2021年9月7日,,美國(guó)政府發(fā)布了包括《聯(lián)邦零信任戰(zhàn)略》在內(nèi)的推動(dòng)零信任落地的文件“三件套”,,要求在2024財(cái)年末完成零信任架構(gòu)部署,。這三份文件遵循了今年5月美國(guó)總統(tǒng)拜登簽署發(fā)布的關(guān)于加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)安全的行政令,,該項(xiàng)命令中明確涉及多種特定的安全方法與工具,包括多因素身份驗(yàn)證,、加密與零信任等等,。目前這三份文件均為“征集公眾意見”狀態(tài),分別是:
美國(guó)管理與預(yù)算辦公室(OMB)發(fā)布的《推動(dòng)美國(guó)政府運(yùn)用“零信任”網(wǎng)絡(luò)安全原則》(Moving the US Government Towards Zero Trust Cybersecurity Principles)(即《聯(lián)邦零信任戰(zhàn)略》),,目標(biāo)是各機(jī)構(gòu)加速實(shí)現(xiàn)早期零信任成熟度的共享基線,。
網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的《零信任成熟度模型》(Zero Trust Maturity Model)是對(duì)《聯(lián)邦零信任戰(zhàn)略》的補(bǔ)充,旨在為機(jī)構(gòu)提供路線圖和資源,,以實(shí)現(xiàn)最佳的零信任環(huán)境,。
網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局發(fā)布的《云安全技術(shù)參考架構(gòu)》(Cloud Security Technical Reference Architecture)是機(jī)構(gòu)安全遷移到云時(shí)的指南,解釋了共享服務(wù),、云遷移和云安全狀態(tài)管理的注意事項(xiàng),。
(上述三份文件的原文PDF及人工整理后的機(jī)翻全文已上傳三正知識(shí)星球及三正蘑菇云精選,,獲取方式附于文末,。)
對(duì)于美國(guó)推進(jìn)零信任的原因,,聯(lián)邦政府首席信息安全官Chris DeRusha的回答值得玩味:“聯(lián)邦政府的網(wǎng)絡(luò)安全方法必須迅速發(fā)展,跟上我們對(duì)手的步伐,。而朝著零信任原則的邁進(jìn)則是實(shí)現(xiàn)這一目標(biāo)的必經(jīng)之路,。”
零信任文件三件套的主要內(nèi)容
聯(lián)邦零信任戰(zhàn)略
1.戰(zhàn)略目的
《聯(lián)邦政府零信任戰(zhàn)略》的目的是將政府機(jī)構(gòu)的企業(yè)安全架構(gòu)遷移到零信任架構(gòu),。通過制定機(jī)構(gòu)必須采取的初始步驟,,將所有聯(lián)邦機(jī)構(gòu)置于一個(gè)共同的路線圖上,以實(shí)現(xiàn)其向著高度成熟的零信任架構(gòu)發(fā)展,。該戰(zhàn)略設(shè)想的聯(lián)邦零信任架構(gòu)包括:支持跨聯(lián)邦機(jī)構(gòu)的強(qiáng)大身份相關(guān)實(shí)踐,;依賴加密和應(yīng)用程序測(cè)試取代外圍安全;識(shí)別政府的每一個(gè)設(shè)備和資源,;支持安全動(dòng)作的智能自動(dòng)化,;支持安全、穩(wěn)健地使用云服務(wù),。
聯(lián)邦政府首席信息官Clare Martorana在今年9月7日發(fā)布的一份聲明中對(duì)零信任架構(gòu)做出進(jìn)一步解釋:“永不信任,,始終驗(yàn)證。今天的零信任聲明是在向聯(lián)邦政府各級(jí)機(jī)構(gòu)傳達(dá)出明確信息,,即不要默認(rèn)信任網(wǎng)絡(luò)邊界內(nèi)外的任何對(duì)象,。”各級(jí)機(jī)構(gòu)已經(jīng)得到授權(quán),,可以制定計(jì)劃以實(shí)施滿足行政令要求的零信任架構(gòu),。如今有了新的指南與參考架構(gòu),管理與預(yù)算辦公室要求各機(jī)構(gòu)將新的可交付成果納入計(jì)劃當(dāng)中,。
2. 五大支柱目標(biāo)
該戰(zhàn)略要求,,各級(jí)機(jī)構(gòu)在2024年9月底之前實(shí)現(xiàn)五大支柱目標(biāo),詳見附錄,。
