白宮發布關于“零信任”安全方法的聯邦網絡戰略計劃

當地時間9月7日，美國政府政策部門管理和預算辦公室(Office of Management and budget)和網絡安全監管機構-網絡安全和基礎設施安全局(cybersecurity and Infrastructure Security Agency)發布了關于零信任戰略新的指導意見。聯邦政府正在大力推動各機構采用零信任的網絡安全架構，這些文件形成了各機構在2024財年結束前部署新型網絡安全架構的路線圖。政府發布的這幾份文件公開征求公眾意見，OMB尋求關于聯邦總體政策的反饋，CISA著重征求技術參考架構和成熟度模型草案的意見。在此之前，今年5月，聯邦政府發布了一項加強網絡安全的行政命令，其中提到了多因素認證、加密和零信任等具體的安全方法和工具。

當用戶在網絡中移動時，零信任模型會不斷檢查用戶的憑證，不僅驗證他們是他們聲稱的人，而且還驗證用戶有訪問安全應用程序和數據的適當權限。在成熟的零信任體系結構中，這些檢查例行執行，包括當用戶試圖訪問網絡的不同分段時。

“永遠不要信任，永遠要驗證”，聯邦首席信息官克萊爾·馬托拉納(Clare Martorana)9月7日在一份聲明中說，呼應了零信任架構的口號。“通過今天的零信任聲明，我們清楚地向聯邦機構傳達了這樣一個信息，即他們不應該自動信任自己管轄范圍內外的任何東西。”

各機構已經被授權制定計劃，以實施零信任，以滿足總統行政命令。現在，有了新的指導和參考架構，OMB要求機構將新的可交付成果納入這些計劃。

OMB的備忘錄要求各機構在2024年9月底之前實現五個“具體的零信任安全目標”，所有這些都應該被添加到機構的實施計劃中:

身份:機構員工使用企業范圍的身份標識來訪問他們在工作中使用的應用程序。防釣魚的MFA（多因素認證）保護這些人員免受復雜的在線攻擊。

設備:聯邦政府有一個完整的清單，包括它運行的每一個設備，并授權政府使用，可以檢測和響應這些設備上的安全事件。

網絡:代理機構在其環境中加密所有DNS請求和HTTP流量，并開始圍繞其應用程序劃分網絡。聯邦政府確定了一種可行的方法來加密傳輸中的電子郵件。

應用程序:機構將所有應用程序視為聯網的，定期對其應用程序進行嚴格測試，并歡迎外部機構、人員報告應用程序的漏洞。

數據:各機構在部署利用數據全面分類的保護措施方面走在一條清晰、共享的道路上。各機構正在利用云安全服務監控對其敏感數據的訪問，并已實施了企業范圍的日志記錄和信息共享。

指導文件對這五個目標中的每一個都提供了額外的細節。

各機構也將有一個月的時間來確定實施方案并向OMB報告。

同樣在9月7日，CISA公開發布了零信任成熟度模型(Zero Trust Maturity Model，簡稱ZTMM)，該模型是在6月份開發的，并在聯邦機構之間廣泛傳閱，以供考慮和反饋。行政命令并沒有特別要求成熟度模型，但官員們制定了額外的指導方針，以幫助機構更快地走向零信任。

成熟度模型與OMB備忘錄中列舉的5個目標一致，并附加了開發良好的零信任架構的組織所使用的工具和程序的上下文。該模型還包括對每個重點領域如何在“傳統”、“先進”和“最佳”零信任環境中運行的細分。

在整個網絡中完全采用零信任安全將要求機構以協調的方式配置系統，以使相同的安全工具在整個網絡中工作。

為此，成熟度模型指出:“聯邦政府網絡安全的現代化將要求各機構將煙囪式和豎井式的IT服務和工作人員過渡到零信任戰略的協調和協作組件。”

CISA的零信任成熟度模型是眾多機構向零信任架構過渡時可以參考的路線圖之一。成熟度模型的目標是幫助機構開發它們的零信任策略和實現計劃，并提供各種CISA服務支持跨機構零信任解決方案的方法。

成熟度模型以零信任為基礎，包括五大支柱和三大跨領域能力。在每個支柱中，成熟度模型向代理機構提供了傳統的、高級的和最優的零信任體系結構的具體示例。

CISA局長Jen Easterly指出，成熟度模型只是該機構開發的工具之一，以幫助政府改善其網絡安全狀況。

“此外，CISA與美國數字服務和聯邦風險和授權管理計劃合作，共同編寫了云安全技術參考架構，該架構將指導機構的安全云遷移工作，”她說。“通過我們強大的伙伴關系和持續的合作努力，CISA將開發新的和創新的方法，以確保不斷變化的網絡邊界，以實現關鍵的聯邦IT現代化。”

CISA 9月7日公布的文件包括該機構目前提供的產品，以及未來作為質量服務管理辦公室(Quality Service Management Office，簡稱QSMO)的工具和服務計劃。

這些戰略和指導文件為各機構提供了一個“共同的路線圖”，盡管它們并不意味著是一個禁止指南。

OMB的指導意見指出:“這認識到每個機構目前都處于不同的成熟狀態，并確保在規定的時間范圍內實施所需行動的靈活性和敏捷性。”

CISA針對以下關鍵問題的進行公開征求意見和反饋:

A.在你們準備網絡行政命令零信任執行計劃時，這份文件是否對你們的機構有幫助?如果沒有，可以增加什么指導?

B.關于如何更好地從3個橫切功能(可見性和分析、自動化和編配以及治理)中劃分出5個支柱，您的機構有什么建議嗎?

C.你認為哪些支柱是最好定義的，哪些支柱需要幫助?

D.零信任成熟度模型如何更好地支持你們機構的網絡行政命令零信任執行計劃?

指導文件向公眾征求意見的截止時間是10月1日。

聯邦政府首席信息安全官克里斯·德魯沙(Chris DeRusha)在一份聲明中表示，“聯邦政府在網絡安全方面的做法必須迅速演變，以跟上我們的對手，朝著零信任原則邁進是我們實現這一目標的必需道路。”“雖然我們感到開始實施這一計劃的緊迫性，但我們知道，來自更廣泛的專家的投入將有助于確保這一計劃的正確實施。我們歡迎有關我們如何完善這一戰略以最佳地推進聯邦網絡安全的反饋意見。”