美國(guó)政府零信任戰(zhàn)略正式發(fā)布,將落地首個(gè)國(guó)家級(jí)零信任架構(gòu)
2022-03-20
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
戰(zhàn)略提出,要求美國(guó)聯(lián)邦政府在2024財(cái)年前滿足必要的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo),以實(shí)現(xiàn)零信任安全架構(gòu)防護(hù)體系。
美國(guó)白宮今天發(fā)布了一項(xiàng)戰(zhàn)略文件,要求聯(lián)邦政府能在未來(lái)兩年內(nèi)逐步采用“零信任”安全架構(gòu),以抵御現(xiàn)有威脅并增強(qiáng)整個(gè)聯(lián)邦層面的網(wǎng)絡(luò)防御能力。
這項(xiàng)戰(zhàn)略由白宮管理與預(yù)算辦公室(OMB)發(fā)布,備忘錄編號(hào)為M-22-09。該辦公室的主要職責(zé)就是通過(guò)監(jiān)督將總統(tǒng)的規(guī)劃愿景在美國(guó)各級(jí)行政部門(mén)內(nèi)實(shí)施落地。
此次公告是2021年9月發(fā)布首次草案后的正式政府文件,其制定授意來(lái)自拜登的第14028號(hào)總統(tǒng)行政令。該行政令要求在整個(gè)政府范圍內(nèi)啟動(dòng)零信任框架遷移,借此幫助美國(guó)實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)攻擊活動(dòng)的現(xiàn)代化防御能力。
管理與預(yù)算辦公室代理主任Shalanda D. Young表示,“這份備忘錄提出了聯(lián)邦政府零信任架構(gòu)(ZTA)戰(zhàn)略,要求各級(jí)機(jī)構(gòu)在2024財(cái)年結(jié)束之前達(dá)成各項(xiàng)既定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與目標(biāo),旨在加強(qiáng)政府面對(duì)日益復(fù)雜、持續(xù)發(fā)生的威脅活動(dòng)時(shí)的防御能力。”
“這些威脅活動(dòng)往往將矛頭指向聯(lián)邦政府技術(shù)基礎(chǔ)設(shè)施,威脅公共安全與隱私、損害美國(guó)經(jīng)濟(jì),同時(shí)削弱民眾對(duì)于政府的信任。”
零信任戰(zhàn)略中的核心要素,包括通過(guò)強(qiáng)大的多因素身份驗(yàn)證機(jī)制改進(jìn)網(wǎng)絡(luò)釣魚(yú)防御水平、整合各機(jī)構(gòu)身份系統(tǒng)、加密進(jìn)出流量、將內(nèi)網(wǎng)環(huán)境視為不受信環(huán)境,同時(shí)加強(qiáng)應(yīng)用程序安全以更好地保護(hù)數(shù)據(jù)內(nèi)容。
在這項(xiàng)新的聯(lián)邦政府零信任戰(zhàn)略中,管理與預(yù)算辦公室還提出以下幾項(xiàng)具體展望:
聯(lián)邦政府雇員應(yīng)擁有由機(jī)構(gòu)負(fù)責(zé)管理的賬戶(hù),供他們?cè)L問(wèn)日常工作中需要接觸的一切信息,同時(shí)可靠地保護(hù)雇員免受針對(duì)性、復(fù)雜網(wǎng)絡(luò)釣魚(yú)攻擊的影響。
聯(lián)邦政府雇員使用的工作設(shè)備將受到持續(xù)跟蹤與監(jiān)控,而且在授予內(nèi)部資源訪問(wèn)權(quán)限時(shí),也應(yīng)考慮到設(shè)備的具體安全狀況。
各代理系統(tǒng)間相互隔離,往來(lái)于不同系統(tǒng)及同一系統(tǒng)內(nèi)部的網(wǎng)絡(luò)流量應(yīng)經(jīng)過(guò)可靠加密。
業(yè)務(wù)應(yīng)用程序應(yīng)經(jīng)過(guò)內(nèi)部與外部測(cè)試,保證可通過(guò)互聯(lián)網(wǎng)安全交付給雇員。
聯(lián)邦政府各安全團(tuán)隊(duì)及數(shù)據(jù)團(tuán)隊(duì)?wèi)?yīng)合作規(guī)劃數(shù)據(jù)類(lèi)別與安全規(guī)則,實(shí)現(xiàn)對(duì)敏感信息的自動(dòng)檢測(cè),最終阻斷一切未經(jīng)授權(quán)的訪問(wèn)活動(dòng)。
可以看到,經(jīng)過(guò)安全廠商多年不懈努力與推動(dòng)后,零信息安全原則終于開(kāi)始在政府層面落地扎根。
在這輪現(xiàn)代安全原則的普及趨勢(shì)之下,從2021年2月開(kāi)始,美國(guó)國(guó)家安全局向國(guó)家安全系統(tǒng)、國(guó)防部及國(guó)防工業(yè)基礎(chǔ)的大型業(yè)務(wù)與關(guān)鍵網(wǎng)絡(luò)也開(kāi)始推薦使用零信任安全實(shí)踐方法。
Young還表示,“面對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅,政府正在采取果斷行動(dòng)以加強(qiáng)聯(lián)邦層面的網(wǎng)絡(luò)防御能力。”
“這項(xiàng)零信任戰(zhàn)略希望保證聯(lián)邦政府能夠以身作則,也標(biāo)志著我們已經(jīng)迎來(lái)新的安全發(fā)展里程碑,將借助新的方法與實(shí)踐擊退那些謀劃損害美國(guó)利益的網(wǎng)絡(luò)入侵者。”
