什麼是可信互聯網連接 (TIC) 3.0?
概述
可信互聯網連接 (TIC) 是 2007 年啟動的一項聯邦計劃,旨在改善政府的互聯網接入點和外部網路連接。TIC 3.0 是該計劃的最新版本,它使聯邦IT現代化,並允許政府機構訪問雲服務並安全地遠端工作。
那麼,什麼是可信的互聯網連接?簡而言之,可信的互聯網連接是管理和預算辦公室授權的一部分,旨在限制政府網路上的閘道數量。TIC 要求所有聯邦互聯網流量都通過 TIC 批准的機構進行路由。
傳統上,機構依賴於基於邊界的安全解決方案。當大多數員工在週邊工作並通過數據中心訪問應用程式和數據時,這些方法(在某種程度上)有效。
人們期望 TIC 3.0 將顯著提高當今基於雲的 IT 環境中的安全性。但是,為了實現全部優勢,各機構認識到他們還必須採用零信任安全模型,以確保網路應用程式中的數據受到保護。
受信任的互聯網連接
什麼是零信任,它與 TIC 3.0 有何關係?
自 2010 年推出以來,零信任越來越成為組織的目標;TIC 3.0 是一項聯邦授權。TIC 1.0 和 TIC 2.0 幾乎完全專注於網路訪問安全。TIC 3.0 主要關注數據和用戶行為,既反映了現代威脅的演變,也反映了純網路安全固有的弱點。
根據 2020 年 8 月發布的最新 NIST 指南(零信任架構 - nist.go),零信任 (ZT) 是一組不斷發展的網路安全範式的術語,這些範式將防禦從靜態的、基於網路的邊界轉移到專注於使用者、資產和資源(如數據)。
具體而言,零信任假設沒有僅基於資產(如數據)或用戶帳戶的物理或網路位置(即局域網與互聯網)或基於資產擁有權(企業或個人擁有)授予的隱式信任。身份驗證和授權(使用者和設備)是在建立與企業資源的會話之前執行的離散功能。零信任是對企業網路趨勢的回應,這些趨勢包括遠端使用者、自帶設備 (BYOD) 以及不在企業擁有的網路邊界內的基於雲的資產。
零信任側重於保護資源(資產、服務、工作流、網路帳戶等),而不是網路元素,因為網路現在不再足以確保資源的安全狀況。下面我們概述了零信任維度,並給出了零信任可以改善企業整體資訊技術安全態勢的一般部署模型和用例。
美國國務院戰略架構師薩拉·莫斯利(Sara Mosley) 在最近的一篇文章 中表示,TIC 3.0和零信任是新安全理念的維度,這種理念因疫情而加速和凸顯。
詳細瞭解 零信任。
TIC 2.0 和 TIC 3.0 有什麼區別?
我們知道聯邦政府更新了其可信互聯網連接 (TIC) 政策,但為什麼需要進行更改,以及對 2.0 版進行了哪些改進?
TIC 1.0 和 TIC 2.0 的唯一關注點是週邊安全的一個不幸遺產是普遍存在的虛假安全感。由於高度關注將入侵者拒之門外,企業很容易受到內部威脅。安全漏洞往往在數月內未被發現。
根據網路安全和 基礎設施安全域 (CISA) 的說法,在 TIC 2.0 中,TIC 安全通過將所有傳入和傳出數據彙集到一個接入點來保護機構的邊界。在3.0中,機構可以更靈活地選擇最適合其自身網路和特定需求的安全計畫。
最新一代的可信互聯網連接(TIC 3.0)將使機構在升級其網路和數據中心基礎設施時更容易實現現代化。“TIC 3.0 提供了我們前進所需的敏捷性,”GSA 聯邦採購服務 電信服務辦公室 主任 Allen Hill 在 11 月中旬關於該機構價值 500 億美元、為期 15 年 的企業基礎設施解決方案 (EIS) 合同的公開會議上表示。
TIC的工作旨在確保聯邦網路流量的安全,始於十多年前,當時各機構通過數十個專用數據中心,安全設備和虛擬專用網路來保護流量。從那時起,聯邦機構已轉向雲技術,其更高效、可擴展和遠端數據傳輸方法使這些舊的保護措施過時。
EIS整合了軟體定義的網路服務,也極大地擴展了網路參數。他說,TIC 2.0圍繞軟體定義網路(SDN)的網路瓶頸進行了多樣化的路由,並限制了可以使用的路由。
“隨著雲成為現代化工作的關鍵,”TIC 2.0“成為一種限制,”CISA聯邦網络彈性部門網络安全保障處副處長John Simms說。Simms表示,他的機構正在研究TIC 3.0如何保護雲環境。“我們不僅要考慮網络邊界或網络流量,還要考慮應用程式本身,以及我們如何明智地採用技術來保護這些應用程式堆棧、數據和監控。”
CISA 專案經理兼高級網路安全架構師 Shawn Connelly 表示,CISA、GSA 和 首席資訊安全官 委員會正在為特定應用程式開發 TIC 3.0 試點計劃和用例。當前的用例涵蓋基礎設施即服務(IaaS)、軟體即服務(SaaS)、電子郵件即服務(EaaS)、平臺即服務以及分支機構應用程式,但根據Connelly的說法,機構可以提出更多建議。
他說:「TIC 3.0為各機構提供了空間,讓他們可以對用例進行新的解釋。CISA將在試點期間與該機構合作,制定最佳實踐,使應用程式解釋更加與供應商無關,並瞭解如何在整個聯邦政府中使用它,“Connelly說。
Connelly表示,CISA目前正在與各機構討論零信任用例和合作夥伴協作用例。
在 TIC 3.0 中,機構可以實施更接近其數據的安全措施,並建立信任區域和用例,而不是將數據重新路由到接入點進行檢查。在處理 軟體即服務 (SaaS) 技術和員工遠端工作時,這種靈活性特別有用。
TIC 3.0 認識到基於邊界的安全性已不再足夠。這在一定程度上是由於有太多的用戶或系統在邊界之外工作;此外,惡意行為者在竊取憑據和進入邊界方面變得更加熟練。
TIC 3.0 需要什麼?
