美国国防部零信任实施方案：Thunderdome（雷霆穹顶）

全文约4000字 6图表 阅读约10分钟

在美国国防部旗帜鲜明地宣布零信任战略和发布零信任参考架构之后，国防部开始正式向零信任实施方案快速推进。美国国防信息系统局（DISA）提出的Thunderdome（雷霆穹顶），正式成为国防部零信任实施阶段的急先锋。

DISA已经向行业合作伙伴征集关于Thunderdome零信任实施方案的白皮书。DISA希望，通过授予25个SD-WAN站点和5000个用户的试点范围，在六个月内，为具有客户边缘安全栈和应用程序安全栈原型的SASE（安全访问服务边缘）和SD-WAN（软件定义广域网）架构，提供初始的最小可行产品（MVP）。而对这些能力的改进和运行实施，将一直计划到2025年。

另一方面，国防部首席信息官在2021年夏天已经决定取消JRSS（联合区域安全栈）计划，并寻找替代计划。而在2021年10月召开的2021年度TechNet Cyber会议，进一步明确将Thunderdome作为JRSS的替代方案。

简而言之，Thunderdome就是美国国防部的零信任/SASE实施原型。它的提出，实锤了三件事：一是国防部网络架构向零信任和SASE演进；二是国防部零信任工作正式进入落地试点阶段；三是以SASE架构替代JRSS中间层安全。

值得提醒的是，由于SASE的网络重构属性，Thunderdome试点或将导致对国防部信息网络的彻底重构。

关键词：RWP（白皮书请求，Request for White Paper）；DISA（国防信息系统局）；SASE（安全访问服务边缘）；JRSS（联合区域安全栈）；ICAM（身份、凭证与访问管理）

目 录

1.背景概述

2.战略定位

3.主要意图

4.技术关注度

5.技术要求

6.实施计划

01

背景概述

2020年11月，笔者曾在《美国国防部零信任的支柱》一文中，展示了美国国防部网络架构的三次演进，并指出第3次演进是2020年代的软件定义边界（SDP）。

随着时间推移，DISA（国防信息系统局）进一步强化了这种演进思路，寻求在SASE（安全访问服务边缘）安全框架下实施零信任。2021年7月，DISA在开始发布Thunderdome白皮书请求《Request for White Paper DISA-OTA-21-9-Thunderdome》，并且更新了7个版本。如下图所示：

图1-Thunderdome白皮书请求

Thunderdome项目本质上就是零信任/SASE原型项目。Thunderdome的提出，相当于实锤了国防部向SASE架构的演进趋势。

2021年1月，笔者曾在《美军网络安全 | 用零信任替代中间层安全？》一文中，说明JRSS（联合区域安全栈）是标准化的中间层安全设备。2020财年DOT&E年度报告，强烈地期待零信任架构能够替代JRSS，承担起国防部网络的中间层安全的重任。

2021年10月，美国武装部队通信与电子协会（AFCEA）举办了2021年度TechNet Cyber会议。会上进一步明确，国防部决定逐步淘汰JRSS，并考虑将Thunderdome作为JRSS的替代方案。如果Thunderdome得到验证，DISA会将JRSS计划过渡到零信任架构。这也是本界TechNet Cyber大会上最令人激动的事情之一。

02

战略定位

图2-国防部零信任实施框架

笔者从上面这张图中，大致推断Thunderdome的战略定位：

• 国防部的零信任，将主要由企业级ICAM（身份、凭证与访问管理）和Thunderdome构成。ICAM是底层基础设施；Thunderdome是上层架构。
• 所有访问者，使用多因素认证（MFA）、通用访问卡（CAC）、PIV、令牌、口令等方式，通过ICAM基础设施进行认证。同时，在访问过程中，会对所有账号进行生命周期管理和审计。
• 被访问资源，分为两大类：一是本地的资源和数据；二是云中资源和数据。
• 访问过程的控制和分析手段：包括策略强制执行（PE）、微分段（MSG）、网空态势感知（CSA）。

再解释下：笔者在写本文之前，都一直难以理解Thunderdome这个名称的内在含义。直到看到这张图，才觉得Thunderdome最好被拆分为两个单词——Thunder dome，被翻译成“雷霆穹顶”比较合适，因为Thunderdome在此图中的位置正是穹顶。

