|
2022年1月26日,美國(guó)管理和預(yù)算辦公室(OMB)正式發(fā)布《向零信任安全方法遷移的聯(lián)邦戰(zhàn)略》,,要求聯(lián)邦相關(guān)機(jī)構(gòu)在2024財(cái)年之前滿足特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo),,以增強(qiáng)政府應(yīng)對(duì)日益復(fù)雜和持續(xù)的網(wǎng)絡(luò)威脅的能力。 
白宮發(fā)布《零信任安全戰(zhàn)略》 作者:學(xué)術(shù)plus觀察員 張濤 1.背景:拜登行政命令,;美國(guó)管理和預(yù)算辦公室/OMB草案,網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局/CISA模型與參考架構(gòu) 2.零信任安全模型:零信任安全架構(gòu)的作用,;零信任架構(gòu)的設(shè)計(jì)和部署6個(gè)基本原則 3.《零信任聯(lián)邦戰(zhàn)略》五大措施:①身份管理(使用“中心化”的身份管理系統(tǒng)+強(qiáng)多因子認(rèn)證方式)②設(shè)備管理(可靠的資產(chǎn)目錄+支持云中心的聯(lián)邦架構(gòu))③網(wǎng)絡(luò)管理(必須使用加密的DNS)④應(yīng)用和工作負(fù)載(安全測(cè)試與第三方評(píng)估+不可篡改的工作負(fù)載)⑤數(shù)據(jù)管理(成立零信任數(shù)據(jù)安全指導(dǎo)的聯(lián)合委員會(huì)) 內(nèi)容主要整理自外文網(wǎng)站相關(guān)資料 僅供學(xué)習(xí)參考,歡迎交流指正,! 文章觀點(diǎn)不代表本機(jī)構(gòu)立場(chǎng) 1.2 草案、模型與參考架構(gòu) 遵照網(wǎng)絡(luò)安全行政命令,,2021年9月,,OMB發(fā)布《零信任戰(zhàn)略草案》,以實(shí)現(xiàn)基于云的基礎(chǔ)設(shè)施的安全優(yōu)勢(shì)并減少相關(guān)的風(fēng)險(xiǎn),。CISA(網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局)也發(fā)布了《零信任成熟度模型》和《云安全技術(shù)參考架構(gòu)》,,作為OMB聯(lián)邦零信任戰(zhàn)略的補(bǔ)充,為相關(guān)機(jī)構(gòu)提供實(shí)現(xiàn)最優(yōu)零信任環(huán)境的路線圖和資源,。1.3 聯(lián)邦戰(zhàn)略正式出臺(tái)2022年1月26日,,OMB正式發(fā)布向零信任安全方法遷移的聯(lián)邦戰(zhàn)略,要求相關(guān)機(jī)構(gòu)在2024財(cái)年之前滿足特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo),,以增強(qiáng)政府應(yīng)對(duì)日益復(fù)雜和持續(xù)的網(wǎng)絡(luò)威脅的能力,。
零信任是John Kindervag在2010年提出的一種安全模型方法,該方法認(rèn)為本地設(shè)備和連接都是不可信的,,假定入侵者具有網(wǎng)絡(luò)的訪問(wèn)權(quán)限,,因此在每一步都需要驗(yàn)證。零信任安全架構(gòu)提供了旨在消除在信息系統(tǒng)和服務(wù)中實(shí)施準(zhǔn)確訪問(wèn)決策時(shí)的不確定性的一系列概念,、思想和組件關(guān)系(體系結(jié)構(gòu)),。為了減少不確定性,零信任在網(wǎng)絡(luò)認(rèn)證機(jī)制中減少時(shí)間延遲的同時(shí)更加關(guān)注認(rèn)證,、授權(quán),、以及可信域。訪問(wèn)規(guī)則被限制為最小權(quán)限,。