©2023云安全联盟大中华区版权所有1 卫生信息管理(HIM)工作组的常设和正式地点是: https://cloudsecurityalliance.org/research/working-groups/health-information-management/ @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)本文商标、版权或其他声明不得删除。请在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有2 ©2023云安全联盟大中华区版权所有3 致谢 《基于零信任架构的医疗设备安全(MedicalDevicesInAZeroTrustArchitecture)》由CSA工作组专家编写,CSA大中华区零信任工作组组织翻译并审校。 中文版翻译专家组(排名不分先后): 组长: 陈本峰严强翻译组: 江楠欧建军汪海王贵宗谢琴 审校组: 董雁超杨涛研究协调员: 夏营 感谢以下单位的支持与贡献: 北京启明星辰信息安全技术有限公司北京赛虎网络空间安全技术发展有限公司北京天融信网络安全技术有限公司苏州云至深技术有限公司 腾讯云计算(北京)有限责任公司湖州市中心医院 ©2023云安全联盟大中华区版权所有4 英文版本编写专家 主要作者: Dr.JamesAngle 贡献者: MichaelRozaWayneAnderson 审校者: AshishVashishthaJenniferMinella(jj)DavidNanceShamikKacker CSA员工: AlexKaluza 健康信息管理(HIM)工作组旨在直接影响健康信息服务提供商如何向其客户提供安全的云解决方案(服务、传输、应用程序和存储),并在医疗保健和相关行业的各个方面培养云意识。 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有5 目录 致谢4 序言6 概述8 介绍8 零信任11 医疗设备管理项目12 身份13 设备14 网络16 应用19 数据21 结论22 ©2023云安全联盟大中华区版权所有6 序言 医疗保健行业正面临着越来越多针对健康信息、医疗设备和关键系统的网络攻击浪潮。随着医疗设备之间的连接日益增多,漏洞继续增多,攻击面在不断扩大。传统的网络安全已经不再足够应付,因为边界防御可以被突破。 为了应对这些风险,医疗机构需要重新思考其安全方案。本文讨论了零信任架构如何增强医疗设备的安全性。零信任消除了对用户、设备和网络流量的隐式信任。相反,它根据细粒度的策略验证和授权每一个访问的尝试。 实施零信任需要解决身份、设备、网络、应用和数据等安全支柱。需要强大的设备发现、监控、微隔离和加密技术。细粒度的访问控制、多因素认证和持续验证为设备和数据流创建了分层保护。 通过全面可视性、最低权限访问和持续监控,零信任最大限度地减少了医疗设备的风险。它假设网络已被入侵,并专注于入侵后的损失遏制。尽管将零信任应用于医疗机器设备存在挑战,但本文概述了医疗机构可以遵循的策略。 采用零信任方法代表了一个范式的转变。随着攻击的增加和复杂化,零信任为医疗服务提供商提供了一条根据消除隐式信任而重塑安全态势的途径。本文旨在成为零信任架构在医疗设备上成功实施的指南。 李雨航YaleLiCSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有7 概述 确保某个网络的安全首先要了解与之相连的一切事物,包括用户、设备、应用程序、系统,以及访问主体试图访问的数据。当设备作为访问主体时,整个访问过程的安全性又是怎样的呢?一般来说,安全必须关注最有可能发生威胁之处。今天的医疗设备经常连接到云端,而威胁和漏洞、技术问题、软件风险和人为因素等各类问题给医疗服务交付组织(HDO)带来了攻击面扩大、风险提升的困扰1。医疗设备对HDO构成了重大安全风险,可能会危及他们的运营和患者数据。因此,安全架构师被迫重新审视身份的概念。从本质上讲,每个连接的医疗设备都应有一个身份,并纳入到零信任框架内。2 介绍 随着网络攻击的显著增加,医疗健康行业需要确保系统和设备的网络及数据安全。HDO通常有成百上千个医疗设备连接到医疗网络中,且每个医疗设备本身的软/硬件环境和应用程序存在多个安全漏洞。3其中小到嵌入式设备,大到基于服务器的系统,都无一幸免。随着HDO致力于保护这些设备做出的一系列探索得出结论:一种切实可行的方法就是实施零信任架构(ZTA)。 从安全的角度来看,医疗保健行业面临极高的风险,每天发生的勒索软件攻击和数据泄露事件的数量就证明了这一点。受保护健康信息(PHI)的系统、医疗设备,甚至保存救生药物和治疗的冰箱都连接到HDOs网络,如果网络发生事故,可能会对整个系统及其患者造成严重破坏。4 传统的网络安全会使用边界隔离的方法,即HDO构建强大的外部安全边界并信任边 1Angle,J.,2020.ManagingtheRiskforMedicalDevicesConnectedtotheCloud,CloudSecurityAlliance, Retrievedfrom https://cloudsecurityalliance.org/artifacts/managing-the-risk-for-medical-devices-connected-to-the-cloud/2Kumar,S.,2021.EmbracingZeroTrustforIoTandOT:AFundamentalMindShift,Retrievedfromhttps://www.forescout. com/blog/embracing-zero-trust-for-iot-and-ot-a-fundamental-mind-shift/ 