白宮發布聯邦政府最終的零信任戰略

白宮昨天發布了零信任戰略的最終計劃，即到2024年將聯邦政府轉變為“零信任”網絡安全戰略。

該計劃由管理和預算辦公室 (OMB) 制定，是對去年9月發布的草案的更新，新版本包括網絡安全專業人士、非營利組織和私營企業要求的變更，該機構表示。最終確定的戰略包括強調企業訪問控制，包括多因素身份驗證，以及加密所有DNS和HTTP流量。 

該文件明確指出，向零信任架構的過渡需要時間來實施，尤其是考慮到政府網絡和系統的復雜性。零信任的概念，其核心假設網絡上的設備永遠不應該被信任，多年來一直在行業顧問和網絡安全公司中流傳。但在諸如SolarWinds漏洞和Microsoft Exchange黑客攻擊等攻擊將重點放在已經突破外圍防御的黑客身上之后，它越來越受到聯邦網絡安全官員的關注。

“對于像聯邦政府這樣復雜且技術多樣化的企業來說，過渡到零信任架構并不是一項快速或容易的任務，”最終計劃稱。 

今天，我們發布了一項聯邦網絡安全戰略，旨在推動美國政府走向“零信任”架構——這是在執行@POTUS的網絡安全行政命令方面向前邁出的關鍵一步。https://t.co/mhrEqxAFR6

— 管理和預算辦公室 (@OMBPress) 2022 年 1 月 26 日

各機構將有近兩年的時間來實施零信任要求，該戰略為某些行動項目設定了最后期限。該計劃要求各機構在 30 天內為其組織指定零信任戰略實施負責人。在 60 天內，各機構必須根據拜登總統去年 5 月發布 的網絡安全行政命令制定零信任實施計劃。

零信任方法的倡導者表示，它可以幫助防止未來類似 SolarWinds 的攻擊，在這種攻擊中，黑客首先通過破壞組織供應鏈中的一個齒輪來獲得對目標網絡的訪問權限。該模型涉及建立內部控制，不斷驗證用戶是否應該能夠做他們想做的事情。

“隨著我們的對手繼續尋求創新方法來破壞我們的基礎設施，我們必須繼續從根本上改變我們的聯邦網絡安全方法，”CISA 主任 Jen Easterly 說。“零信任是現代化和加強我們防御的努力的關鍵要素。CISA 將繼續為各機構提供技術支持和運營專業知識，以實現共同的成熟基線。”

國家網絡總監克里斯托弗·英格利斯 (Christopher Inglis) 說：“這一戰略是我們努力為我們的聯邦網絡防御建立可防御和連貫的方法的重要一步。” “我們不會等待對下一次網絡攻擊做出回應。相反，本屆政府正在繼續通過采取積極措施建立一個更具彈性的社會來降低我們國家面臨的風險。”

最終戰略文件可以在下面找到：

https://www.scribd.com/document/555119113/Whitehouse-Zero-Trust#fullscreen&from_embed