身份:機(jī)構(gòu)工作人員應(yīng)使用內(nèi)部身份訪問自己在工作中使用的應(yīng)用程序,。反網(wǎng)絡(luò)釣魚多因素驗(yàn)證則可保護(hù)這些雇員免受復(fù)雜在線攻擊的影響。
設(shè)備:聯(lián)邦政府擁有其運(yùn)營(yíng)并授權(quán)供各級(jí)部門使用的每臺(tái)設(shè)備的完整清單,,可隨時(shí)檢測(cè)并響應(yīng)設(shè)備上發(fā)生的安全事件,。
網(wǎng)絡(luò):各級(jí)機(jī)構(gòu)應(yīng)在環(huán)境中加密所有DNS請(qǐng)求與HTTP流量,并圍繞應(yīng)用程序進(jìn)行網(wǎng)絡(luò)分段,。聯(lián)邦政府辦公室確定了可用于電子郵件傳輸加密的方案選項(xiàng),。
應(yīng)用:機(jī)構(gòu)將一切應(yīng)用程序視為接入互聯(lián)網(wǎng)的應(yīng)用程序,定期對(duì)應(yīng)用進(jìn)行嚴(yán)格測(cè)試,,并歡迎各類外部漏洞評(píng)估報(bào)告,。
數(shù)據(jù):各機(jī)構(gòu)在對(duì)數(shù)據(jù)進(jìn)行徹底分類并加以保護(hù)方面采取統(tǒng)一和清晰的共享路徑。各級(jí)機(jī)構(gòu)應(yīng)使用云安全服務(wù)以監(jiān)控對(duì)自身敏感數(shù)據(jù)的訪問,,并實(shí)現(xiàn)業(yè)務(wù)范圍之內(nèi)的日志記錄與信息共享,。
零信任成熟度模型
美國(guó)網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局于今年6月份擬制《零信任成熟度模型》,,最初是在政府機(jī)構(gòu)內(nèi)分發(fā),9月7日公開發(fā)布并廣泛征求反饋意見,。零信任成熟度模型包括5個(gè)支柱:身份,、設(shè)備、網(wǎng)絡(luò)/環(huán)境,、應(yīng)用程序,、數(shù)據(jù)。
成熟度模型同管理與預(yù)算辦公室在備忘錄中提出的五項(xiàng)目標(biāo)保持一致,,并提供了希望獲得完善零信任架構(gòu)的組織所應(yīng)具備的工具和程序,。這套模型還針對(duì)各個(gè)重點(diǎn)領(lǐng)域探討了如何適應(yīng)“傳統(tǒng)”、“高級(jí)”,、“最佳”等零信任環(huán)境的細(xì)分議題,。
在整個(gè)網(wǎng)絡(luò)體系內(nèi)全面采用零信任安全,無疑要求各級(jí)機(jī)構(gòu)以協(xié)調(diào)的方式配置系統(tǒng)并配合統(tǒng)一的安全工具以實(shí)現(xiàn)順暢運(yùn)作,。為此,,該文件提出,“聯(lián)邦政府網(wǎng)絡(luò)安全的現(xiàn)代化努力,,將要求各級(jí)機(jī)構(gòu)將以往相互隔離的孤島式IT服務(wù)及雇員轉(zhuǎn)化為零信任戰(zhàn)略中能夠動(dòng)員起來,、而且相互協(xié)同的組成單元?!?/p>
網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局長(zhǎng)Jen Easterly指出,成熟度模型只是該局為了幫助政府改善其網(wǎng)絡(luò)安全狀況而開發(fā)出的工具之一:“除此之外,,我局還與美國(guó)數(shù)字服務(wù)與聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃開展合作,,共同編寫出云安全技術(shù)參考架構(gòu),用于指導(dǎo)機(jī)構(gòu)的云安全遷移工作,?!彼忉尩溃巴ㄟ^強(qiáng)大的合作關(guān)系與持續(xù)努力,,我局將不斷開發(fā)出新的創(chuàng)新方法以保護(hù)持續(xù)變化的網(wǎng)絡(luò)邊界,,推動(dòng)聯(lián)邦政府實(shí)現(xiàn)至關(guān)重要的IT現(xiàn)代化目標(biāo)”。
云安全技術(shù)參考架構(gòu)
該文件指導(dǎo)機(jī)構(gòu)如何安全進(jìn)行云遷移,,解釋了共享服務(wù),、云遷移和云安全態(tài)勢(shì)管理的考慮。
拜登政府全面推進(jìn)零信任落地
