海外研究｜透視美軍“雷霆穹頂”零信任項目

編者薦語

本文深入剖析了美軍在SolarWinds和MOVEit等網絡安全事件后的緊急應對，聚焦其加速推進的零信任架構建設。特別是，通過“雷霆穹頂”項目這一實踐案例，詳盡展示了美軍零信任戰略的實施背景、目標進展及技術要點。

鞠佳洋 , 蔣莉 , 張君 , 等 . 透視美軍“雷霆穹頂”零信任項目[J]. 信息安全與通信保密 ,2024(10):80-88.

摘　要

近年來，面對SolarWinds和MOVEit等重大網絡安全事件，美軍明顯加快了零信任架構的建設步伐，尤其是在美國國防信息系統局于2021年5月發布的《國防部零信任參考架構》中，提出了零信任網絡保護計劃。而“雷霆穹頂”（Thunderdome）項目正是脫胎于該架構的首批重大成果之一。基于此，首先闡述了美軍啟動“雷霆穹頂”項目的主要背景，其次介紹了該項目的具體目標和進展，并從技術層面梳理了該項目的若干要點，最后探討了美軍零信任建設工作的未來趨勢和潛在挑戰。

論文結構

0　引　言

1　項目背景

2　“雷霆穹頂”項目概況

2.1　項目目標

2.2　項目進展

2.3　項目要點

3　美軍零信任建設態勢分析

3.1　美軍開始加速向零信任安全架構遷移

3.2　美軍以商用方案推動零信任架構建設

3.3 美軍的零信任架構可能面臨兼容問題

4　結 語

0　引　言

2023年2月，美國國防信息系統局（Defense Information Systems Agency，DISA）宣布Booz Allen Hamilton公司（以下簡稱“博思艾倫公司”）完成了零信任項目“雷霆穹頂”原型設計；同年7月28日，DISA又與博思艾倫公司簽訂了金額上限為18.6億美元的“雷霆穹頂”軟硬件生產合同，該合同預計將持續至2028年 。作為DISA推出的第一種零信任體系，“雷霆穹頂” 集成了一系列現成的商用技術，意在推動美國國防部從基于邊界防護的縱深防御網絡安全架構，轉向基于身份驗證的零信任網絡安全架構。博思艾倫公司開始生產“雷霆穹頂”相關裝 備，標志著美軍的零信任建設開始從規劃階段邁入部署階段，其零信任戰略的實施工作全面提速。

1　項目背景

隨著移動辦公和遠程辦公的日益普及，位于美軍國防信息系統網絡邊界之外的用戶數量迅速增加，傳統的網絡安全技術已難以實現安全的端到端連接。美軍曾希望通過網絡安全系統“聯合區域安全堆棧”，將分散在全球的1000多個網絡入口縮減至25個左右，以集中管理的方式強化網絡安全。但美國國防部運作試驗與評測局的測試表明，“聯合區域安全堆棧”存在配置過于復雜、數據流量超出處理能力及因通信延時而效率低下等問題，這一系列問題最終迫使美國國防部于2021年停止推動“聯合區域安全堆棧”項目。

為填補“聯合區域安全堆棧”項目留下的安全空白，美軍將目光投向在商業領域嶄露頭角的零信任架構。零信任架構不再聚焦于邊界防御，而是假設對手已經入侵己方網絡，因此會不斷驗證用戶和設備身份，并根據驗證結果授予對應的訪問權限，從而極大地限制入侵者的活動范圍及其造成的損害。為推動零信任建設DISA先于2021年2月發布《國防部零信任參考結構》，又于2021年7月啟動“雷霆穹頂”項目招標 。該項目遵循零信任理念，旨在將美軍當前以網絡為中心的縱深防御模式，轉變為以數據保護為中心的新模式。該項目利用“軟件定義廣域網”技術搭建虛擬網絡，再利用虛擬網絡將安全Web網關、云訪問安全代理和“防火墻即服務”等安全功能整合到同一云平臺中，從而提供覆蓋系統、網絡、終端和用戶的一站式安全服務。

