深度解读：《美国联邦政府零信任战略》

全文约5000字  阅读约15分钟

这无疑是目前零信任应用领域的最大消息——表明整个美国联邦政府已经正式开启零信任战略。

美国管理和预算办公室（OMB）在2021年9月7日发布了《联邦零信任战略》（Federal Zero Trust Strategy）草案，以支持第14028号行政命令（EO 14028）《改善国家网络安全》，以改变民用机构的企业安全架构，使其基于零信任原则。

拜登总统曾在EO 14028中指出：“渐进式改进不会为我们提供所需的安全性；相反，联邦政府需要做出大胆的改变和重大的投资，以保护支撑美国生活方式的重要机构。” 而本次的《联邦政府零信任战略》无疑就是对此的最好支持和回应。

《联邦政府零信任战略》的目的是将政府机构的企业安全架构迁移到零信任架构。但该战略文件是一个起点，而不是完全成熟的零信任架构的综合指南。当然，零信任的成熟度模型和参考架构，已经在该战略的参考文献中列出，政府机构应该使用它们来规划和执行其长期安全架构的迁移计划。

本战略草案的PDF文档有23页，译文大概1万5千字。笔者概述了本战略的内容要点，并做了相关解读。

战略草案原文链接：https://zerotrust./federal-zero-trust-strategy/

关键词：《联邦政府零信任战略》（Federal Zero Trust Strategy）；OMB（管理和预算办公室）；EO 14028（第14028号行政指令，Executive Order 14028）《改善国家网络安全》；MFA（多因素认证）；CISA (网络安全和基础设施安全局)；GSA（总务管理局）

目  录

1.战略背景解读
2.战略路径解读

3.支柱目标1：身份

4.支柱目标2：设备

5.支柱目标3：网络

6.支柱目标4：应用

7.支柱目标5：数据

8.本战略的参考文件

01

战略背景解读

《联邦政府零信任战略》（Federal Zero Trust Strategy）草案发布的网站截图如下：

本战略文档开宗明义：“管理和预算办公室（OMB）在2021年9月7日发布《联邦政府零信任战略》草案，以支持第14028号行政命令（EO 14028）《改善国家网络安全》，以改变民用机构（civilian agencies）的企业安全架构，使其基于零信任原则。”

笔者对上面这段文字，给予解读：

1）零信任战略是用来支撑EO 14028的。该战略中也重申了EO 14028的重要性：“成功地使联邦政府的安全方法现代化，需要全政府的努力。2021 年 5 月，总统发布了第14028号行政命令 (EO)，《改善国家网络安全》，启动了政府范围内的全面努力，以确保基线安全实践到位，将联邦政府迁移到零信任架构，并实现基于云的基础架构的安全优势，同时降低相关风险。”很明显，EO 14028中已经对联邦政府向零信任架构的迁移做出了明确指示。而这次发布的《联邦零信任战略》就是进一步明确联邦政府零信任战略的实施。

2）战略中最重要的关键词无疑是“机构”（agencies）。简单理解，主要是只政府机构。那为什么要强调“民用机构”（civilian agencies）呢？这主要是和美国国防部这类的“军用机构”划分界限。我们可以简单讲本战略中的“民用机构”理解为“政府机构”。

3）为什么要保护这些政府机构？该战略中提到：“每天，联邦政府都在执行独特且极具挑战性的任务：机构保护我们国家的关键基础设施、开展科学研究、参与外交、为美国人民提供福利和服务，以及许多其他公共职能。为了有效地执行这些任务，我们的国家必须明智而积极地利用现代技术和安全实践，同时避免恶意网络活动造成的破坏。”

4）零信任战略的目的是将政府机构的企业安全架构迁移到零信任架构。这里面的“企业安全架构”就不多解释了。在美国人眼中，一切机构皆为“企业”，不论民用机构还是军用机构。比如，美国国防部，就是最典型的“企业”。