3Lerman,L.,2021.ZeroTrustApproachCanDefendAgainstIoMTDeviceAttacksforHealthcareOrganizations,Retrieved fromhttps://www.toolbox.com/tech/iot/guest-article/zero-trust-approach-can-defend-against-iomt-device-attacks-forhealthcare-organizations/ 4McKeon,J.,2021.ExploringZeroTrustSecurityinHealthcare,HowItProtectsHealthData,Retrievedfrom https://healthitsecurity.com/features/exploring-zero-trust-security-in-healthcare-how-it-protects-health-data 界内的网络流量。这种方法基于一定程度的信任假设,这会使HDO更易受到来自内部的网络攻击。零信任网络是当今的医疗健康企业保持韧性的必备基础。零信任网络不是建墙,而是建立在五个基本断言之上: 网络总被假定是充满攻击者的 网络上始终存在内外部威胁 网络隔离后也不足以决定该网络可信任 每个设备、用户和网络流都需经过身份验证和授权 安全策略必须是动态的,并基于尽可能多的数据源来计算5 网络上的所有连接和操作都被视为恶意和不可靠的,而边界防护存在默式信任。换句话说,对所有网络组件应给予“零信任”。本文将研究HDO如何基于零信任成熟度模型对医疗设备实施零信任方案。 零信任成熟度的五个支柱分别是: 身份 设备 网络 应用 数据 “零信任成熟度模型代表了五个不同支柱的实施梯度,随着时间的推移可以在优化方面不断推进和提升。如图1所示,这些支柱包括身份、设备、网络、应用程序工作负载和数据。每个支柱都包括关于可见性分析、自动化编排以及治理有关的一般细节。这种成熟度模型是支持向零信任过渡的通用途径之一。”6 5Gilman,E.&Barth,D.,2017.ZeroTrustNetworks:BuildingSecureSystemsinTrustedNetworks,O’ReillyMediaInc. 6Cybersecurity&InfrastructureSecurityAgency,2021.ZeroTrustMaturityModel,retrievedfromhttps://www.cisa.gov/sites/default/files/publications/CISA%20Zero%20Trust%20Maturity%20Model_Draft.pdf 图1:零信任的基础 以下描述可用于确定每个阶段的不同零信任技术支柱的成熟度,并提供完整一致的成熟度模型: 基础:手动配置和属性分配,静态安全策略、对外部系统具有粗略依赖性的支柱级解决方案,按需配置、最小必要功能、专有且不灵活的策略实施支柱,手动事件响应和缓解部署。 进阶:一些跨支柱协调、集中可见性、集中身份控制、基于跨支柱输入和输出的策略实施,对预定义响应的一些事件响应,对外部系统的依赖关系的细节变动,以及基于风险评估的一些最小特权更改。 最佳:资产和资源的属性完全自动分配,基于自动/观察到的触发器的动态策略配置,具有资产自发现能力以实现阈值内动态的最小权限访问,与跨支柱互操作性的开放标准保持一致,具有可见的历史记录功能以实现可审计的集中式信息汇集。 每个支柱还包括有关该支柱的可见性分析、自动化编排以及治理的有关的通用细节。7 7Cybersecurity&InfrastructureSecurityAgency,2021.ZeroTrustMaturityModel,retrievedfromhttps://www.cisa.gov/sites/default/files/publications/CISA%20Zero%20Trust%20Maturity%20Model_Draft.pdf 以下是身份支柱的示例: 功能 基础 进阶 最佳 可见性分析能力 机构根据基本和静态属性来区分用户活动可见性 机构汇总用户活动的可见性,并结合基本属性进行分析和报告,以进行手动优化 机构集中化的用户可见性,基于高保真度属性和用户实体行为分析(UEBA) 自动化编排能力 机构手动管理和编排(复制)身份和凭证 机构使用基本的自动化编排来联合身份,并在身份存储中进行授权管理 机构完全编排身份生命周期,实现动态用户配置文件、动态身份、群组成员资格,并实施实时和足够的访问控制。 治理能力 机构在初始配置后,使用静态技术执行凭证策略(例如,复杂性、重用性、长度、截断、多因素身份验证等),手动审计身份和权限 机构基于策略实施自动化权限调整。不存在共享账户。 机构完全自动化技术层面上的策略执行。机构会更新策略,以映射新的编排选项。 表1示例:CISA成熟度模型身份支柱 通过五个支柱来检验医疗设备安全,将为医疗机构(HDO)提供明确的医疗设备安全状况。8 零信任 随着云计算、移动设备和医疗物联网(IoMT)设备的广泛应用,强大的边界防御和定义的网络边界的理念已经消失。此外,如今的工作人员更加分散,远程工作者需要随时随地、在任何设备上进行访问。医疗机构需要为所有资源提供安全访问,无论用户的位置在哪里。 零信任(ZeroTrust)原则消除了对设备、主体和网络的信任假设。零信任专注于无论网络位置、主体或资产如何,实施基于风险的访问控制,确保安全访问。它提供了一