錄服務。系統可位于FedRamp II級認證數據中心。供應商可提供主機和構建“軟件即服務”(SaaS),并負責系統設置、服務器維護、中間件和操作系統支持以及托管/維護等。
(3)基于企業云的互聯網隔離能力由以下幾個方面組成:
1)將瀏覽器中用戶互聯網活動的全部或可配置部分發送至國防部信息網絡(DoDIN)以外的、基于云的供應商解決方案;
2)安全存儲和傳輸數據,在此過程中藥確保數據的機密性、完整性、可用性及來源真實性;
3)在主機處包含一種內容控制軟件;
4)可記錄所有的Web請求,可將Web請求與特定用戶綁定(從身份驗證至會話結束);
5)可允許不同的組為每個客戶端設置網絡使用閾值。如果超過帶寬閾值,則向指定的電子郵件地址自動發送電子郵件;
6)支持瀏覽器活動的不可否認性(Non-repudiation)。不可否認性是指在網絡環境中,信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為;
7)可配置用戶會話的“非活動超時”;
8)支持使用安全套接字層(SSL)3.0和傳輸層安全性(TLS)1.0-1.3的網站連接;
9)滿足多項性能標準,比如能夠近實時地提供信息,將打開客戶端到瀏覽會話開始的時間控制在5秒之內等。
2.推進部署情況
當前,CBII技術已經完成測試驗證,正處于國防部內推廣部署的階段,DISA計劃在2021財年將其擴展到整個國防部,并將其應用于電子郵件和附件。
在2021-2022年期間,DISA計劃CBII項目的用戶數量從其最初的10萬最終擴展至350萬;該機構將首先啟動其自有用戶的遷移工作,目前的計劃是在該項目進入生產階段后的第一年內完成美軍150萬用戶的遷移。
3.新型合同機制
CBII項目是DISA第一次嘗試采用“其他交易授權”(OTA)合同模式項目。2019年,DISA將其內部幾個創新職能部門進行了重組,構建了新興技術局,尋求通過新興技術局引入網絡能力、身份識別和基礎設施等領域的新興技術。為了加強與國防廠商的合作和快速引入新技術,新興技術局在國防創新合同授予機制方面設立了系統工程、技術和創新(SETI)和其他交易授權(OTA)兩種機制。SETI機制是為解決復雜IT工程和開發活動中快速引入先進技術而設置的合同機制,該合同將是否具備最先進的技術作為衡量指標,而不以價格因素作為衡量指標。OTA機制旨在鼓勵不滿足政府采辦規定要求(如與DISA合作時間低于1年或從未參與國防研究項目)的小公司能夠參與國防項目,以便DISA獲取最先進的商用技術,這些公司只需提供最少數量的原型系統即可參與合同投標。
2020年8月,DISA以1.99億美元的價格將第一份其他交易授權(OTA)生產合同授予By Light Professional IT Services,由該公司為國防信息系統局的CBII項目提供支持。By Light Professional IT Services公司作為該項目的主承包商,Menlo Security公司將負責項目解決方案的交付工作。
目前,DISA正在實施五份OTA類合同,其中基于云的互聯網隔離(CBII)和移動端點保護(Mobile Endpoint Protection)已投入生產,其他三個OTA合同處于原型開發階段,這些合同關注身份認證領域,涉及的技術包括:身份憑證和訪問管理、人工智能和機器學習、傳感器和告警網絡。
四
啟示
1.從管理上進一步規范軍隊遠程辦公網絡安全
新冠疫情的爆發,對全球各個領域均產生了深遠影響。其中,全球遠程辦公需求激增,用戶和市場規模呈爆發式增長。而遠程辦公突破了傳統網絡邊界,帶來巨大安全風險。對此,美國國防部出臺了遠程辦公政策確保安全地開展工作,白宮管理和預算辦公室發布了備忘錄支持遠程辦公安全,美國國土安全部網絡安全與基礎設施安全局發布指導文件加強網絡安全風險管理,上述機構從管理規范上為軍隊、聯邦機構、關鍵基礎設施運營商和相關企業等紛紛給出遠程辦公安全操作建議和指南,其反應敏捷度和機構間的協同行動能力值得我們借鑒。
2.從技術上保證后疫情時代大規模遠程辦公網絡安全
后疫情時代,遠程辦公網絡安全問題已經從管理政策上進行嚴格規范逐步進入到從技術手段上加以切實解決的階段。進入2021年,美軍在確保遠程辦公網絡安全這項被DISA確立的2021年首要任務上,重點圍繞其關鍵技術解決方案加快其在全軍范圍內的推進部署節奏。除了CBII技術,DISA還正在探索與商業虛擬遠程環境分離的“灰色網絡”,灰色網絡需要兩個虛擬專用網絡解決方案,其中外部VPN終止于灰色網絡,而內部VPN以備份方式繼續其灰色網絡。國防部計劃在2021年將基于Microsoft Teams的遠程工作工具商用虛擬遠程(CVR)移至永久性功能,以及增加對機密遠程技術(或至少需要具有不同密級人員可以協作的工具)的需求。除了保密的遠程辦公工具外,DISA還研究加密的流量分析,尋找異常情況以幫助更好地檢測惡意軟件,以及使用零信任安全性概念替代網絡邊界安全性的潛在方法,等等。同樣,我軍的遠程辦公需求激增,面臨的網絡攻擊威脅同樣巨大,如何解決我軍遠程辦公網絡安全問題也是擺在我們面前亟待解決的一個緊迫問題。
3.以創新影響創新
DISA在CBII項目合同簽署上首次采取的其他交易授權(OTA)模式值得關注。近年來,美軍對于一些尚未被廣泛采用的商業新興及尖端技術,使用了創新的快速開發流程來獲取,OTA方式就是其中之一。OTA合同模式可以讓原型技術得到更大的創新和更快的發展。國防部正在通過越來越多地使用OTA來加大對創新的關注,從而影響業界的創新解決方案,幫助其更快實現目標。國防部已將OTA視為其武器系統發展戰略的一個關鍵組成部分,在國防工業基地某些部門的主要武器系統開發流程的中后期,出現了向OTA的重大轉變。這種通過國防創新單元“商業解決方案入口(Commercial Solutions Opening)”來執行的機制,為美國防部采購創新產品及服務、特別是非傳統防務承包商所提供的解決方案提供了必要的政策靈活性。我軍在技術與裝備采購上雖然有其固有的特定模式,但是如何從軍隊層面來幫助工業部門加大對尖端技術的創新,加快新興技術在國防部門的部署,以自身模式的創新來影響商業技術創新,美軍的做法值得借鑒。
