美国国家安全局发布网络基础设施安全指南

2022-03-14 11:03:58 admin

2022年3月1日,美国国家安全局(NSA)发布了一份《网络基础设施安全指南》技术报告。这份网络安全技术报告旨在向所有组织提供最新的保护IT网络基础设施应对网络攻击的建议,建议侧重于防止现有网络常见漏洞和弱点的设计和配置,用于指导网络架构师和管理员建立网络的最佳实践。该报告由NSA网络安全局编写。

一发布背景

此前,NSA曾被指出没有相关网络安全机构,原因在于几乎从未公开发表相关信息。在经历了一系列来自某些国家的高调黑客攻击和违规行为后,该机构认为必须提升相关安全技能,并且同时设立相关组织来帮助某些私营部门。

2019年,NSA成立了网络安全局,负责预防和消除对美国国家安全系统(NSS)和关键基础设施的威胁,最初的重点是国防工业基地及其服务提供商。随后,网络安全局利用NSA丰富的信息保障遗产,重新调整了工作重点,以满足当前和未来的需求。它将NSA网络安全任务的关键部分,如威胁情报、脆弱性分析、密码技术和防御行动进行了整合,更加公开透明,旨在提高整个政府和行业的网络安全门槛,同时增加美国对手的代价。

网络安全局自2019年成立以来,已经发布了50多份网络安全报告。特别地,网络安全局利用NSA卓越的技术能力,针对不断演变的网络安全威胁制定的建议和缓解措施是其中的重要组成。《网络基础设施安全指南》技术报告,正是网络安全局针对国家安全系统、国防部信息系统和国防工业基地的威胁,制定和发布的相关网络安全规范和缓解措施之一,用于指导网络架构师和管理员建立网络的最佳实践。

二主要内容

该技术报告介绍了总体网络安全和保护单个网络设备的最佳做法,并指导管理员阻止对手利用其网络。该指南是通用的,可以应用于多种类型的网络设备。它提供的建议涵盖网络设计、设备密码和密码管理、远程登录、安全更新、密钥交换算法等等。概括起来,有以下主要内容:

1.网络体系架构与设计采用多层防御

报告认为,实现多层防御的安全网络设计对于抵御威胁和保护网络中的资源至关重要。无论网络外设还是内部设备,其设计均应该遵循安全最佳实践和典型零信任原则。对此,报告建议:(1)在网络周边配置和安装安全设备;(2)将网络中的类似系统逻辑组合在一起,以防止其他类型系统的对抗性横向移动;(3)取消所有后门网络连接,并在使用多个网络接口连接设备时谨慎使用;(4)采用严格的外设访问控制策略;(5)实现网络访问控制(NAC)解决方案,以识别和验证连接到网络的唯一设备;(6)限制和加密虚拟专用网(VPN)。

2.定期进行安全维护

报告认为,过时的硬件和软件可能包含已知的漏洞,并为对手利用网络提供了一种简单的机制。通过定期将硬件和软件升级到供应商支持的更新版本,可以缓解这些漏洞。对此,报告建议:(1)验证软件和配置的完整性;(2)维护正确的文件系统和引导管理;(3)维护软件和操作系统的及时升级更新;(4)对开发商提供的过时或不受支持的硬件设备应立即升级或更换,以确保网络服务和安全支持的可用性。

3.采用认证、授权和审计来实施访问控制并减少维护

报告认为,集中式认证、授权和审计(AAA)服务器可提高访问控制的一致性,减少配置维护,降低管理成本。对此,报告建议:(1)实现集中式服务器;(2)配置集中式的认证、授权和审计(AAA);(3)运用最小特权原则;(4)限制身份验证尝试的次数。

4.创建具有复杂口令的唯一本地账户

报告认为,本地账户对于网络设备的管理至关重要。对此,报告建议:(1)使用唯一的用户名和账户设置;(2)更改默认口令;(3)删除不必要的账户;(4)采用个人账户;(5)使用最安全的算法存储设备上的所有口令;(6)为所有级别的访问(包括用户访问和特权级别访问)分配唯一和复杂的口令;(7)为每个设备上的每个账户和特权级别分配唯一、复杂和安全口令;(8)根据需要更改口令。