拜登政府認(rèn)為,,美國(guó)政府網(wǎng)絡(luò)面臨日漸嚴(yán)峻的網(wǎng)絡(luò)威脅態(tài)勢(shì),,網(wǎng)絡(luò)攻擊正不斷損害美國(guó)的經(jīng)濟(jì)和安全,因此拜登政府在今年5月出臺(tái)了第14028號(hào)行政命令《提升美國(guó)網(wǎng)絡(luò)安全》(EO 14028:Improving the Nation's Cybersecurity),,明確指示聯(lián)邦政府各機(jī)構(gòu)引入零信任,。通過全面的網(wǎng)絡(luò)安全建設(shè)落實(shí)基線安全實(shí)踐,,將聯(lián)邦政府網(wǎng)絡(luò)升級(jí)為“零信任”架構(gòu),在處置云基礎(chǔ)設(shè)施相關(guān)風(fēng)險(xiǎn)的同時(shí)實(shí)現(xiàn)其安全效益,。
2020年8月,,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST發(fā)布了零信任架構(gòu)《SP800-207:Zero Trust Architecture》正式版。
2021年2月,,美國(guó)國(guó)家安全局(NSA)發(fā)布關(guān)于零信任安全模型的指南《擁抱零信任安全模型》(Embracing a Zero Trust Security Model),,強(qiáng)烈建議國(guó)家安全系統(tǒng)(NSS)內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、國(guó)防部(DoD)的關(guān)鍵網(wǎng)絡(luò),、國(guó)防工業(yè)基礎(chǔ)(DIB)關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮零信任安全模型,。
2021年5月,美國(guó)防信息系統(tǒng)局(DISA)在其官網(wǎng)公開發(fā)布《國(guó)防部零信任參考架構(gòu)》,,旨在為國(guó)防部增強(qiáng)網(wǎng)絡(luò)安全并在數(shù)字戰(zhàn)場(chǎng)上保持信息優(yōu)勢(shì),。
附錄 五大支柱目標(biāo)
支柱目標(biāo)1:身份
(1)愿景
機(jī)構(gòu)工作人員使用企業(yè)范圍的身份,,來訪問他們?cè)诠ぷ髦惺褂玫膽?yīng)用程序,。防網(wǎng)絡(luò)釣魚MFA可保護(hù)這些人員免受復(fù)雜的在線攻擊。
?。?)行動(dòng)
機(jī)構(gòu)必須為機(jī)構(gòu)用戶建立單點(diǎn)登錄 (SSO) 服務(wù),,該服務(wù)可以集成到應(yīng)用程序和通用平臺(tái)(包括云服務(wù))中。
機(jī)構(gòu)必須在應(yīng)用程序級(jí)別實(shí)施 MFA,,并在可行的情況下使用企業(yè) SSO,。
對(duì)于機(jī)構(gòu)工作人員、承包商和合作伙伴:防釣魚MFA是必須的,。
對(duì)于公共用戶:防釣魚MFA必須是一個(gè)選項(xiàng),。
機(jī)構(gòu)必須采用安全的口令策略,并根據(jù)已知泄露的數(shù)據(jù)檢查口令,。
CISA 將為機(jī)構(gòu)提供一項(xiàng)或多項(xiàng)可以私下檢查口令的服務(wù),,而不會(huì)暴露這些口令。
?。?)關(guān)鍵舉措
1. 企業(yè)范圍的身份
2. 多因素認(rèn)證,,抵御網(wǎng)絡(luò)釣魚
3.面向公眾的身份驗(yàn)證
4. 使用強(qiáng)口令策略
支柱目標(biāo)2:設(shè)備
(1)愿景
聯(lián)邦政府擁有它運(yùn)行和授權(quán)用于政府工作的每臺(tái)設(shè)備的完整清單,,并且可以檢測(cè)和響應(yīng)這些設(shè)備上的事件,。
(2)行動(dòng)
機(jī)構(gòu)必須參與 CISA 的持續(xù)診斷和緩解(CDM) 計(jì)劃,。
CISA 將 CDM 計(jì)劃以最小特權(quán)原則為基礎(chǔ),,并優(yōu)先考慮在基于云的基礎(chǔ)設(shè)施中的有效運(yùn)行。
機(jī)構(gòu)必須確保每個(gè)人工操作的企業(yè)配置設(shè)備,,都有機(jī)構(gòu)選擇的端點(diǎn)檢測(cè)和響應(yīng) (EDR) 工具,。
CISA 將與機(jī)構(gòu)合作,,填補(bǔ) EDR 覆蓋范圍的空白。
機(jī)構(gòu)必須向 CISA 提供對(duì) EDR 數(shù)據(jù)的持續(xù)訪問,。
?。?)關(guān)鍵舉措
盤點(diǎn)資產(chǎn)
政府范圍的EDR(端點(diǎn)檢測(cè)和響應(yīng))
支柱目標(biāo)3:網(wǎng)絡(luò)
(1)愿景