TIC 3.0 包括五個安全目標,允許聯邦機構過渡到零信任模型:
-
流量管理 – 驗證受信任的 Internet 連接並確保授權活動的安全。監視誰有權訪問特定數據、授予訪問許可權的原因以及是否仍需要訪問許可權。
-
流量機密性 – 將有關正在訪問哪些數據、誰發送數據以及誰接收數據的資訊保密和安全。檢查是否只有經過授權的人員才能訪問交通數據。
-
流量完整性 – 在傳輸過程中維護數據的完整性。防止數據被更改和/或檢測到任何更改。
-
服務彈性 – 確保安全系統的持續運行。威脅在不斷增長和演變,面對新的威脅和技術,系統連續性至關重要。
-
及時有效的回應 – 當檢測到威脅時,反應時間至關重要。TIC 3.0 促進有效反應、適應未來反應、實施新政策以及在系統遭到破壞時採取新的對策。
什麼是 TIC 3.0 中的託管流量?
TIC 3.0 中的流量管理將“觀察、驗證和過濾數據連接,以與授權活動、最小許可權和默認拒絕保持一致。
有效管理流量的挑戰在於了解數據的位置以及何時何人應隨時訪問數據 - 無論是靜態的還是傳輸中的。為了獲得這些知識,各機構需要能夠對組織內外的身份形成一致、總體的看法的工具。一個有效的工具可以收集和管理身份治理數據,從而深入瞭解誰有權訪問、授予訪問許可權的原因以及是否仍然需要該訪問許可權。持續監控和更新為身份和訪問提供單一事實來源。
機構可以首先評估它們在安全矩陣中的位置,相對於 Identity and Access Management (IAM)。IAM 是一種多層模型,其中每個安全級別都為後續級別提供了基礎。
- 一級安全有四個組成部分。首先是單點登錄,也許是部門級別的某種級別的聯合。
- 第二級是以自動化、可審計的方式進行使用者配置的能力,而不是潛在使用者收到一張紙或一封電子郵件來創建使用者表單。
- 第三級是使用者自助服務 ,以確保以可審計的方式對用戶的訪問、最近的許可權、過去的使用等進行身份驗證。
- 第四級是委派管理。
如何在 TIC 3.0 中保護流量完整性?
TIC 3.0 要求只有授權方才能辨別傳輸、發送方和接收方識別和執行中的數據內容。
保護流量機密性的挑戰集中在對傳輸中的數據(包括非結構化數據)進行加密,以及確認發送方和接收方的身份。一種解決方案是將內核驅動程式嵌入到 Windows 和非 Microsoft 系統的文件系統堆疊中的技術,對最終使用者透明地運行。驅動程式攔截檔,動態加密和解密數據,並適用於所有應用程式和文件類型。
組織可以使用策略規則來確保即時自動加密數據,而不會減慢工作流。這些解決方案還支援在運行時監視數據,包括捕獲和分析文件打開的時間和地點以及檔的使用方式等資訊。
保護流量機密性涉及格式保護加密,而身份訪問管理的第二級涵蓋六種左右的功能。
- 首先是多因素身份驗證,包括在大流行期間推出的一系列新登錄功能,以應對遠端工作的增加。
- 其次是提高治理的可見性,即誰可以訪問各種資產。
- 第三種是特權訪問管理,處理系統管理員可以訪問和保護的不同級別的安全。
- 第四是使用者和功能的虛擬目錄,該目錄會定期更新,並且永遠不會一成不變。
- 第五是服務安全和變更監控,其次是數據安全和加密。
TIC 3.0 如何確保服務彈性?