03

主要意图

国防部正在计划在SASE安全框架内实施关键的零信任概念。这些是国防部的新作战能力，它将显著改善路由和安全服务。

DISA发布Thunderdome白皮书请求（RWP）的主要目的，就是着眼于零信任实施相关的原型、开发、测试活动。DISA计划采购工具/系统/能力，以在国防部的SIPRNet（机密互联网协议路由器网络）和NIPRNet（非机密IP路由器网络）上，部署具有SASE能力、集成SD-WAN技术、客户边缘安全栈、应用程序安全栈的零信任安全模型。

国防部打算通过实施本项目，充分利用商业最佳实践，建立若干工具和流程的原型。具体而言，国防部打算创建、设计、开发、演示以下安全能力的运行效用：

• SASE；
• DISN（国防信息系统网络）客户边缘PoP（存在点）的客户边缘安全栈；
• 部署在应用程序工作负载前的可扩展应用程序安全栈。

SD-WAN集成包括提供微分段和特定流量优先级排序的能力。这些能力将与现有DISA系统（如ICAM、遵从连接（C2C）、端点系统、SIEM、数据分析平台等）集成，提供条件化访问和策略，基于用户和端点属性以及基于应用程序和数据标签的策略，来限制访问功能。

04

技术关注度

DISA新任命的首席技术官（CTO）兼新兴技术办公室负责人Steve Wallace，在2021年10月Forecast to Industry（行业预测） 2021的演讲PPT中，主要展示了下面这张图：

图3-2022财年DISA技术观察名单

从上图中，笔者观察到：

• 所有被关注技术的热度/成熟度：自内向外依次降低，共分为4个环：第1环是部署环（Deploy）；第2环是原型环（Prototype）；第3环是计划环（Plan）；第4环是监视环（Monitor）。
• 第1环（部署）：包括CAIM（网络资产清单管理）、BYOAD（自带批准设备）、企业灰核（Enterprise Grey Core）；
• 第2环（原型）：包括Thunderdome、ICAM（身份、凭证和访问管理）、AI/ML（人工智能/机器学习）、SOAR（安全编排、自动化和响应）、自动化（Automation）、移动/桌面融合、涉密移动能力；
• 第3环（计划）：包括零信任（Zero Trust）、边缘计算、入侵与攻击模拟（BAS，Breach and Attack Simulation）、分布式账本（Distributed Ledgers）、反向浏览器隔离等；
• 第4环（监视）：包括加密流量分析（Encrypted Traffic Analysis）等；

可以看出，Thunderdome处于第2环（原型），而零信任（Zero Trust）处于第3环（计划）。由于Thunderdome是零信任的一个具体实现方案，所以对Thunderdome的紧迫性更高。Steve Wallace说：“能力的好坏取决于它的实施。”因此，国防部零信任能力的好坏，取决于Thunderdome的实施。

