从美军联合区域安全栈看网络安全能力建设发展

发布时间 2018-07-06

联合区域安全栈(Joint Region Security Stack,JRSS)是新形势下美军网络安全体系建设的一种新模式,主要是集成利用市场成熟安全产品,以确定的编配模型构建集约化、标准化、全功能的安全防御框架,部署在各业务局和军事基地边界处,对进出特定区域的网络流量进行编排、监测和防御,在降低人力和技术等总投入成本的情况下,提高美军网络整体防御效能。
 



 

一、建设背景


采用JRSS模式是美军安全体系建设的必然要求。近年来美军为提高军事网络效能和安全性,大力推广联合信息环境(Joint Information Environment, JIE)以整合全军信息基础设施,其实质是利用共享的基础设施,提供集约化企业服务,在统一安全架构保障下,达成战场信息优势。由于采用了有中心的信息服务架构,其安全体系必然随之适应而调整为高度集成的安全架构。

 

采用JRSS模式是美军安全体系建设的无奈选择。美军传统采用的网络安全体系,不论是信息保障(Information Assurance, IA),还是计算机网络防御(Computer Network Defense, CND),都从顶层较为“完美”地规范了全军安全系统建设,但由于体系能力形成需要依托装备建设,而装备建设一旦型号多、规模大、范围广、经费有限、人员不足,又涉及多个职能部门,往往会面临较大的不确定性,很难取得预期结果,从而导致安全短板效应。JRSS建设模式能够集中有限的人力和技术资源,面向重点对象开展针对性防御,极大降低系统建设运营的复杂程度和成本。

 

采用JRSS模式开展网络安全体系建设,能够获得多个方面的收益:

 

■ 缩小攻击面。从原来1000多个分散的国防部核心网接入点收缩为45个,集中防护资源把住关键节点,以提高恶意攻击者成本。

 

■ 集中安全管理运营。在每个JRSS配置全面的安全监测、安全管理等技术手段,结合安全专业力量全时段现场运营,构建网络态势感知和IT服务管理等能力。

 

■ 安全体系标准化。全球共建设45个JRSS,由20个非密网(NIPRNET)栈和25保密网(SIPRNET)栈构成,具备防御、监测、管理等全量安全功能,以标准化装备配置和运用模式,灵活快速交付部署。

 

■ 联合同步防御。多个JRSS之间可实现协同联动,能够在指挥链的统筹下,共享安全情报和知识库,协同执行防御任务,大幅度提升网络协同防御能力。


二、安全栈构成


美军从2014年开始正式建设JRSS,中间历经1.0、1.5和2.0三个版本,预计2019年全部完成。从功能演进上看,JRSS1.0包括MPLS、负载均衡、流量分配、多租户管理、防火墙、IPS、IDS、日志/告警、安全认证、IT服务管理和日志分析存储等功能;JRSS1.5在1.0的基础上,增加了全包检测、身份管理、备份恢复、性能管理、事件管理、虚拟桌面架构和安全访问网关等功能;JRSS2.0在1.5的基础上,增加了WEB转发代理、SSL流量解密、沙箱、WAN加速、内嵌IPS、日志汇聚分析等功能。

 

一个典型的非密网JRSS由20个机架的安全设备构成,执行防火墙,入侵检测和防御,企业管理和虚拟路由转发等功能。

20个机架的设备从整体上看主要由流量处理A侧(A Side),流量处理B侧(B Side)和联合管理系统3部分构成。A侧和B侧安全系统构成相同,执行冗余热备功能,据称能在6个故障情况下仍可正常处理流量。

 

A侧和B侧设备的主要功能是网络流量编排和安全防护。一方面基于MPLS和VRF(虚拟路由转发)等路由交换功能,实现网络流量的交换引接,确保末端网络流量经过安全栈;另一方面部署SSL解密、网络防火墙,IPS等防护功能,确保网络访问的安全性。

 

