《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 美國政府發(fā)布零信任“三件套” 加速邁進零信任架構(gòu)

美國政府發(fā)布零信任“三件套” 加速邁進零信任架構(gòu)

2021-09-25
來源:祺印說信安
關(guān)鍵詞: 零信任 三件套

  2021年9月7日,,美國政府發(fā)布了包括《聯(lián)邦零信任戰(zhàn)略》在內(nèi)的推動零信任落地的文件“三件套”,,要求在2024財年末完成零信任架構(gòu)部署,。這三份文件遵循了今年5月美國總統(tǒng)拜登簽署發(fā)布的關(guān)于加強聯(lián)邦政府網(wǎng)絡(luò)安全的行政令,,該項命令中明確涉及多種特定的安全方法與工具,,包括多因素身份驗證,、加密與零信任等等,。目前這三份文件均為“征集公眾意見”狀態(tài),,分別是:

  美國管理與預(yù)算辦公室(OMB)發(fā)布的《推動美國政府運用“零信任”網(wǎng)絡(luò)安全原則》(Moving the US Government Towards Zero Trust Cybersecurity Principles)(即《聯(lián)邦零信任戰(zhàn)略》),,目標是各機構(gòu)加速實現(xiàn)早期零信任成熟度的共享基線,。

  網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的《零信任成熟度模型》(Zero Trust Maturity Model)是對《聯(lián)邦零信任戰(zhàn)略》的補充,旨在為機構(gòu)提供路線圖和資源,,以實現(xiàn)最佳的零信任環(huán)境,。

  網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局發(fā)布的《云安全技術(shù)參考架構(gòu)》(Cloud Security Technical Reference Architecture)是機構(gòu)安全遷移到云時的指南,解釋了共享服務(wù),、云遷移和云安全狀態(tài)管理的注意事項,。

  (上述三份文件的原文PDF及人工整理后的機翻全文已上傳三正知識星球及三正蘑菇云精選,獲取方式附于文末,。)

  對于美國推進零信任的原因,,聯(lián)邦政府首席信息安全官Chris DeRusha的回答值得玩味:“聯(lián)邦政府的網(wǎng)絡(luò)安全方法必須迅速發(fā)展,跟上我們對手的步伐,。而朝著零信任原則的邁進則是實現(xiàn)這一目標的必經(jīng)之路,。”

  零信任文件三件套的主要內(nèi)容

  聯(lián)邦零信任戰(zhàn)略

  1.戰(zhàn)略目的

  《聯(lián)邦政府零信任戰(zhàn)略》的目的是將政府機構(gòu)的企業(yè)安全架構(gòu)遷移到零信任架構(gòu),。通過制定機構(gòu)必須采取的初始步驟,,將所有聯(lián)邦機構(gòu)置于一個共同的路線圖上,以實現(xiàn)其向著高度成熟的零信任架構(gòu)發(fā)展,。該戰(zhàn)略設(shè)想的聯(lián)邦零信任架構(gòu)包括:支持跨聯(lián)邦機構(gòu)的強大身份相關(guān)實踐,;依賴加密和應(yīng)用程序測試取代外圍安全;識別政府的每一個設(shè)備和資源,;支持安全動作的智能自動化,;支持安全、穩(wěn)健地使用云服務(wù),。

  聯(lián)邦政府首席信息官Clare Martorana在今年9月7日發(fā)布的一份聲明中對零信任架構(gòu)做出進一步解釋:“永不信任,,始終驗證。今天的零信任聲明是在向聯(lián)邦政府各級機構(gòu)傳達出明確信息,,即不要默認信任網(wǎng)絡(luò)邊界內(nèi)外的任何對象,。”各級機構(gòu)已經(jīng)得到授權(quán),,可以制定計劃以實施滿足行政令要求的零信任架構(gòu),。如今有了新的指南與參考架構(gòu),管理與預(yù)算辦公室要求各機構(gòu)將新的可交付成果納入計劃當中,。

  2. 五大支柱目標

  該戰(zhàn)略要求,,各級機構(gòu)在2024年9月底之前實現(xiàn)五大支柱目標,詳見附錄,。

  身份:機構(gòu)工作人員應(yīng)使用內(nèi)部身份訪問自己在工作中使用的應(yīng)用程序,。反網(wǎng)絡(luò)釣魚多因素驗證則可保護這些雇員免受復(fù)雜在線攻擊的影響。