2.2 零信任架構(gòu)的設(shè)計(jì)和部署基本原則(1)所有的數(shù)據(jù)源和計(jì)算服務(wù)都被認(rèn)為是資源 (2)所有的通信都是安全的,,而且安全與網(wǎng)絡(luò)位置無(wú)關(guān) (3)對(duì)單個(gè)企業(yè)資源的訪問(wèn)的授權(quán)是對(duì)每次連接的授權(quán) (4)對(duì)資源的訪問(wèn)是通過(guò)策略決定的,包括用戶身份的狀態(tài)和要求的系統(tǒng),,可能還包括其他行為屬性 (5)企業(yè)要確保所有所屬的和相關(guān)的系統(tǒng)都在盡可能最安全的狀態(tài),,并對(duì)系統(tǒng)進(jìn)行監(jiān)控來(lái)確保系統(tǒng)仍然在最安全的狀態(tài) (6)用戶認(rèn)證是動(dòng)態(tài)的,并且在允許訪問(wèn)前嚴(yán)格執(zhí)行 聯(lián)邦機(jī)構(gòu)要采取的行動(dòng) 《零信任聯(lián)邦戰(zhàn)略》要求相關(guān)機(jī)構(gòu)在2024財(cái)年末實(shí)現(xiàn)特定的零信任安全目標(biāo),。該戰(zhàn)略主要參考CISA零信任成熟度模型,,并與CISA零信任成熟度目標(biāo)的5個(gè)支柱領(lǐng)域一致,分別為:身份,、設(shè)備,、網(wǎng)絡(luò)、應(yīng)用與工作負(fù)載,、以及數(shù)據(jù),。【CISA零信任目標(biāo)相應(yīng)表述】身份:聯(lián)邦機(jī)構(gòu)工作人員使用企業(yè)級(jí)管理的身份來(lái)訪問(wèn)工作中使用的應(yīng)用??梢詰?yīng)對(duì)釣魚攻擊的多因子認(rèn)證來(lái)保護(hù)聯(lián)邦機(jī)構(gòu)工作人員免受復(fù)雜的在線攻擊的影響,。 白宮《零信任聯(lián)邦戰(zhàn)略》提出:①白宮聯(lián)邦機(jī)構(gòu)必須使用“中心化”的身份管理系統(tǒng),,并融入到應(yīng)用和通用平臺(tái)中。②聯(lián)邦機(jī)構(gòu)必須使用“強(qiáng)多因子認(rèn)證方式”,。- 多因子認(rèn)證在應(yīng)用層必須要強(qiáng)制執(zhí)行,。
- 對(duì)聯(lián)邦機(jī)構(gòu)成員、合作商等,,要使用能夠應(yīng)對(duì)釣魚攻擊的多因子認(rèn)證,。
- 對(duì)其他公共用戶,應(yīng)對(duì)釣魚攻擊的多因子認(rèn)證可以作為可選性,。
③在授權(quán)用戶訪問(wèn)資源時(shí),聯(lián)邦機(jī)構(gòu)必須考慮認(rèn)證用戶的至少一個(gè)設(shè)備層的信號(hào)和身份信息,。【CISA零信任目標(biāo)相應(yīng)表述】設(shè)備:聯(lián)邦機(jī)構(gòu)應(yīng)該建立運(yùn)行和授權(quán)政府使用的設(shè)備的完整目錄,,可以預(yù)防、檢測(cè)和響應(yīng)這些設(shè)備上發(fā)生的安全事件,。 白宮《零信任聯(lián)邦戰(zhàn)略》提出:聯(lián)邦機(jī)構(gòu)必須通過(guò)參與CISA CDM項(xiàng)目來(lái)創(chuàng)建可靠的資產(chǎn)目錄,; CISA將設(shè)計(jì)一個(gè)CDM項(xiàng)目來(lái)更好地支持以云為中心的聯(lián)邦架構(gòu); 聯(lián)邦機(jī)構(gòu)必須確保終端檢測(cè)和響應(yīng)(EDR)工具滿足CISA的技術(shù)要求,,并廣泛部署,。 - 聯(lián)邦機(jī)構(gòu)必須與CISA協(xié)作來(lái)識(shí)別實(shí)現(xiàn)的不足,與EDR工具的部署一致,,建立信息共享能力,。