联合管理系统(Joint Management System, JMS)执行安全监测和管理功能,在安全监测上,包括流检测、报文检测、文件检测、应用检测、异常检测、数据检测、沙箱等全栈功能,全方位感知已知和未知网络攻击;在安全管理上,包括性能管理、事件管理、变更管理、配置管理、建模分析等功能,用于规范JRSS运营管理,分析发现有价值的安全信息和情报。

根据公开材料,JRSS的供应商来自美国排名靠前的网络安全厂商,例如思科网络交换设备,F5、A10负载均衡设备,Juniper、Palo Alto、思科防火墙设备,Argus、Bivio、Bro流量采集设备,Micro Focus (Arcsight),Splunk的SIEM设备,Red Seal大数据安全建模分析设备,Symantec,Trend Micro,OPSWAT恶意代码防护设备,Veritas、Veeam备份恢复设备,Fidelis数据安全设备,InfoVista、Riverbed应用性能管理和加速设备,Gigamon、Stealthwatch加密流量监测分析设备,以及惠普、戴尔、EMC、微软、红帽子、VMWare、Citrix等计算存储设施等。


三、建设启示


总体上看,JRSS是美军针对其安全需求和大规模网络安全建设背景,在多种安全体系建设摸索过程中,逐步探索出来的一种基本可行的建设模式。

 

JRSS本质上与民用开放式互联网服务平台安全模式类似,并没有采用高、精、深的技术,而是通过安全人员与系统的有机结合,将现有在市场上经过锤炼的成熟商用安全技术发挥到极致。其中可借鉴的启示主要有以下几点:

 

● 集约化防御。采用扁平化服务模式,将重要核心业务系统部署在少量几个数据中心,通过收缩业务服务系统的暴露面,同时将有限的安全防护资源(人和系统)进行收缩,集中力量在关键节点提高网络防御效能,同时可降低防护成本。

 

● 标准化防御。借鉴民用领域通用成熟安全技术,统一网络安全防护的手段、机制和标准,整合成为独立的安全功能机架,封装为服务的方式提供安全能力,可简化安全系统建设,有利于快速、灵活、高质量部署,节约人员培训和管理等方面成本。

 

● 全功能防御。在核心关键防御位置,聚合安全资源,面向TCP/IP的七层协议栈,针对每一个层面都投入资源进行安全监测和防护,使安全能力贯通网络、应用、数据和业务逻辑等不同领域,构成全功能防御体系,防范出现网络安全短板效应。

 

● 注重安全运营。网络安全本质上是人之间的对抗博弈,专业性要求非常高,绝对不是安全产品的简单堆砌。JRSS高度重视“人在回路”中的运营工作,部署了大量以大数据为支撑的监测和管理等技术手段,另外由于美国军方专业安全力量非常薄弱,他们采用外包方式,不惜花重金从专业公司挖专业人才专门从事7*24小时安全保障工作,确保网络性能优化、漏洞管理、安全建模分析等工作做到极致。


四、我们的方案


根据最新消息,虽然JRSS已经形成能力标准,但多厂商网络安全设备集成建设任务较重,一个JRSS站点需要20个机柜的不同厂商设备,所以美军在未来也在考虑使用虚拟化、软件定义等新技术模式,通过构建安全资源能力池的方式,优化现有JRSS建设架构。

 

启明星辰的类似技术解决方案,利用软件定义安全、大数据安全智能分析等技术,设计集约化、标准化的安全资源能力池,将防御能力、检测能力、管理能力、安全数据分析研判能力等进行最优化集成,形成功能完备、要素齐全、按需扩展、敏捷灵活的统一安全防护框架,示意如下图所示:
 



在核心业务系统的承载数据中心,或者网络汇聚接入点等关键位置,建设部署安全资源能力池,统一对用户的访问流量进行防护、检测和响应。同时配置具有一定专业能力的安全人员,针对安全资源能力池开展运营工作,使用系统提供的安全手段,开展安全管理、分析研判等工作,不仅能对安全设备报出的安全事件及时报警,还能够利用大数据安全分析等技术发现夹带在正常流量中的异常行为,实现未知攻击行为的早期预警。