隨著技術和威脅形勢的發展,服務彈性可促進彈性應用程式和安全服務,以實現持續運營。任務的有效性要求系統的連續性和可靠性。當對系統的需求激增或網路受到攻擊時,保證正常運行時間可能是一個挑戰,尤其是在IT團隊捉襟見肘的情況下。將平凡和重複的任務自動化,並添加工作流流程,可以減輕工人的負擔並保持運營運行。專用軟體能夠處理一半或更多的事件回應任務。工作流自動化和 AI 可以查詢端點、配置防火牆、隔離網路中的電腦以及鎖定用戶帳戶。
這些技術還通過收集數據來加速分析和進行補救,從而幫助人類分析師。在用例研究中,集成的人工智慧和機器學習可以將事件的調查和回應速度提高 10 倍。在威脅檢測和回應方面,每一秒都很重要。強大的 安全資訊和事件管理 (SIEM) 平臺將即時檢測、分析這些威脅並確定其優先順序。有效的平臺還支援安全運營中心 (SOC) 的工作流、回應和合規性管理。行業領先的威脅關聯引擎將促進SOC中的有效安全分析。
TIC 3.0 如何確保有效的事件回應?
TIC 3.0 促進及時反應並調整未來的回應以發現威脅;定義和實施政策;簡化新對策的採用是事件回應的關鍵目標。
如今,內部威脅主要以應用程式代碼和應用程式安全的形式存在。平均而言,政府機構使用的應用程式 80% 是自定義代碼或開原始程式碼。它們不是來自具有企業級軟體測試能力甚至責任的供應商。85%的網路事件和違規行為是自定義或開原始程式碼的結果。該代碼是安全問題的真正機會。
目前,組織通常會對需要立即關注的大量警報和威脅數據做出回應。為了管理關鍵數據的持續流動,未來的機構將利用更多機器驅動的自動化活動。邁向 TIC 3.0 的機構將受益於技術,這些技術可幫助組織擁有收集警報和威脅源的中心位置,並以機器速度回應和補救事件。
可以使用哪些工具和方法來滿足 TIC 3.0 的要求?
多重身份驗證 (MFA) 可以集中身份驗證和授權管理。通過單一解決方案簡化管理,可降低成本並增強安全性。可以利用開放標準的解決方案可以快速集成,並防止安全漏洞和供應商鎖定的風險。高級身份驗證框架的內置靈活性允許自定義安全協定和方法,並改善整體用戶體驗。
格式保留加密 (FPE) 是一種新型加密,用於對保留 NIST 標準 (SP 800-38G) 描述的原始長度和格式的純文字進行加密,並經過加密社區的廣泛審查和驗證,並確保任何洩露的數據都是無用的。這種類型的安全解決方案,例如 Voltage,可以很容易地實現到現有的應用程式。
安全編排、自動化和回應 (SOAR) 軟體可以自動執行三大類活動,這些活動傳統上都由分析師手動執行:
- 自動分類:Arcsight SOAR 可以執行自動分類,而不是第 1 層 soc 分析師查看警報並執行手動分類。這可能是運行某些檢查以消除基本的誤報,查找資產、IP 等以調整嚴重性級別,可能將多個不同的警報合併到單個事件案例中,甚至自動將票證分派給 SecOps 團隊中的正確成員或組。這種自動化的目標是隨著時間的推移盡可能地消除第 1 層工作。
- 數據收集和關聯有助於使用相關數據為事件著色,以更好地瞭解事件。 在 Active Directory 中查找使用者、檢查是否有人將其鎖屏提醒刷入建築物、收集特定電腦上所有正在運行的程式的哈希值以及從 Arcsight Logger 獲取使用者的所有 Web 瀏覽日誌,這些都是此類 SIEM 日誌管理和數據收集活動的示例。在 SOAR 術語中,這些稱為濃縮;數據,以説明更好地了解情況。一般來說,自動數據收集具有驚人的好處;一旦您在螢幕上看到事件,所有相關數據可能已經收集並在同一螢幕上顯示給您。無需去地方手動收集數據。通常ArcSight SOAR 由 OpenText™ 可以將 5,000 個警報合併為可管理的單個 250 個事件,從而在我們開始工作之前減少 SOC 分析師的工作量。
- 自動收容:您可以對基礎設施和安全設備採取措施,以遏制正在進行的攻擊;阻止防火牆上的IP、Web閘道上的URL、在 NAC 上隔離電腦都是此類操作的範例。
這些類型的自動化的強大之處在於,您可以混合和匹配所有這些類別,並根據需要構建具有完全自動化的端到端 playbook。
TIC安全將如何在政府中發展?
系統彈性和風險管理也將從 TIC 3.0 的實施中受益。
涉及零信任的用例, Internet of Things (物聯網)、機構間通信和 SaaS 都有望隨著 TIC 的不斷發展而發佈。這些用例將為機構配置符合 3.0 的平台和服務提供指導。
此外,還使用外部供應商提供的平台進行疊加,以確保TIC安全功能在各個平臺上都能充分發揮作用。
機構可以參與 TIC 試點,用於用例中尚未涵蓋的場景。這一合作過程得到了CISA和OMB等領導層的支援,可以為聯邦政府使用的技術產生新的用例。
OpenText 致力於成為企業、企業和聯邦機構數位化轉型的合作夥伴。我們開放靈活的軟體可説明公司過渡到擁抱未來技術,包括提供 TIC 3.0 服務和解決方案。了解有關的更多資訊 OpenText 政府解決方案,可説明您利用 TIC 3.0 和零信任實現網路和數據中心基礎設施的現代化和保護。
