美国政府发布零信任战略，要求2024年完全部署

9月7日，美国管理与预算办公室发布了《联邦零信任战略》，网络安全与基础设施安全局发布了《零信任成熟度模型》、《云安全技术参考架构》公开征集意见；

这些文件共同组成联邦各级机构的网络安全架构路线图，要求在2024财年末完全部署到位。

美国联邦政府正努力推动各机构采用零信任网络安全架构。9月7日（周二），政府政策部门管理与预算办公室（OMB）以及网络安全主管机构网络安全与基础设施安全局（CISA）共同发布了最新指南文件。

管理与预算办公室发布了《联邦零信任战略》，网络安全与基础设施安全局发布了《零信任成熟度模型》、《云安全技术参考架构》，正在公开征集公众意见。

这三份文件遵循了今年5月拜登总统签署发布的关于加强联邦政府网络安全的行政令，这项命令中明确涉及多种特定的安全方法与工具，包括多因素身份验证、加密与零信任等等。

零信任模型会在用户的整个网络活动过程中不断检查其凭证，除了验证身份之外，还会验证用户是否拥有访问安全应用程序及数据的适当权限。在成熟的零信任架构当中，这些检查会在用户尝试访问网络内不同部分时定期重复执行。

联邦零信任战略

联邦政府首席信息官Clare Martorana在周二发布的一份声明中对零信任架构做出进一步解释，“永不信任，始终验证。今天的零信任声明是在向联邦政府各级机构传达出明确信息，即不要默认信任网络边界内外的任何对象。”

各级机构已经得到授权，可以制定计划以实施满足行政令要求的零信任架构。如今，有了新的指南与参考架构，管理与预算办公室要求各机构将新的可交付成果纳入计划当中。

该办公室在文件中要求，各级机构在2024年9月底之前实现五大“具体零信任安全目标”，并确保将这些目标添加至机构实施计划当中：

• 身份：机构工作人员应使用内部身份访问自己在工作中使用的应用程序。反网络钓鱼多因素验证则可保护这些雇员免受复杂在线攻击的影响。

• 设备：联邦政府拥有其运营并授权供各级部门使用的每台设备的完整清单，可随时检测并响应设备上发生的安全事件。
• 网络：各级机构应在环境中加密所有DNS请求与HTTP流量，并围绕应用程序进行网络分段。联邦政府确定办公室了可用于电子邮件传输加密的方案选项。
• 应用：机构将一切应用程序视为接入互联网的应用程序，定期对应用进行严格测试，并欢迎各类外部漏洞评估报告。
• 数据：各机构在对数据进行彻底分类并加以保护方面采取统一的清晰、共享路径。各级机构应使用云安全服务以监控对自身敏感数据的访问，并实现业务范围之内的日志记录与信息共享。

指导文件还对五大目标做出了更多具体说明。

各级机构将有一个月的时间指定一位实施负责人，专门同管理与预算办公室接洽并报告实施情况。

零信任成熟度模型、

云安全技术参考架构

同一天，美国网络与基础设施安全局公开发布了零信任成熟度模型。这套模型诞生于今年6月，目前已经完成了各联邦机构之间的考量与反馈。行政令并没有特别提及成熟度模型，但官员们就此制定了额外的指南意见，希望帮助机构更快转向零信任状态。

成熟度模型同管理与预算办公室在备忘录中提出的五项目标保持一致，并提供了希望获得完善零信任架构的组织所应具备的工具和程序。这套模型还针对各个重点领域探讨了如何适应“传统”、“高级”、“最佳”等零信任环境的细分议题。

在整个网络体系内全面采用零信任安全，无疑要求各级机构以协调的方式配置系统并配合统一的安全工具以实现顺畅运作。

为此，成熟度模型提出，“联邦政府网络安全的现代化努力，将要求各级机构将以往相互隔离的孤岛式IT服务及雇员转化为零信任战略中能够动员起来、而且相互协同的组成单元。”

网络与基础设施安全局长Jen Easterly指出，成熟度模型只是该局为了帮助政府改善其网络安全状况而开发出的工具之一。

“除此之外，我局还与美国数字服务与联邦风险及授权管理计划开展合作，共同编写出云安全技术参考架构，用于指导机构的云安全迁移工作。”她解释道，“通过强大的合作关系与持续努力，我局将不断开发出新的创新方法以保护持续变化的网络边界，推动联邦政府实现至关重要的IT现代化目标。”

网络与基础设施安全局周二发布的文件包括该局当前的多款产品，同时也提到了未来将要发布的工具与服务计划，特别是负责网络安全工作的质量服务管理办公室（QSMO）。

虽然没有明确做出否定性的禁止性约束，但这些战略与指南文件已经共同组成一份面向政府机构的“通用路线图”。

指南写道，“本指南承认不同机构目前处于不同的成熟状态，并保证将在规定的时间范围之内帮助其建立起转型所需的必要灵活性与敏捷性。”

这三份指导文件目前正在公开征求意见，截止日期为10月1日。

联邦政府首席信息安全官Chris DeRusha表示，“联邦政府的网络安全方法必须迅速发展，跟上我们对手的步伐。而朝着零信任原则的迈进则是实现这一目标的必经之路。我们已经切实感受到实施这项计划的紧迫性，好在来自专家社区的广泛指导意见帮助我们确定这是一条正确的发展道路。欢迎各方就如何进一步完善这项战略、更好地推进联邦网络安全建设提供反馈。”

参考来源：nextgov.com