美國政府更新零信任成熟度模型,將零信任轉型作為長期目標
安全內參4月12日消息,美國網絡安全和基礎設施安全局(CISA)發布《零信任成熟度模型》第二版,對跨多個關鍵支柱(包括身份、網絡、工作負載及數據等)的聯邦機構實施指南進行了更新。
第二版更新了政府范圍內采用零信任安全架構的關鍵定義和指標。這套模型是聯邦機構在設計并實施零信任架構時可以采取的幾種途徑之一。其距離CISA發布首版零信任成熟度模型已經一年有余。
新版本更新了哪些內容?
安全內參了解到,新版本的成熟度階段分為四級,除了首版提出的傳統、高級、最佳三個階段外,還增加了初級階段。CISA修訂了每個階段的指導標準。
新版本不再只是臨時文件,其更新了長期目標——支持聯邦機構設計和實施零信任架構轉型計劃,并與白宮管理與預算辦公室(OMB)M-22-09“推動美國政府邁向零信任網絡安全原則”備忘錄保持一致。
零信任成熟度模型包含五大支柱,分別為身份、設備、網絡、應用與工作負載、數據。在大多數聯邦機構開始關注身份與數據問題的背景下,這套模型旨在為各部門的零信任戰略實施活動提供指導。
CISA針對五大支柱的具體要求進行了修改,并對各大支柱進行了擴充和新增。比如身份支柱,增加了通過FIDO2或PIV實現無密碼MFA,增加身份存儲的靈活性等;設備支柱,增加了設備威脅保護功能以進行集中安全管理;網絡支柱,修改了網絡分段功能推薦基于應用配置文件的微隔離等。
新版本有哪些不足?
值得注意的是,更新后的零信任成熟度模型并沒有解決網絡安全中的事件響應環節。具體來講,其中缺乏明確的日志記錄、監控、警報、取證分析、風險承擔、恢復以及其他與組織網絡安全態勢管理最佳實踐相關的各方面細節。
新版本也未說明,應如何在零信任解決方案與欺騙平臺、經過身份驗證的Web應用程序防火墻、行為分析等新興技術中,有效將機器學習與人工智能功能結合起來。
新版本只提到,“各機構應保持謹慎,防止引發新的利用機會或削弱安全協議。應開展研究和開發,有效確保整個聯邦部門中大規模軟件與硬件系統的完整性。”
GitLab聯邦業務CTO Joel Krooswyk表示,他希望看到成熟度模型能夠更多闡明新技術帶來的威脅與風險因素,例如OpenAI等開發商創建的AI模型,以及過去幾年來聯邦政府大規模上云引發的云技術風險。
“由OpenAI創建的ChatGPT等流行AI工具帶來了新的威脅,如果有人將機密信息輸入AI工具,該模型就會知曉相關內容并以此為基礎自我迭代。”
“現在已經不是AI是否會對我們的網絡安全格局和零信任構成威脅,這一切將只是時間問題。”
實施計劃正有序推進
各聯邦政府機構已經在敦促之下,按照OMB要求提交了零信任架構實施計劃。
CISA將這套成熟度模型定義為聯邦機構轉向零信任架構的“眾多路線圖之一”,旨在通過跨網絡檢查點持續驗證用戶憑證,借此防止對政府數據及服務的未經授權或危險訪問。
Krroswyk等聯邦政府IT專家表示,雖然成熟度模型屬于自愿而非強制性要求,但仍希望這些方案能得到迅速實施。
“我認為這次模型更新之所以沒有受到阻撓,部分原因在于它完全自愿,不具有法律約束力。但我希望它能得到認真對待,而不是被束之高閣。”
