2022年1月26日,美国管理和预算办公室(OMB)正式发布《向零信任安全方法迁移的联邦战略》,要求联邦相关机构在2024财年之前满足特定的网络安全标准和目标,以增强政府应对日益复杂和持续的网络威胁的能力。 白宫发布《零信任安全战略》 作者:学术plus观察员 张涛 1.背景:拜登行政命令;美国管理和预算办公室/OMB草案,网络安全与基础设施安全局/CISA模型与参考架构 2.零信任安全模型:零信任安全架构的作用;零信任架构的设计和部署6个基本原则 3.《零信任联邦战略》五大措施:①身份管理(使用“中心化”的身份管理系统+强多因子认证方式)②设备管理(可靠的资产目录+支持云中心的联邦架构)③网络管理(必须使用加密的DNS)④应用和工作负载(安全测试与第三方评估+不可篡改的工作负载)⑤数据管理(成立零信任数据安全指导的联合委员会) 拜登《加强国家安全、国防部和情报系统网络安全》备忘录全文 内容主要整理自外文网站相关资料 仅供学习参考,欢迎交流指正! 文章观点不代表本机构立场 1.2 草案、模型与参考架构 (1)所有的数据源和计算服务都被认为是资源 (2)所有的通信都是安全的,而且安全与网络位置无关 (3)对单个企业资源的访问的授权是对每次连接的授权 (4)对资源的访问是通过策略决定的,包括用户身份的状态和要求的系统,可能还包括其他行为属性 (5)企业要确保所有所属的和相关的系统都在尽可能最安全的状态,并对系统进行监控来确保系统仍然在最安全的状态 (6)用户认证是动态的,并且在允许访问前严格执行 联邦机构要采取的行动 【CISA零信任目标相应表述】身份:联邦机构工作人员使用企业级管理的身份来访问工作中使用的应用。可以应对钓鱼攻击的多因子认证来保护联邦机构工作人员免受复杂的在线攻击的影响。
【CISA零信任目标相应表述】设备:联邦机构应该建立运行和授权政府使用的设备的完整目录,可以预防、检测和响应这些设备上发生的安全事件。
【CISA零信任目标相应表述】网络:联邦机构应该加密环境中所有的DNS请求和HTTP流量,并将其边界变成隔离的环境。
【CISA零信任目标相应表述】应用和工作负载:联邦机构应该将所有应用看做是联网的,定期对应用进行严格的测试,并接收来自外部的漏洞报告。
【CISA零信任目标相应表述】数据:联邦机构应该对数据进行分类,并利用云安全服务来监控对敏感数据的访问,实现企业级的日志和信息共享。
(全文完) |
|