05

技术要求

在第7版Thunderdome白皮书请求（RWP）中，给出了评估供应商技术优势的标准：

A.供应商创建、设计、开发、集成SASE的方法；

B.供应商实施可由DISA作为服务提供商管理的SASE能力的方法；

C.供应商实现支持多租户（多个客户和组织）的SASE能力的方法；

D.供应商提供可部署到本地客户位置或云托管企业位置的拟议SASE解决方案的技术方法；

E.供应商在DISN POP创建、设计、开发、集成客户边缘安全栈的方法；

F.供应商在应用程序工作负载前创建、设计、开发、集成可扩展应用程序安全栈的方法和创新；

G.供应商设计、开发、集成用于防御性网络作战（DCO）和持续监控的网络态势感知（SA）工具的方法；

H.供应商获取、丰富、格式化、转换数据的方法；

I.供应商的数据持久化方法（90天热存储、180天热存储、365天冷存储）；

J.供应商查询、共享、可视化网络态势感知数据的方法；

K.供应商开发网络态势感知解决方案的方法，该解决方案在给定环境的情况下尽可能具有可移植性和云不可知性；

L.供应商采用标准化身份来验证用户和设备的方法；

M.供应商制定新的基于风险的安全策略以促进条件访问的方法；

N.供应商将访问策略与用户属性和设备加固状态相关联的方法；

O.供应商集成端点技术的方法；

P.供应商实现多种设备和来自不同地点的条件访问的方法；

Q.供应商从任何设备上的任何位置提供一致体验的方法，可针对用户设备进行优化；

R.供应商以连续、一致、低延迟的方式提供遥测（日志/事件数据）的方法；

S.供应商与安全DNS架构集成的方法；

T.供应商保护国防部免受DDoS（分布式拒绝服务攻击）的方法；

U.供应商确保DISA能够支持在NIPR和SIPR连接上从SD-WAN控制器到DISN主干的默认（静态路由）或BGP（边界网关协议）对等的方法；

V.供应商为租户客户提供服务门户的方法，提供服务状态和SLA指标，以及租户管理员管理特定于租户的网络和安全服务策略和配置的能力；

W.供应商自动化和编排网络和安全服务的设计和部署的方法，包括软件增强、更新和补丁的敏捷部署；

X.供应商提供设备清单、软件清单、配置、配置合规性、漏洞状态的方法，包括端点保护工具和功能的配置；

Y.供应商创建、设计、开发、集成SD-WAN的方法和创新，包括提供微分段、自动资源调配、流量优先级排序；

Z.供应商支持用户指定边界的SD-WAN方法，不受设施、地理、设备和作战人员移动和位置的限制：

• aa.供应商使用现有宽带能力的SD-WAN方法——无MPLS（多协议标签交换）/VLAN（虚拟局域网）；
• bb.供应商在处理之前对网络流进行身份验证的方法；
• cc.供应商在传输之前加密网络流的方法；
• dd.供应商的混合网络SD-WAN方法，其中一些流量在SD-WAN上，而其他流量在MPLS和OOT操作上；
• ee.当SLA降至用户指定级别以下时，供应商提供网络和网络路径按需可扩展的方法；
• ff.供应商监控SD-WAN并在细粒度级别提供网络流量可见性的方法；
• gg.供应商在4个NIPR站点（DISA HQ、DISA PAC、DISA EUR、JSP）实施完整解决方案的方法，每个站点估计有5000名用户；
• gg.供应商测试和实施完整Thunderdome原型的方法，应通过里程碑图进行描述，且需在授予之日起的6个月内完成。

从上面罗列的技术要求，大致可以看出，Thunderdome项目主要涉及SASE、SD-WAN、网络态势感知、客户边缘安全栈、应用程序安全栈、条件访问、自动化编排、资产/配置/漏洞、微分段、流量优先级排序等。

下图展示了部分关键技术与国防部零信任七支柱之关系：

图4-关键技术与国防部零信任七支柱之关系

以笔者的观点看：为了覆盖国防部零信任的七大支柱，上图左边罗列的关键技术都是必不可少的，因此可以视为零信任实施的最小集。

06

实施计划

如果您在过去 20 年里一直关注DISA，有一件事很清楚：DISA确实喜欢试点或概念验证（POC）。

而DISA正是将Thunderdome作为零信任的原型，以验证构成零信任架构的概念。从一定程度上看，Thunderdome试点将是对国防部信息网络的彻底重构。这项试点活动将帮助国防部理解如何在整个国防部实施这一计划。

在Thunderdome白皮书请求（RFW）的各种版本中，给出了里程牌计划。

第5版中的里程牌，如下图所示：

图5-Thunderdome里程碑（第5版）

但是，在第6版和第7版中，却删除了里程碑。如下所示：

图6-Thunderdome里程碑被删除（第7版）

尽管最新版中删除了里程碑图，但也要求白皮书提交者必须提交里程碑图。笔者推测：也许是DISA不想对供应商的时间进度控制得过度苛刻，而是多给他们一些灵活空间。

但是，白皮书请求中的里程碑，多少反映了DISA对Thunderdome的进度期待。从中可以看出：

• 里程碑划分成3个阶段（Phase），共计19个里程碑节点；
• 每个阶段（Phase）大概2个月，3个阶段总共半年时间；

Thunderdome白皮书请求（RFW）的截止日期是2021年9月3日。当前，DISA正在审查各个供应商提交的Thunderdome白皮书，计划采用三阶段评估方法，授予Thunderdome原型：

• 第一阶段-白皮书评估：按照评估标准，针对收到的白皮书进行评估，以确定最小可行产品（MVP）。
• 第二阶段-口头陈述：邀请第一阶段选定的供应商提供口头陈述，可通过视频会议或电话进行。在演示过程中，供应商应准备详细讨论其解决方案。
• 第三阶段-项目建议书申请：向第二阶段中不超过两个供应商，发出项目建议书请求（RFPP）。

除了Thunderdome计划本身，ICAM也是DISA零信任实施的关注重点。多年来国防部一直在本地运行PKI，DISA希望利用其传统PKI，在混合云环境中实现PKI现代化。DISA预计将在2022财年第二季度发布PKI现代化支持服务的提案请求，并在2023财年做出授予。作为PKI现代化的一部分，DISA新任首席技术官 Steve Wallace 表示，DISA将继续寻找新方法，来简化身份和访问管理，同时又不失安全性。

（本篇完）