機(jī)構(gòu)在其環(huán)境中加密所有 DNS 請(qǐng)求和 HTTP 流量,,并開始圍繞其應(yīng)用程序?qū)W(wǎng)絡(luò)進(jìn)行分段,。聯(lián)邦政府確定了對(duì)傳輸中的電子郵件進(jìn)行加密的可行途徑。
?。?)行動(dòng)
在技術(shù)支持的任何地方,,機(jī)構(gòu)都必須使用加密的 DNS 來解析 DNS 查詢。
CISA 的保護(hù)性 DNS 程序,,將支持加密的 DNS 請(qǐng)求,。
機(jī)構(gòu)必須對(duì)其環(huán)境中的所有 Web 和應(yīng)用程序接口 (API) 流量,強(qiáng)制實(shí)施 HTTPS,。
CISA 將與機(jī)構(gòu)合作,,將他們的 .gov 域“預(yù)加載”到網(wǎng)絡(luò)瀏覽器中,使其只能通過 HTTPS 訪問,。
CISA 將與聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(FedRAMP)合作,,評(píng)估MTA-STS作為加密電子郵件的可行的政府范圍內(nèi)解決方案,并向 OMB 提出建議,。
機(jī)構(gòu)必須與CISA 協(xié)商制定網(wǎng)絡(luò)分段計(jì)劃并將其提交給 OMB,。
(3)關(guān)鍵舉措
加密 DNS 流量
加密 HTTP 流量
加密電子郵件流量
圍繞應(yīng)用程序分段網(wǎng)絡(luò)
支柱目標(biāo)4:應(yīng)用
?。?)愿景
機(jī)構(gòu)將他們的應(yīng)用程序視為連接到互聯(lián)網(wǎng),,定期對(duì)其進(jìn)行嚴(yán)格的實(shí)證測(cè)試,并歡迎外部漏洞報(bào)告,。
(2)行動(dòng)
機(jī)構(gòu)必須運(yùn)行專門的應(yīng)用程序安全測(cè)試程序,。
機(jī)構(gòu)必須利用專門從事應(yīng)用程序安全的高質(zhì)量公司,,進(jìn)行獨(dú)立的第三方評(píng)估。
CISA 和 GSA 將共同努力,,使此類公司可用于快速采購,。
機(jī)構(gòu)必須維持有效且受歡迎的公開漏洞披露計(jì)劃。
CISA 將提供一個(gè)漏洞披露平臺(tái),,使機(jī)構(gòu)系統(tǒng)所有者可以輕松地直接接收?qǐng)?bào)告并與安全研究人員接觸,。
機(jī)構(gòu)必須確定至少一個(gè)面向內(nèi)部的聯(lián)邦信息安全管理法案 (FISMA )中級(jí)應(yīng)用程序,并使用企業(yè) SSO 使其可通過公共互聯(lián)網(wǎng)訪問,。
CISA 和美國(guó)總務(wù)署(GSA)將共同努力,,為機(jī)構(gòu)提供有關(guān)其在線應(yīng)用程序和其他資產(chǎn)的數(shù)據(jù),。
機(jī)構(gòu)必須向CISA和GSA 提供他們使用的任何非 .gov 主機(jī)名。
?。?)關(guān)鍵舉措
應(yīng)用安全測(cè)試
容易獲得的第三方測(cè)試
歡迎應(yīng)用漏洞報(bào)告
安全地使應(yīng)用程序可訪問互聯(lián)網(wǎng)
發(fā)現(xiàn)可上網(wǎng)的應(yīng)用程序
支柱目標(biāo)5:數(shù)據(jù)
?。?)愿景
機(jī)構(gòu)在部署利用徹底數(shù)據(jù)分類的保護(hù)方面有一條清晰、共享的路徑,。機(jī)構(gòu)利用云安全服務(wù)和工具來發(fā)現(xiàn),、分類和保護(hù)他們的敏感數(shù)據(jù),并實(shí)現(xiàn)了企業(yè)范圍的日志記錄和信息共享,。
?。?)行動(dòng)
OMB 將與聯(lián)邦首席數(shù)據(jù)官和首席信息安全官合作,制定零信任數(shù)據(jù)安全策略和相關(guān)的實(shí)踐社區(qū),。
機(jī)構(gòu)必須對(duì)數(shù)據(jù)分類和安全響應(yīng)進(jìn)行一些初始自動(dòng)化,,重點(diǎn)是標(biāo)記和管理對(duì)敏感文檔的訪問。
機(jī)構(gòu)必須審計(jì)對(duì)商業(yè)云基礎(chǔ)設(shè)施中任何靜態(tài)加密數(shù)據(jù)的訪問,。
機(jī)構(gòu)必須與CISA合作實(shí)施全面的日志記錄和信息共享功能,,如OMB 備忘錄M-21-31中所述。
?。?)關(guān)鍵舉措
聯(lián)邦數(shù)據(jù)安全策略
自動(dòng)化安全響應(yīng)
審計(jì)對(duì)云中敏感數(shù)據(jù)的訪問
及時(shí)獲取日志,。