5.实施远程记录和监控

报告认为,日志记录是记录设备活动和跟踪网络安全事件的重要机制,为管理员提供了检查可疑活动日志和调查事件的能力。对此,报告建议:启用日志,至少建立两个远程集中日志服务器,以确保设备日志消息的监视、冗余和可用性;将每个设备上的陷阱和缓冲区日志级别至少设置系统日志的“信息”级别,以收集所有必要的信息;每个设备和远程日志服务器至少使用两个可信赖和可靠的时间服务器,以确保信息的准确性和可用性,等等。

6.实施远程管理和网络业务

报告认为,管理员可通过SSH、HTTP、SNMP和FTP等各种业务对网络设备实施远程管理,而这些业务也是对手利用和获得对设备的特权级别访问的攻击目标。为此,报告建议:使用加密业务保护网络通信,并禁用所有明文管理业务;确保足够的加密强度;使用最新版本的协议,并适当启用安全设置;限制对业务的访问;设置可接受的超时时间;使传输控制协议保持可用状态;禁用出站连接;禁用每个设备上的所有不必要的业务,禁用特定接口上的发现协议,等等。

7.配置网络应用路由器以对抗恶意滥用

报告认为,如果路由器本身或动态选路协议配置不当,则可能让对手将数据包重定向到不同的目的地,从而使敏感数据被收集、操纵或丢弃,这将违反机密性、完整性或可用性。对此,报告建议:禁用所有设备上的IP源路由;在外围路由器的外部接口上启用单播反向路径转发(URPF);启用路由认证,等等。

8.正确配置接口端口

报告认为,正确配置的接口端口可以防止对手对网络实施攻击尝试。对此,报告建议:禁用动态中继;启用端口安全;禁用默认VLAN ;禁用未使用的端口;禁用端口监视;禁用代理地址解析协议(ARP),等等。

三几点分析

该技术报告有以下几个特点:

1.建议详尽且具有可操作性

该份技术报告从多个不同维度对网络架构师和管理员给出指导,每个维度下均有具体的细分建议。本报告中的指导建议对于客户评估其网络和即时加固网络设备,无论是从深度和广度上均具有充分性。管理员除了必要的维护功能外,还在防御网络对抗敌对威胁方面发挥着关键作用。遵循这一指导意见将有助于这些网络维护者将网络安全最佳做法付诸行动,降低受到损害的风险,并确保网络更加安全和得到更好的保护。这些建议是NSA网络专家对于网络设计配置给出的最佳实践指南,具有很强的可操作性。

2.支持零信任模式

该报告同时提到了零信任架构,这是一种假设网络内外都存在威胁并持续验证用户、设备和数据的安全模型。利用零信任原则,系统管理员可以控制用户、进程和设备如何使用数据。这些原则可以防止滥用受损的用户凭据、远程利用或内部威胁,甚至可以减轻供应链攻击的影响。白宫的指导规定,所有联邦机构都必须采用这种安全模式,并将其放在首位。NSA表示完全支持零信任安全模式,但随着系统所有者引入新的网络设计以实现更成熟的零信任原则,报告中的指导可能需要修改。

3.与相关技术指南和管理政策保持高度一致性

该份技术报告里面涉及的相关内容与CISA 2022年发布的“通过分段分层网络安全”、NSA 2019年发布的“分部网络和部署应用程序感知防御”、NSA 2021年发布的“选择和强化远程访问VPN解决方案”、NSA 2020年发布的“配置IPsec虚拟专用网络”、NSA 2019年发布的“缓解最近VPN漏洞”、管理和预算办公室2021年发布的“提高联邦政府对网络安全事件的调查和补救能力”等技术指南具有相关继承性;同时,该技术报告遵循了拜登政府2021年发布的行政命令14028“改善国家的网络安全”、DISA和NSA 2021年发布的“国防部零信任参考体系架构”以及NSA 2021年发布的“拥抱零信任安全模式”等相关政策和战略思想。可以看出,NSA在制定和实施改善国家网络安全的行政命令方面发挥了重要作用。

四结 语

目前,NSA已经转型为网络安全界的一个开放型领导机构。2021年,NSA发起了多个合作论坛,在非密、秘密和绝密级别与NSS、关键基础设施和重要资源机构分享威胁、脆弱性和缓解措施。

在过去一年中,针对对手当前使用的战术和技术,NSA总共发布了23份报告,其中有12份报告是与一个或多个合作伙伴共同完成。通过与美国政府和私营部门的合作,NSA和合作伙伴能够分享更全面的威胁理解和最顶层的防御行动。2022年,NSA已发布了多份报告及技术指南,《网络基础设施安全指南》是其中一份建议;未来,NSA将会发布更多的指南、实践与政策,值得持续关注。