美国政府发布零信任战略,推动各机构采用零信任网络安全架构

(ChinaIT.com讯)97日,美国政府政策部门管理与预算办公室(OMB)发布了《联邦零信任战略》。网络安全主管机构网络安全与基础设施安全局(CISA)发布了《零信任成熟度模型》、《云安全技术参考架构》,正在公开征集公众意见。

这三份文件遵循了今年5月拜登总统签署发布的关于加强联邦政府网络安全的行政令,这项命令中明确涉及多种特定的安全方法与工具,包括多因素身份验证、加密与零信任等。

零信任模型会在用户的整个网络活动过程中不断检查其凭证,除了验证身份之外,还会验证用户是否拥有访问安全应用程序及数据的适当权限。

在成熟的零信任架构当中,这些检查会在用户尝试访问网络内不同部分时定期重复执行。

联邦零信任战略联邦政府首席信息官Clare Martorana发布的一份声明中对零信任架构做出进一步解释,“永不信任,始终验证。今天的零信任声明是在向联邦政府各级机构传达出明确信息,即不要默认信任网络边界内外的任何对象。”各级机构已经得到授权,可以制定计划,以实施满足行政令要求的零信任架构。

如今,有了新的指南与参考架构,管理与预算办公室要求各机构将新的可交付成果纳入计划当中。

该办公室在文件中要求,各级机构在20249月底之前实现五大“具体零信任安全目标”,并确保将这些目标添加至机构实施计划当中:

一是身份:机构工作人员应使用内部身份访问自己在工作中使用的应用程序。反网络钓鱼多因素验证则可保护这些雇员免受复杂在线攻击的影响。

二是设备:联邦政府拥有其运营并授权供各级部门使用的每台设备的完整清单,可随时检测并响应设备上发生的安全事件。

三是网络:各级机构应在环境中加密所有DNS请求与HTTP流量,并围绕应用程序进行网络分段。联邦政府确定了办公室可用于电子邮件传输加密的方案选项。

四是应用:机构将一切应用程序视为接入互联网的应用程序,定期对应用进行严格测试,并欢迎各类外部漏洞评估报告。

五是数据:各机构在对数据进行彻底分类并加以保护方面采取统一的清晰、共享路径。各级机构应使用云安全服务以监控对自身敏感数据的访问,并实现业务范围之内的日志记录与信息共享。

指导文件还对五大目标做出了更多具体说明。各级机构将有一个月的时间指定一位实施负责人,专门同管理与预算办公室接洽并报告实施情况。

同一天,美国网络与基础设施安全局公开发布了零信任成熟度模型。这套模型诞生于今年6月,目前已经完成了各联邦机构之间的考量与反馈。

行政令并没有特别提及成熟度模型,但官员们就此制定了额外的指南意见,希望帮助机构更快转向零信任状态。

成熟度模型同管理与预算办公室在备忘录中提出的五项目标保持一致,并提供了希望获得完善零信任架构的组织所应具备的工具和程序。而朝着零信任原则的迈进则是实现这一目标的必经之路。

中国软件网现在,政府、企业等办公的方式发生了巨大的变革,远程办公成为许多组织的“新常态”。如果还延续传统办公的基于设备的访问管理模式,那么无疑是打开了潜在攻击的潘多拉魔盒,安全威胁将大幅增长。

零信任安全在应对企业面临的挑战中地位独特,提供了更好的安全性,提高了灵活性,同时又降低复杂性。

中国软件网认为,在政府、企业制定数字化转型计划时,在2021年将零信任安全纳入规划,是构建新十年主动保护的一个明智之举。

“三分技术、七分管理“,零信任也不例外。需要建立完善的安全组织和安全策略,才能使零信任体系真正的提供安全保障。

ChinaIT.com 网站文章仅限于提供更多信息,不代表本网站立场观点。如需转载,请注明来源 。转载之文章来源于互联网,如有版权问题,请与我们联系:content@chinait.com。

扫码关注ChinaIT小程序,随时掌握最新IT资讯