2　“雷霆穹頂”項目概況

2.1　項目目標

根據DISA于2021年9月發布的項目申請白皮書，“雷霆穹頂”項目的目標是創建、設計、開發、演示和部署一系列的工具、系統或能力。最主要的部分包括軟件定義廣域網技術、客戶邊緣安全堆棧和應用程序安全堆棧等，其中，客戶邊緣安全堆棧應設置在國防信息系統網絡的客戶邊緣入網點處，可擴展的應用程序安全堆棧則應設置在應用程序的工作負載前端。DISA將利用這些工具、系統或能力，在“涉密互聯網協議路由器網絡”和“非密互聯網協議路由器網絡”上建立基于安全邊緣的零信任網絡安全架構，從而改善美軍的網絡安全水平，提高網絡路由效率，以及簡化復雜或冗余的網絡安全架構。

2.2　項目進展

2022年1月，DISA與博思艾倫公司簽訂價值680萬美元的“雷霆穹頂”原型設計合同，要求該公司在6個月內開發出可供25個軟件定義廣域網站點和5000名用戶試用的“基本可用產品”。同時，為了更充分地進行安全測試，以及將試點范圍擴大到“涉密互聯網協議路由器網絡”，DISA將合同延期至2023年1月 ，并將試用人數調整為3處DISA場所的共5400名用戶。2023年2月，博思艾倫公司宣布完成“雷霆穹頂”原型設計，DISA等單位的約1600名用戶開始試用該架構。2023年7月，DISA宣布與博思艾倫公司簽訂金額上限為18.6億美元、包含1年基期和4年可選續約期的“雷霆穹頂”軟硬件生產合同，以便大規模部署該項目下的相關裝備。

“雷霆穹頂”項目進展如圖1所示，2024年4月，DISA宣布2023年內已將“雷霆穹頂”項目裝備部署至15處設施，并計劃于2024年內部署至其他60處設施，2025年內再部署至其他14處設施。這些裝備將優先部署至不直接參與作戰和情報工作的“第四類業務機構”，即DISA、國防合同管理局、國防后勤局和國防先進研究項目局等22家使用DoDNet（由DISA運營的國防部共用網絡）的美國國防部機構 。截至2024年4月，DISA已將大部分業務遷移至“雷霆穹頂”架構下，美國海岸警衛隊和南方司令部也已部署該項目裝備，歐洲司令部和非洲司令部則正在考慮部署 。鑒于《國防部零信任戰略》要求美國國防部在2027年前全面達到該戰略所述的“目標級零信任”水平，屆時美國國防部內的大部分機構都可能部署該項目裝備。

2.3　項目要點

“雷霆穹頂”架構如圖2所示，“雷霆穹頂”項目的突出特點，在于依托既有網絡基礎設施構建軟件定義廣域網，進而以該廣域網為基礎，構建以客戶側和程序側兩大“邊緣”為重點的云基網絡安全架構“安全訪問服務邊緣”，并計劃利用人工智能來改善該架構的數據收集、分析和處理能力。

2.3.1　以“安全訪問服務邊緣”方案集成網絡連接與網絡安全能力

“雷霆穹頂”項目以Palo Alto公司的云基安全訪問服務邊緣（Secure Access Service Edge，SASE） 方 案Prisma Access SASE為 核 心 ，融合了“身份、憑證及訪問管理”和MicrosoftDefender等美國國防部既有的部分安全功能。作為遵循零信任原則的綜合性網絡安全訪問方案Prisma Access SASE既集成了Prisma軟件定義廣域網、虛擬云數據中心和虛擬專用網絡等網絡連接技術，又集成了“防火墻即服務”、安全Web網關、數據防泄露和云訪問安全代理等網絡安全技術，實現了網絡連接技術與網絡安全技術的深度整合。借助這些技術，Prisma AccessSASE可通過“身份、憑證及訪問管理”等美國國防部身份服務來驗證用戶，并根據身份屬性、設備狀態、地理位置和使用時間等要素，授權用戶在限定條件下訪問工作所需的應用程序和資源。此外，Prisma Access SASE還可防止使用云服務或互聯網服務的用戶流量穿過美國國防部信息系統網絡，從而最大限度地減輕該網絡面臨的風險。