5）评论期很短，正式版可能很快发布。注意到，该战略草案的评论期只有两周（2021年9月21日之前），时间很短。说明OMB希望尽快发布正式版。

6）美国国防部是美国联邦政府机构的零信任先锋。美国机构虽然有军用和民用之分，但不要轻视美国国防部对美国联邦政府的影响力。美国国防部曾经称自己不是一个“热衷于追求热词”的部门。但在零信任这个方向上，国防部如此激进，甚至走在所有联邦政府机构的前头，就是因为美国国防部提前认识到零信任的价值。而现在整个联邦政府都全面转向零信任架构，不能不说：美国国防部功不可没。笔者当然是深知美国国防部的影响力，所以才会在美国国防部开始重视零信任的早期，就密切关注零信任形势的发展。

7）尽管零信任背后的概念并不新鲜，但对联邦机构而言仍然是一个重大转变，因为从概念上消除了对设备和网络的隐性信任。这要求美国政府机构的安全架构必须假设——网络和其他组件将受到入侵和损害，并且要求遵循最小权限原则。

8）联邦政府零信任战略是一项大胆的行动。对于像联邦政府这样复杂且技术多样的企业来说，过渡到零信任架构不是一项容易的任务。但正如拜登总统在 EO 14028 中所述，“渐进式改进（Incremental improvements）不会为我们提供所需的安全性；相反，联邦政府需要做出大胆的改变（bold changes）和重大的投资（significant investments），以保护支撑美国生活方式的重要机构。”

9）零信任战略实施进展时间要求：

• 该战略要求政府机构在2024 财年 (FY) 结束前，实现特定的零信任安全目标（具体目标参加下文中的五个支柱）。

• EO 14028要求各机构制定自己的零信任架构实施计划。在本战略发布之日起 60 天内，各部门和机构应在各自零信任架构实施计划的基础上，纳入本战略中规定的额外要求，并向 OMB 提交 22-24 财年的实施计划和 23-24 财年的预算估算。机构应在22财年重新确定资金的优先次序，以实现优先目标，或从其他来源寻求资金。

• 自本战略发布之日起，部门和机构将有 30 天的时间，为其组织指定和确定零信任架构实施负责人。OMB将依靠这些指定的领导，进行政府范围内的协调以及参与每个组织内的规划和实施工作。

02

战略路径解读

1）联邦零信任战略不是什么？

零信任战略并不试图描述或规定一个完全成熟的零信任实现。甚至不鼓励任何机构超越此战略中所述的行动。该战略的目的是通过制定机构必须采取的初始步骤，将所有联邦机构置于一个共同路线图上，以使其迈向通往高度成熟的零信任架构的旅程。它承认每个机构目前处于不同的成熟状态。

2）联邦零信任战略是什么？

零信任战略的目标是加速各机构实现早期零信任成熟度的共享基线。

对于政府机构来说，转向零信任架构将是一个多年的旅程。 “EO 14028 指示机构专注于满足整个政府的关键基线安全措施，例如通用日志记录、多因素身份验证 (MFA)、可靠的资产清单、无处不在的加密使用，并采用零信任架构。” 该战略试图将机构引导到零信任架构道路上的最高价值起点，并描述了应优先考虑的几种共享服务。简单地说，联邦零信任战略是将政府机构引导到零信任的正确道路上，而且只是开了个头。

3）联邦零信任战略设想了一个联邦零信任架构：

• 支持跨联邦机构的强大身份实践；
• 依赖加密和应用程序测试，而非边界安全；
• 识别政府拥有的每一个设备和资源；
• 支持安全行动的智能自动化；
• 支持安全、稳健地使用云服务。

4）零信任战略要达成的零信任目标分为五个支柱

：（分组依据是CISA (网络安全和基础设施安全局)

