其他
重磅!美国政府发布零信任战略,要求2024年完全部署
关注我们
带你读懂网络安全
9月7日,美国管理与预算办公室发布了《联邦零信任战略》,网络安全与基础设施安全局发布了《零信任成熟度模型》、《云安全技术参考架构》公开征集意见;
这些文件共同组成联邦各级机构的网络安全架构路线图,要求在2024财年末完全部署到位。
美国联邦政府正努力推动各机构采用零信任网络安全架构。9月7日(周二),政府政策部门管理与预算办公室(OMB)以及网络安全主管机构网络安全与基础设施安全局(CISA)共同发布了最新指南文件。管理与预算办公室发布了《联邦零信任战略》,网络安全与基础设施安全局发布了《零信任成熟度模型》、《云安全技术参考架构》,正在公开征集公众意见。
这三份文件遵循了今年5月拜登总统签署发布的关于加强联邦政府网络安全的行政令,这项命令中明确涉及多种特定的安全方法与工具,包括多因素身份验证、加密与零信任等等。零信任模型会在用户的整个网络活动过程中不断检查其凭证,除了验证身份之外,还会验证用户是否拥有访问安全应用程序及数据的适当权限。在成熟的零信任架构当中,这些检查会在用户尝试访问网络内不同部分时定期重复执行。
联邦零信任战略
联邦政府首席信息官Clare Martorana在周二发布的一份声明中对零信任架构做出进一步解释,“永不信任,始终验证。今天的零信任声明是在向联邦政府各级机构传达出明确信息,即不要默认信任网络边界内外的任何对象。”各级机构已经得到授权,可以制定计划以实施满足行政令要求的零信任架构。如今,有了新的指南与参考架构,管理与预算办公室要求各机构将新的可交付成果纳入计划当中。该办公室在文件中要求,各级机构在2024年9月底之前实现五大“具体零信任安全目标”,并确保将这些目标添加至机构实施计划当中:
身份:机构工作人员应使用内部身份访问自己在工作中使用的应用程序。反网络钓鱼多因素验证则可保护这些雇员免受复杂在线攻击的影响。
设备:联邦政府拥有其运营并授权供各级部门使用的每台设备的完整清单,可随时检测并响应设备上发生的安全事件。
网络:各级机构应在环境中加密所有DNS请求与HTTP流量,并围绕应用程序进行网络分段。联邦政府确定办公室了可用于电子邮件传输加密的方案选项。
应用:机构将一切应用程序视为接入互联网的应用程序,定期对应用进行严格测试,并欢迎各类外部漏洞评估报告。
数据:各机构在对数据进行彻底分类并加以保护方面采取统一的清晰、共享路径。各级机构应使用云安全服务以监控对自身敏感数据的访问,并实现业务范围之内的日志记录与信息共享。
零信任成熟度模型、
云安全技术参考架构
同一天,美国网络与基础设施安全局公开发布了零信任成熟度模型。这套模型诞生于今年6月,目前已经完成了各联邦机构之间的考量与反馈。行政令并没有特别提及成熟度模型,但官员们就此制定了额外的指南意见,希望帮助机构更快转向零信任状态。成熟度模型同管理与预算办公室在备忘录中提出的五项目标保持一致,并提供了希望获得完善零信任架构的组织所应具备的工具和程序。这套模型还针对各个重点领域探讨了如何适应“传统”、“高级”、“最佳”等零信任环境的细分议题。
参考来源:nextgov.com