2.3.2　以“軟件定義廣域網”技術優化網絡路

由與流量管理“雷霆穹頂”項目采用Versa Networks公司的軟件定義廣域網技術，該技術利用美國國防部現有的路由基礎設施形成一層覆蓋網絡，從而得以在軟件層面定義和調整網絡路由，比如為本地用戶形成基準 / 次級安全策略所需的父 / 子類多租戶網絡架構等。該軟件定義廣域網技術可對特定流量進行動態微隔離、優先級排序和自動配置，其中微隔離能力是按零信任要求限制各類權限、防止用戶在內網中越權橫向移動的關鍵，優先級排序和自動配置能力則可優化網絡流量，以確保在網絡連通和網絡安全的前提下，降低網絡連接成本。除此之外，“雷霆穹頂”還將軟件定義廣域網技術與美國國防部一些現有安全系統的部分功能（包括身份、憑證及訪問管理系統，各類端點系統，安全信息與事件管理器及數據分析平臺等）相整合，以便根據這些系統提供的用戶和端點屬性及應用程序與數據標記策略，來限制相應的流量和功能。

2.3.3　以專用安全堆棧加強客戶側和程序側的網絡安全

與其他SASE方案相比，“雷霆穹頂”項目的特別之處，在于設計了客戶邊緣安全堆棧和應用程序安全堆棧，即專門面向用戶和應用程序的2種網絡安全套件。其中，“雷霆穹頂”的客戶邊緣安全堆棧也由Versa Networks公司開發，該堆棧符合《聯邦信息處理標準 140-2：加密模塊的安全要求》，適用于從非密到絕密的各類涉密環境，并可為用戶提供“下一代防火墻”、入侵防范 / 入侵檢測系統和本地零信任網絡訪問等安全服務。該客戶邊緣安全堆棧將被安裝在用戶的網絡接入點處，只有通過該堆棧驗證的用戶，才能訪問美國國防部的信息系統網絡。

“雷霆穹頂”的應用程序安全堆棧則包含了Palo Alto公司的Prisma Cloud容器安全解決方案和“下一代防火墻”解決方案，以及F5公司的Web應用程序防火墻等功能，并由Palo Alto公司的Panorama自動化安全管理解決方案進行管理。這些應用程序安全堆棧均可通過云端提供安全功能，從而大幅減輕“雷霆穹頂”的軟硬件部署負擔。此外，為簡化應用程序安全堆棧的部署流程，DISA還將提供“基礎設施即代碼”模板，以便在物理設備上自動設置虛擬機或自動執行Ansible工具 。

2.3.4　以人工智能改善多來源數據批量處理能力

截至2024年4月，“雷霆穹頂”架構尚不具備人工智能功能，但DISA正在評測由美國國防部首席數字與人工智能辦公室運營的人工智能部署與監控平臺“感知器”（Perceptor），以決定是否將其納入“雷霆穹頂”架構。“感知器”將向用戶端點及入侵防范 / 入侵檢測系統等數據來源訂閱數據，然后對收到的數據進行檢測、分析和處理。處理過的數據及其檢測分析結果將被發送給數據代理工具，再由代理工具將這些數據分發給“安全信息與事件管理”工具等應用程序，以便分析師通過這些程序獲得后續行動所需的數據。值得注意的是，“感知器”可與美國國防部各機構的系統相整合，從而使各機構既能繼續使用現有系統，又能共享基于人工智能的網絡安全服務。此外，“雷霆穹頂”還將納入保護域名系統的域生成算法，以及追蹤安全超文本傳輸協議攻擊的Sherlock算法 ，但尚不確定這些人工智能算法是否會集成到“感知器”中。

