美國政府發布零信任戰略，要求2024年完全部署

9月7日，美國管理與預算辦公室發布了《聯邦零信任戰略》，網絡安全與基礎設施安全局發布了《零信任成熟度模型》、《云安全技術參考架構》公開征集意見；

這些文件共同組成聯邦各級機構的網絡安全架構路線圖，要求在2024財年末完全部署到位。

美國聯邦政府正努力推動各機構采用零信任網絡安全架構。9月7日（周二），政府政策部門管理與預算辦公室（OMB）以及網絡安全主管機構網絡安全與基礎設施安全局（CISA）共同發布了最新指南文件。

管理與預算辦公室發布了《聯邦零信任戰略》，網絡安全與基礎設施安全局發布了《零信任成熟度模型》、《云安全技術參考架構》，正在公開征集公眾意見。

這三份文件遵循了今年5月拜登總統簽署發布的關于加強聯邦政府網絡安全的行政令，這項命令中明確涉及多種特定的安全方法與工具，包括多因素身份驗證、加密與零信任等等。

零信任模型會在用戶的整個網絡活動過程中不斷檢查其憑證，除了驗證身份之外，還會驗證用戶是否擁有訪問安全應用程序及數據的適當權限。在成熟的零信任架構當中，這些檢查會在用戶嘗試訪問網絡內不同部分時定期重復執行。

聯邦零信任戰略

聯邦政府首席信息官Clare Martorana在周二發布的一份聲明中對零信任架構做出進一步解釋，“永不信任，始終驗證。今天的零信任聲明是在向聯邦政府各級機構傳達出明確信息，即不要默認信任網絡邊界內外的任何對象。”

各級機構已經得到授權，可以制定計劃以實施滿足行政令要求的零信任架構。如今，有了新的指南與參考架構，管理與預算辦公室要求各機構將新的可交付成果納入計劃當中。

該辦公室在文件中要求，各級機構在2024年9月底之前實現五大“具體零信任安全目標”，并確保將這些目標添加至機構實施計劃當中：

• 身份：機構工作人員應使用內部身份訪問自己在工作中使用的應用程序。反網絡釣魚多因素驗證則可保護這些雇員免受復雜在線攻擊的影響。

• 設備：聯邦政府擁有其運營并授權供各級部門使用的每臺設備的完整清單，可隨時檢測并響應設備上發生的安全事件。
• 網絡：各級機構應在環境中加密所有DNS請求與HTTP流量，并圍繞應用程序進行網絡分段。聯邦政府確定辦公室了可用于電子郵件傳輸加密的方案選項。
• 應用：機構將一切應用程序視為接入互聯網的應用程序，定期對應用進行嚴格測試，并歡迎各類外部漏洞評估報告。
• 數據：各機構在對數據進行徹底分類并加以保護方面采取統一的清晰、共享路徑。各級機構應使用云安全服務以監控對自身敏感數據的訪問，并實現業務范圍之內的日志記錄與信息共享。

指導文件還對五大目標做出了更多具體說明。

各級機構將有一個月的時間指定一位實施負責人，專門同管理與預算辦公室接洽并報告實施情況。

零信任成熟度模型、

云安全技術參考架構

同一天，美國網絡與基礎設施安全局公開發布了零信任成熟度模型。這套模型誕生于今年6月，目前已經完成了各聯邦機構之間的考量與反饋。行政令并沒有特別提及成熟度模型，但官員們就此制定了額外的指南意見，希望幫助機構更快轉向零信任狀態。

成熟度模型同管理與預算辦公室在備忘錄中提出的五項目標保持一致，并提供了希望獲得完善零信任架構的組織所應具備的工具和程序。這套模型還針對各個重點領域探討了如何適應“傳統”、“高級”、“最佳”等零信任環境的細分議題。

在整個網絡體系內全面采用零信任安全，無疑要求各級機構以協調的方式配置系統并配合統一的安全工具以實現順暢運作。

為此，成熟度模型提出，“聯邦政府網絡安全的現代化努力，將要求各級機構將以往相互隔離的孤島式IT服務及雇員轉化為零信任戰略中能夠動員起來、而且相互協同的組成單元。”

網絡與基礎設施安全局長Jen Easterly指出，成熟度模型只是該局為了幫助政府改善其網絡安全狀況而開發出的工具之一。

“除此之外，我局還與美國數字服務與聯邦風險及授權管理計劃開展合作，共同編寫出云安全技術參考架構，用于指導機構的云安全遷移工作。”她解釋道，“通過強大的合作關系與持續努力，我局將不斷開發出新的創新方法以保護持續變化的網絡邊界，推動聯邦政府實現至關重要的IT現代化目標。”

網絡與基礎設施安全局周二發布的文件包括該局當前的多款產品，同時也提到了未來將要發布的工具與服務計劃，特別是負責網絡安全工作的質量服務管理辦公室（QSMO）。

雖然沒有明確做出否定性的禁止性約束，但這些戰略與指南文件已經共同組成一份面向政府機構的“通用路線圖”。

指南寫道，“本指南承認不同機構目前處于不同的成熟狀態，并保證將在規定的時間范圍之內幫助其建立起轉型所需的必要靈活性與敏捷性。”

這三份指導文件目前正在公開征求意見，截止日期為10月1日。

聯邦政府首席信息安全官Chris DeRusha表示，“聯邦政府的網絡安全方法必須迅速發展，跟上我們對手的步伐。而朝著零信任原則的邁進則是實現這一目標的必經之路。我們已經切實感受到實施這項計劃的緊迫性，好在來自專家社區的廣泛指導意見幫助我們確定這是一條正確的發展道路。歡迎各方就如何進一步完善這項戰略、更好地推進聯邦網絡安全建設提供反饋。”

參考來源：nextgov.com