白宫发布联邦政府最终的零信任战略

白宫昨天发布了零信任战略的最终计划，即到2024年将联邦政府转变为“零信任”网络安全战略。

该计划由管理和预算办公室 (OMB) 制定，是对去年9月发布的草案的更新，新版本包括网络安全专业人士、非营利组织和私营企业要求的变更，该机构表示。最终确定的战略包括强调企业访问控制，包括多因素身份验证，以及加密所有DNS和HTTP流量。 

该文件明确指出，向零信任架构的过渡需要时间来实施，尤其是考虑到政府网络和系统的复杂性。零信任的概念，其核心假设网络上的设备永远不应该被信任，多年来一直在行业顾问和网络安全公司中流传。但在诸如SolarWinds漏洞和Microsoft Exchange黑客攻击等攻击将重点放在已经突破外围防御的黑客身上之后，它越来越受到联邦网络安全官员的关注。

“对于像联邦政府这样复杂且技术多样化的企业来说，过渡到零信任架构并不是一项快速或容易的任务，”最终计划称。 

今天，我们发布了一项联邦网络安全战略，旨在推动美国政府走向“零信任”架构——这是在执行@POTUS的网络安全行政命令方面向前迈出的关键一步。https://t.co/mhrEqxAFR6

— 管理和预算办公室 (@OMBPress) 2022 年 1 月 26 日

各机构将有近两年的时间来实施零信任要求，该战略为某些行动项目设定了最后期限。该计划要求各机构在 30 天内为其组织指定零信任战略实施负责人。在 60 天内，各机构必须根据拜登总统去年 5 月发布 的网络安全行政命令制定零信任实施计划。

零信任方法的倡导者表示，它可以帮助防止未来类似 SolarWinds 的攻击，在这种攻击中，黑客首先通过破坏组织供应链中的一个齿轮来获得对目标网络的访问权限。该模型涉及建立内部控制，不断验证用户是否应该能够做他们想做的事情。

“随着我们的对手继续寻求创新方法来破坏我们的基础设施，我们必须继续从根本上改变我们的联邦网络安全方法，”CISA 主任 Jen Easterly 说。“零信任是现代化和加强我们防御的努力的关键要素。CISA 将继续为各机构提供技术支持和运营专业知识，以实现共同的成熟基线。”

国家网络总监克里斯托弗·英格利斯 (Christopher Inglis) 说：“这一战略是我们努力为我们的联邦网络防御建立可防御和连贯的方法的重要一步。” “我们不会等待对下一次网络攻击做出回应。相反，本届政府正在继续通过采取积极措施建立一个更具弹性的社会来降低我们国家面临的风险。”

最终战略文件可以在下面找到：

https://www.scribd.com/document/555119113/Whitehouse-Zero-Trust#fullscreen&from_embed