  設(shè)備:聯(lián)邦政府擁有其運營并授權(quán)供各級部門使用的每臺設(shè)備的完整清單,,可隨時檢測并響應(yīng)設(shè)備上發(fā)生的安全事件,。

  網(wǎng)絡(luò):各級機構(gòu)應(yīng)在環(huán)境中加密所有DNS請求與HTTP流量,并圍繞應(yīng)用程序進行網(wǎng)絡(luò)分段,。聯(lián)邦政府辦公室確定了可用于電子郵件傳輸加密的方案選項,。

  應(yīng)用:機構(gòu)將一切應(yīng)用程序視為接入互聯(lián)網(wǎng)的應(yīng)用程序,定期對應(yīng)用進行嚴格測試,,并歡迎各類外部漏洞評估報告,。

  數(shù)據(jù):各機構(gòu)在對數(shù)據(jù)進行徹底分類并加以保護方面采取統(tǒng)一和清晰的共享路徑,。各級機構(gòu)應(yīng)使用云安全服務(wù)以監(jiān)控對自身敏感數(shù)據(jù)的訪問,并實現(xiàn)業(yè)務(wù)范圍之內(nèi)的日志記錄與信息共享,。

  零信任成熟度模型

  美國網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局于今年6月份擬制《零信任成熟度模型》,,最初是在政府機構(gòu)內(nèi)分發(fā),9月7日公開發(fā)布并廣泛征求反饋意見,。零信任成熟度模型包括5個支柱:身份、設(shè)備,、網(wǎng)絡(luò)/環(huán)境,、應(yīng)用程序、數(shù)據(jù),。

  成熟度模型同管理與預(yù)算辦公室在備忘錄中提出的五項目標保持一致,,并提供了希望獲得完善零信任架構(gòu)的組織所應(yīng)具備的工具和程序。這套模型還針對各個重點領(lǐng)域探討了如何適應(yīng)“傳統(tǒng)”,、“高級”,、“最佳”等零信任環(huán)境的細分議題。

  在整個網(wǎng)絡(luò)體系內(nèi)全面采用零信任安全,,無疑要求各級機構(gòu)以協(xié)調(diào)的方式配置系統(tǒng)并配合統(tǒng)一的安全工具以實現(xiàn)順暢運作,。為此,該文件提出,,“聯(lián)邦政府網(wǎng)絡(luò)安全的現(xiàn)代化努力,,將要求各級機構(gòu)將以往相互隔離的孤島式IT服務(wù)及雇員轉(zhuǎn)化為零信任戰(zhàn)略中能夠動員起來、而且相互協(xié)同的組成單元,?!?/p>

  網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局長Jen Easterly指出,成熟度模型只是該局為了幫助政府改善其網(wǎng)絡(luò)安全狀況而開發(fā)出的工具之一:“除此之外,,我局還與美國數(shù)字服務(wù)與聯(lián)邦風(fēng)險及授權(quán)管理計劃開展合作,,共同編寫出云安全技術(shù)參考架構(gòu),用于指導(dǎo)機構(gòu)的云安全遷移工作,?!彼忉尩溃巴ㄟ^強大的合作關(guān)系與持續(xù)努力,,我局將不斷開發(fā)出新的創(chuàng)新方法以保護持續(xù)變化的網(wǎng)絡(luò)邊界,,推動聯(lián)邦政府實現(xiàn)至關(guān)重要的IT現(xiàn)代化目標”。

  云安全技術(shù)參考架構(gòu)

  該文件指導(dǎo)機構(gòu)如何安全進行云遷移,,解釋了共享服務(wù),、云遷移和云安全態(tài)勢管理的考慮。

  拜登政府全面推進零信任落地

  拜登政府認為,,美國政府網(wǎng)絡(luò)面臨日漸嚴峻的網(wǎng)絡(luò)威脅態(tài)勢,,網(wǎng)絡(luò)攻擊正不斷損害美國的經(jīng)濟和安全,,因此拜登政府在今年5月出臺了第14028號行政命令《提升美國網(wǎng)絡(luò)安全》(EO 14028:Improving the Nation's Cybersecurity),明確指示聯(lián)邦政府各機構(gòu)引入零信任,。通過全面的網(wǎng)絡(luò)安全建設(shè)落實基線安全實踐,,將聯(lián)邦政府網(wǎng)絡(luò)升級為“零信任”架構(gòu),在處置云基礎(chǔ)設(shè)施相關(guān)風(fēng)險的同時實現(xiàn)其安全效益,。