零信任成熟度模型的五个支柱）

为什么美国国防部的零信任架构是七大支柱，而联邦政府却是五大支柱？

本质上，两者是一致的。看似消失的两个支柱——

可见性和分析、自动化和编排，实际上是两类横切系统（在下图的底座中），贯穿到五大支柱（纵向系统）中。

零信任的基础：五大支柱和三大基座

5）《美国国防部零信任参考架构》仍是联邦政府零信任架构的重要参考。该战略确实完整引用了《美国国防部零信任参考架构》中的零信任原则，不再赘述。

6）联邦零信任战略的相关干系人

机构的首席财务官、首席采购官、机构领导层的其他人员，需要与其IT和安全领导层合作，以构建运营模型（operational model）来部署和维持零信任能力。

7）联邦零信任战略非常推崇对云的使用

该战略鼓励机构利用云基础设施中丰富的安全功能，该战略也多处引用云服务。

8）五大支柱目标的分解行动，

如后文所述。

03

支柱目标1：身份

1）愿景

机构工作人员使用企业范围的身份，来访问他们在工作中使用的应用程序。防网络钓鱼MFA可保护这些人员免受复杂的在线攻击。2）行动3）关键举措

1. 企业范围的身份

2. 多因素认证，抵御网络钓鱼

3. 面向公众的身份验证

4. 使用强口令策略

04

目标2：设备

1）愿景联邦政府拥有它运行和授权用于政府工作的每台设备的完整清单，并且可以检测和响应这些设备上的事件。2）行动

3）关键举措

1. 盘点资产
   

2. 政府范围的EDR（端点检测和响应）

05

目标3：网络

1）愿景

机构在其环境中加密所有 DNS 请求和 HTTP 流量，并开始围绕其应用程序对网络进行分段。联邦政府确定了对传输中的电子邮件进行加密的可行途径。

2）行动

3）关键举措

1. 加密 DNS 流量

2. 加密 HTTP 流量
   

3. 加密电子邮件流量
   

4. 围绕应用程序分段网络

06

目标4：应用

1）愿景 机构将他们的应用程序视为连接到互联网，定期对其进行严格的实证测试，并欢迎外部漏洞报告。

2）行动

3）关键举措

1. 应用安全测试

2. 容易获得的第三方测试

3. 欢迎应用漏洞报告

4. 安全地使应用程序可访问互联网

5. 发现可上网的应用程序

07

目标5：数据

1）愿景机构在部署利用彻底数据分类的保护方面有一条清晰、共享的路径。机构利用云安全服务和工具来发现、分类和保护他们的敏感数据，并实现了企业范围的日志记录和信息共享。2）行动

1. OMB 将与联邦首席数据官和首席信息安全官合作，制定零信任数据安全策略和相关的实践社区。
2. 机构必须对数据分类和安全响应进行一些初始自动化，重点是标记和管理对敏感文档的访问。
3. 机构必须审计对商业云基础设施中任何静态加密数据的访问。
4. 机构必须与 CISA 合作实施全面的日志记录和信息共享功能，如OMB 备忘录 M-21-31 中所述。

3）关键举措

1. 联邦数据安全策略

2. 自动化安全响应

3. 审计对云中敏感数据的访问

4. 及时获取日志

08

本战略的参考文件

本战略指出：一段时间以来，联邦政府一直在为过渡到零信任架构做准备。一些机构已经发布了对其他机构有帮助的架构模型：

• CISA 的零信任成熟度模型：是对零信任“支柱”的高级概述，展示了机构如何发展到“高级”和“最佳”状态，并描述了 CISA 服务产品如何与这些支柱保持一致。
• CISA 《云安全技术参考架构》：与美国数字服务部（United     States Digital Service）和 FedRAMP 合作，为安全云架构和迁移策略提供了更详细的参考。
• NIST SP 800-207《零信任架构》指南：为零信任架构的关键原则提供了共识定义和框架，同时描述了具有不同风险状况和技能集的组织可以采用的几种不同的零信任架构方法。
• NIST NCCoE（国家网络安全卓越中心）已启动“实施零信任架构”计划： 与行业合作伙伴合作，将 NIST SP 800-207 中的概念应用于传统企业架构。
• GSA《零信任架构买家指南》：可以帮助机构确定提供与机构零信任实施相关的产品和服务的 GSA 合同工具。
• 《国防部零信任参考架构》：全面描述了国防部计划在其系统中执行的潜在安全功能和架构控制。

来源： 柯善学 网络安全观