【CISA零信任目標(biāo)相應(yīng)表述】網(wǎng)絡(luò):聯(lián)邦機(jī)構(gòu)應(yīng)該加密環(huán)境中所有的DNS請(qǐng)求和HTTP流量,并將其邊界變成隔離的環(huán)境,。 白宮《零信任聯(lián)邦戰(zhàn)略》提出:聯(lián)邦機(jī)構(gòu)必須使用加密的DNS來(lái)解析DNS請(qǐng)求,; CISA的Protective DNS項(xiàng)目將支持加密的DNS請(qǐng)求; 聯(lián)邦機(jī)構(gòu)必須對(duì)所有的web和API流量強(qiáng)制使用HTTPS,; 聯(lián)邦機(jī)構(gòu)必須與CISA協(xié)作來(lái)預(yù)加載.gov域名到web瀏覽器中,,并且只可以通過(guò)HTTPS訪問(wèn); CISA將與FedRAMP合作來(lái)評(píng)估政府范圍內(nèi)加密郵件解決方案來(lái)對(duì)OMB提出建議,; - 聯(lián)邦機(jī)構(gòu)必須制定零信任架構(gòu)方案,方案要明確機(jī)構(gòu)進(jìn)行環(huán)境隔離的方法并作為零信任實(shí)現(xiàn)方案的一部分提交給OMB,。
【CISA零信任目標(biāo)相應(yīng)表述】應(yīng)用和工作負(fù)載:聯(lián)邦機(jī)構(gòu)應(yīng)該將所有應(yīng)用看做是聯(lián)網(wǎng)的,,定期對(duì)應(yīng)用進(jìn)行嚴(yán)格的測(cè)試,并接收來(lái)自外部的漏洞報(bào)告,。 白宮《零信任聯(lián)邦戰(zhàn)略》提出:聯(lián)邦機(jī)構(gòu)必須進(jìn)行應(yīng)用安全測(cè)試,; 聯(lián)邦機(jī)構(gòu)必須使用專注于應(yīng)用安全的公司來(lái)進(jìn)行獨(dú)立的第三方安全評(píng)估; CISA和GSA協(xié)作來(lái)快速采購(gòu)此類服務(wù),; 聯(lián)邦機(jī)構(gòu)必須將所有使用的非.gov主機(jī)名提交給CISA和GSA,; CISA和GSA要協(xié)作來(lái)為聯(lián)邦機(jī)構(gòu)提供其在線應(yīng)用和其他資產(chǎn)的數(shù)據(jù),; - 聯(lián)邦機(jī)構(gòu)在部署服務(wù)尤其是部署基于云的基礎(chǔ)設(shè)施時(shí)要使用不可篡改的工作負(fù)載。
【CISA零信任目標(biāo)相應(yīng)表述】數(shù)據(jù):聯(lián)邦機(jī)構(gòu)應(yīng)該對(duì)數(shù)據(jù)進(jìn)行分類,,并利用云安全服務(wù)來(lái)監(jiān)控對(duì)敏感數(shù)據(jù)的訪問(wèn),,實(shí)現(xiàn)企業(yè)級(jí)的日志和信息共享。 白宮《零信任聯(lián)邦戰(zhàn)略》提出: - 聯(lián)邦首席數(shù)據(jù)管與首席信息安全官將成立一個(gè)為相關(guān)機(jī)構(gòu)提供零信任數(shù)據(jù)安全指導(dǎo)的聯(lián)合委員會(huì),。
- 聯(lián)邦機(jī)構(gòu)必須實(shí)現(xiàn)初步的自動(dòng)化數(shù)據(jù)分類和安全響應(yīng),,主要解決敏感文檔的標(biāo)記和訪問(wèn)管理。
- 聯(lián)邦機(jī)構(gòu)必須對(duì)商業(yè)云基礎(chǔ)設(shè)施中所有加密數(shù)據(jù)的訪問(wèn)進(jìn)行審計(jì),。
- 聯(lián)邦機(jī)構(gòu)必須與CISA協(xié)作來(lái)實(shí)現(xiàn)綜合的日志和信息共享,。
https://zerotrust./federal-zero-trust-strategyhttps://www./omb/briefing-room/2022/01/26/office-of-management-and-budget-releases-federal-strategy-to-move-the-u-s-government-towards-a-zero-trust-architecture/https://zerotrust./downloads/M-22-09%20Federal%20Zero%20Trust%20Strategy.pdfhttps://nvlpubs./nistpubs/SpecialPublications/NIST.SP.800-207-draft.pdf(全文完)
|
90天內(nèi)出計(jì)劃,!全面保障最敏感國(guó)家安全系統(tǒng)!