  2020年8月,,美國國家標準與技術(shù)研究院NIST發(fā)布了零信任架構(gòu)《SP800-207:Zero Trust Architecture》正式版。

  2021年2月,,美國國家安全局(NSA)發(fā)布關(guān)于零信任安全模型的指南《擁抱零信任安全模型》(Embracing a Zero Trust Security Model),,強烈建議國家安全系統(tǒng)(NSS)內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國防部(DoD)的關(guān)鍵網(wǎng)絡(luò),、國防工業(yè)基礎(chǔ)(DIB)關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型,。

  2021年5月,美國防信息系統(tǒng)局(DISA)在其官網(wǎng)公開發(fā)布《國防部零信任參考架構(gòu)》,,旨在為國防部增強網(wǎng)絡(luò)安全并在數(shù)字戰(zhàn)場上保持信息優(yōu)勢,。

  附錄 五大支柱目標

  支柱目標1:身份

  (1)愿景

  機構(gòu)工作人員使用企業(yè)范圍的身份,,來訪問他們在工作中使用的應(yīng)用程序,。防網(wǎng)絡(luò)釣魚MFA可保護這些人員免受復(fù)雜的在線攻擊。

 ?。?)行動

  機構(gòu)必須為機構(gòu)用戶建立單點登錄 (SSO) 服務(wù),,該服務(wù)可以集成到應(yīng)用程序和通用平臺(包括云服務(wù))中。

  機構(gòu)必須在應(yīng)用程序級別實施 MFA,,并在可行的情況下使用企業(yè) SSO,。

  對于機構(gòu)工作人員、承包商和合作伙伴:防釣魚MFA是必須的,。

  對于公共用戶:防釣魚MFA必須是一個選項,。

  機構(gòu)必須采用安全的口令策略,并根據(jù)已知泄露的數(shù)據(jù)檢查口令,。

  CISA 將為機構(gòu)提供一項或多項可以私下檢查口令的服務(wù),,而不會暴露這些口令。

 ?。?)關(guān)鍵舉措

  1. 企業(yè)范圍的身份

  2. 多因素認證,,抵御網(wǎng)絡(luò)釣魚

  3.面向公眾的身份驗證

  4. 使用強口令策略

  支柱目標2:設(shè)備

  (1)愿景

  聯(lián)邦政府擁有它運行和授權(quán)用于政府工作的每臺設(shè)備的完整清單,,并且可以檢測和響應(yīng)這些設(shè)備上的事件,。

  (2)行動

  機構(gòu)必須參與 CISA 的持續(xù)診斷和緩解(CDM) 計劃,。

  CISA 將 CDM 計劃以最小特權(quán)原則為基礎(chǔ),,并優(yōu)先考慮在基于云的基礎(chǔ)設(shè)施中的有效運行,。

  機構(gòu)必須確保每個人工操作的企業(yè)配置設(shè)備,都有機構(gòu)選擇的端點檢測和響應(yīng) (EDR) 工具,。

  CISA 將與機構(gòu)合作,,填補 EDR 覆蓋范圍的空白。

  機構(gòu)必須向 CISA 提供對 EDR 數(shù)據(jù)的持續(xù)訪問,。

 ?。?)關(guān)鍵舉措

  盤點資產(chǎn)

  政府范圍的EDR(端點檢測和響應(yīng))

  支柱目標3:網(wǎng)絡(luò)

  (1)愿景

  機構(gòu)在其環(huán)境中加密所有 DNS 請求和 HTTP 流量,,并開始圍繞其應(yīng)用程序?qū)W(wǎng)絡(luò)進行分段,。聯(lián)邦政府確定了對傳輸中的電子郵件進行加密的可行途徑。