3　美軍零信任建設態勢分析

3.1　美軍開始加速向零信任安全架構遷移

近年來，美國的政府和企業多次遭遇SolarWinds和MOVEit等重大網絡攻擊事件，暴露出美國現有的網絡安全架構存在明顯短板。盡管這些事件并未直接影響到美軍，但為避免重蹈美國政府的覆轍，美軍已開始加速推進零信任架構的建設。DISA首先于2020年提出向零信任架構遷移的設想，接著在2021年5月發布《國防部零信任參考架構》，隨即于2021年7月推出“雷霆穹頂”項目。DISA起初甚至要求博思艾倫公司在短短6個月內完成項目，可見其已將零信任建設視為美軍的當務之急。在此背景下，美國國防部先于2022年1月組建“零信任資產組合管理辦公室”以協調零信任工作，后于2022年11月發布《國防部零信任戰略》，其中明確要求到2027年底，美軍的7大零信任支柱領域都應達到“目標級零信任”水平。按照這一要求，美軍各機構已在2023年10月前出臺43份零信任計劃，其中DISA更是走在各方前列，其將于2024年9月推出的云基托管平臺“奧林匹斯”（Olympus）就已采用“雷霆穹頂”架構 。這些舉措表明，美軍的零信任建設工作已全面提速，零信任架構（但未必是“雷霆穹頂”架構）在美軍中全面鋪開已是大勢所趨。

3.2　美軍以商用方案推動零信任架構建設

零信任并非美軍的獨創或專利，其主要倡導者和開發者為谷歌等商業公司，最初也只是為了滿足企業的網絡安全需求。正因如此，“雷霆穹頂”項目也存在著明顯的商業印記：該項目幾乎所有的組件和功能都由商業公司提供，其中最關鍵的安全訪問服務邊緣、軟件定義廣域網和安全堆棧等技術也并非專門的軍用設計，而是在成熟商業方案的基礎上進行定制化調整。DISA之所以敢于采用Prisma Access SASE等商用方案，是因為這些方案的保密性、可靠性和可用性已得到市場證明，同時成熟的商用方案也能大幅降低零信任工作的資金成本和人力成本。DISA作為美軍信息化改革的領頭羊，其對商用方案的信任將有助于帶動其他美軍單位也采用類似做法，從而加快整個美軍的零信任建設進程。不過如果零信任建設完全依賴商用方案，美軍對信息系統的管控力度可能有所下降，各方的責任邊界也可能變得更加模糊，客觀上加大了因企業安全意識不足而引發網絡事件的風險。

3.3　美軍的零信任架構可能面臨兼容問題

從《國防部零信任戰略》來看，盡管美國國防部打算全面推行零信任，但并未對如何建設零信任架構做出具體規定，只是要求各單位如期達到“目標級零信任”水平即可。同時，DISA也并未強制要求美軍各單位使用“雷霆穹頂”架構。就海陸空三軍而言，海軍最有可能嘗試“雷霆穹頂”架構，陸軍則在開發自己的安全訪問服務邊緣解決方案，空軍也傾向于使用已有的安全堆棧，這些分歧可能導致美軍的訪問權限與數據管理復雜化，甚至重蹈“聯合區域安全堆棧”的覆轍。更嚴重的問題在于，零信任構想與美軍近年來同樣大力推崇的“聯合全域指揮與控制”構想存在一定沖突：“聯合全域指揮與控制”要求任意傳感器都能將數據傳輸給任意火力平臺，但在混亂的戰場上，新部署的傳感器可能無法及時通過零信任架構下的多重認證，進而難以形成最佳殺傷鏈。此外，在聯合行動中，即便是美國的盟友，也不太可能將其官兵和設備的身份信息向美軍和盤托出；而若接入身份不夠明確的用戶或設備，又違背了零信任的精細化管理原則。未來若無法有效解決這些問題，零信任架構可能反而會削弱美軍的戰斗力。

4　結　語

作為DISA的首個零信任項目，“雷霆穹頂”僅用一年半時間就正式投產，這種推進速度在美軍的IT項目中并不多見。可見在網絡安全形勢日趨嚴峻的背景下，美軍正迫切希望向以數據保護為核心的零信任架構快步轉型。不過鑒于美軍各部尚無統一的零信任建設規劃，且零信任構想與“聯合全域指揮與控制”構想存在一定沖突，“雷霆穹頂”項目能否助力美軍實現零信任戰略目標還有待觀察。

作者簡介

鞠佳洋（1988—），男，學士，工程師，主要研究方向為信息安全技術檢測、通信安全保密；

蔣　莉（1986—），女，學士，助理工程師，主要研究方向為圖書情報管理、信息安全保密；

張　君（1984—），女，碩士，工程師，主要研究方向為信息安全保密；

陳　瑩（1996—），女，學士，助理工程師，主要研究方向為網絡信息安全保密；

張松巖（1997—），男，學士，助理工程師，主要研究方向為情報分析、通信保密。