白宫发布关于“零信任”安全方法的联邦网络战略计划
当地时间9月7日,美国政府政策部门管理和预算办公室(Office of Management and budget)和网络安全监管机构-网络安全和基础设施安全局(cybersecurity and Infrastructure Security Agency)发布了关于零信任战略新的指导意见。联邦政府正在大力推动各机构采用零信任的网络安全架构,这些文件形成了各机构在2024财年结束前部署新型网络安全架构的路线图。政府发布的这几份文件公开征求公众意见,OMB寻求关于联邦总体政策的反馈,CISA着重征求技术参考架构和成熟度模型草案的意见。在此之前,今年5月,联邦政府发布了一项加强网络安全的行政命令,其中提到了多因素认证、加密和零信任等具体的安全方法和工具。
当用户在网络中移动时,零信任模型会不断检查用户的凭证,不仅验证他们是他们声称的人,而且还验证用户有访问安全应用程序和数据的适当权限。在成熟的零信任体系结构中,这些检查例行执行,包括当用户试图访问网络的不同分段时。
“永远不要信任,永远要验证”,联邦首席信息官克莱尔·马托拉纳(Clare Martorana)9月7日在一份声明中说,呼应了零信任架构的口号。“通过今天的零信任声明,我们清楚地向联邦机构传达了这样一个信息,即他们不应该自动信任自己管辖范围内外的任何东西。”
各机构已经被授权制定计划,以实施零信任,以满足总统行政命令。现在,有了新的指导和参考架构,OMB要求机构将新的可交付成果纳入这些计划。
OMB的备忘录要求各机构在2024年9月底之前实现五个“具体的零信任安全目标”,所有这些都应该被添加到机构的实施计划中:
身份:机构员工使用企业范围的身份标识来访问他们在工作中使用的应用程序。防钓鱼的MFA(多因素认证)保护这些人员免受复杂的在线攻击。
设备:联邦政府有一个完整的清单,包括它运行的每一个设备,并授权政府使用,可以检测和响应这些设备上的安全事件。
网络:代理机构在其环境中加密所有DNS请求和HTTP流量,并开始围绕其应用程序划分网络。联邦政府确定了一种可行的方法来加密传输中的电子邮件。
应用程序:机构将所有应用程序视为联网的,定期对其应用程序进行严格测试,并欢迎外部机构、人员报告应用程序的漏洞。
数据:各机构在部署利用数据全面分类的保护措施方面走在一条清晰、共享的道路上。各机构正在利用云安全服务监控对其敏感数据的访问,并已实施了企业范围的日志记录和信息共享。
指导文件对这五个目标中的每一个都提供了额外的细节。
各机构也将有一个月的时间来确定实施方案并向OMB报告。
同样在9月7日,CISA公开发布了零信任成熟度模型(Zero Trust Maturity Model,简称ZTMM),该模型是在6月份开发的,并在联邦机构之间广泛传阅,以供考虑和反馈。行政命令并没有特别要求成熟度模型,但官员们制定了额外的指导方针,以帮助机构更快地走向零信任。
成熟度模型与OMB备忘录中列举的5个目标一致,并附加了开发良好的零信任架构的组织所使用的工具和程序的上下文。该模型还包括对每个重点领域如何在“传统”、“先进”和“最佳”零信任环境中运行的细分。
在整个网络中完全采用零信任安全将要求机构以协调的方式配置系统,以使相同的安全工具在整个网络中工作。
为此,成熟度模型指出:“联邦政府网络安全的现代化将要求各机构将烟囱式和竖井式的IT服务和工作人员过渡到零信任战略的协调和协作组件。”
CISA的零信任成熟度模型是众多机构向零信任架构过渡时可以参考的路线图之一。成熟度模型的目标是帮助机构开发它们的零信任策略和实现计划,并提供各种CISA服务支持跨机构零信任解决方案的方法。
成熟度模型以零信任为基础,包括五大支柱和三大跨领域能力。在每个支柱中,成熟度模型向代理机构提供了传统的、高级的和最优的零信任体系结构的具体示例。
CISA局长Jen Easterly指出,成熟度模型只是该机构开发的工具之一,以帮助政府改善其网络安全状况。
“此外,CISA与美国数字服务和联邦风险和授权管理计划合作,共同编写了云安全技术参考架构,该架构将指导机构的安全云迁移工作,”她说。“通过我们强大的伙伴关系和持续的合作努力,CISA将开发新的和创新的方法,以确保不断变化的网络边界,以实现关键的联邦IT现代化。”
CISA 9月7日公布的文件包括该机构目前提供的产品,以及未来作为质量服务管理办公室(Quality Service Management Office,简称QSMO)的工具和服务计划。
这些战略和指导文件为各机构提供了一个“共同的路线图”,尽管它们并不意味着是一个禁止指南。
OMB的指导意见指出:“这认识到每个机构目前都处于不同的成熟状态,并确保在规定的时间范围内实施所需行动的灵活性和敏捷性。”
CISA针对以下关键问题的进行公开征求意见和反馈:
A.在你们准备网络行政命令零信任执行计划时,这份文件是否对你们的机构有帮助?如果没有,可以增加什么指导?
B.关于如何更好地从3个横切功能(可见性和分析、自动化和编配以及治理)中划分出5个支柱,您的机构有什么建议吗?
C.你认为哪些支柱是最好定义的,哪些支柱需要帮助?
D.零信任成熟度模型如何更好地支持你们机构的网络行政命令零信任执行计划?
指导文件向公众征求意见的截止时间是10月1日。
联邦政府首席信息安全官克里斯·德鲁沙(Chris DeRusha)在一份声明中表示,“联邦政府在网络安全方面的做法必须迅速演变,以跟上我们的对手,朝着零信任原则迈进是我们实现这一目标的必需道路。”“虽然我们感到开始实施这一计划的紧迫性,但我们知道,来自更广泛的专家的投入将有助于确保这一计划的正确实施。我们欢迎有关我们如何完善这一战略以最佳地推进联邦网络安全的反馈意见。”