 ?。?)行動

  在技術(shù)支持的任何地方,機構(gòu)都必須使用加密的 DNS 來解析 DNS 查詢,。

  CISA 的保護性 DNS 程序,,將支持加密的 DNS 請求。

  機構(gòu)必須對其環(huán)境中的所有 Web 和應(yīng)用程序接口 (API) 流量,,強制實施 HTTPS,。

  CISA 將與機構(gòu)合作,將他們的 .gov 域“預(yù)加載”到網(wǎng)絡(luò)瀏覽器中,,使其只能通過 HTTPS 訪問,。

  CISA 將與聯(lián)邦風(fēng)險和授權(quán)管理計劃(FedRAMP)合作,評估MTA-STS作為加密電子郵件的可行的政府范圍內(nèi)解決方案,,并向 OMB 提出建議,。

  機構(gòu)必須與CISA 協(xié)商制定網(wǎng)絡(luò)分段計劃并將其提交給 OMB。

 ?。?)關(guān)鍵舉措

  加密 DNS 流量

  加密 HTTP 流量

  加密電子郵件流量

  圍繞應(yīng)用程序分段網(wǎng)絡(luò)

  支柱目標4:應(yīng)用

 ?。?)愿景

  機構(gòu)將他們的應(yīng)用程序視為連接到互聯(lián)網(wǎng),定期對其進行嚴格的實證測試,,并歡迎外部漏洞報告,。

  (2)行動

  機構(gòu)必須運行專門的應(yīng)用程序安全測試程序,。

  機構(gòu)必須利用專門從事應(yīng)用程序安全的高質(zhì)量公司,,進行獨立的第三方評估。

  CISA 和 GSA 將共同努力,,使此類公司可用于快速采購,。

  機構(gòu)必須維持有效且受歡迎的公開漏洞披露計劃。

  CISA 將提供一個漏洞披露平臺,,使機構(gòu)系統(tǒng)所有者可以輕松地直接接收報告并與安全研究人員接觸,。

  機構(gòu)必須確定至少一個面向內(nèi)部的聯(lián)邦信息安全管理法案 (FISMA )中級應(yīng)用程序,,并使用企業(yè) SSO 使其可通過公共互聯(lián)網(wǎng)訪問。

  CISA 和美國總務(wù)署(GSA)將共同努力,,為機構(gòu)提供有關(guān)其在線應(yīng)用程序和其他資產(chǎn)的數(shù)據(jù),。

  機構(gòu)必須向CISA和GSA 提供他們使用的任何非 .gov 主機名。

 ?。?)關(guān)鍵舉措

  應(yīng)用安全測試

  容易獲得的第三方測試

  歡迎應(yīng)用漏洞報告

  安全地使應(yīng)用程序可訪問互聯(lián)網(wǎng)

  發(fā)現(xiàn)可上網(wǎng)的應(yīng)用程序

  支柱目標5:數(shù)據(jù)

 ?。?)愿景

  機構(gòu)在部署利用徹底數(shù)據(jù)分類的保護方面有一條清晰、共享的路徑,。機構(gòu)利用云安全服務(wù)和工具來發(fā)現(xiàn),、分類和保護他們的敏感數(shù)據(jù),并實現(xiàn)了企業(yè)范圍的日志記錄和信息共享,。

 ?。?)行動

  OMB 將與聯(lián)邦首席數(shù)據(jù)官和首席信息安全官合作,制定零信任數(shù)據(jù)安全策略和相關(guān)的實踐社區(qū),。

  機構(gòu)必須對數(shù)據(jù)分類和安全響應(yīng)進行一些初始自動化,,重點是標記和管理對敏感文檔的訪問。

  機構(gòu)必須審計對商業(yè)云基礎(chǔ)設(shè)施中任何靜態(tài)加密數(shù)據(jù)的訪問,。

  機構(gòu)必須與CISA合作實施全面的日志記錄和信息共享功能,,如OMB 備忘錄M-21-31中所述。

 ?。?)關(guān)鍵舉措

  聯(lián)邦數(shù)據(jù)安全策略

  自動化安全響應(yīng)

  審計對云中敏感數(shù)據(jù)的訪問

  及時獲取日志,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。