信息來源：安全內(nèi)參

美國白宮今天發(fā)布了一項戰(zhàn)略文件，要求聯(lián)邦政府能在未來兩年內(nèi)逐步采用“零信任”安全架構(gòu)，以抵御現(xiàn)有威脅并增強整個聯(lián)邦層面的網(wǎng)絡(luò)防御能力。

這項戰(zhàn)略由白宮管理與預(yù)算辦公室（OMB）發(fā)布，備忘錄編號為M-22-09。該辦公室的主要職責(zé)就是通過監(jiān)督將總統(tǒng)的規(guī)劃愿景在美國各級行政部門內(nèi)實施落地。

此次公告是2021年9月發(fā)布首次草案后的正式政府文件，其制定授意來自拜登的第14028號總統(tǒng)行政令。該行政令要求在整個政府范圍內(nèi)啟動零信任框架遷移，借此幫助美國實現(xiàn)對于網(wǎng)絡(luò)攻擊活動的現(xiàn)代化防御能力。

管理與預(yù)算辦公室代理主任Shalanda D. Young表示，“這份備忘錄提出了聯(lián)邦政府零信任架構(gòu)（ZTA）戰(zhàn)略，要求各級機構(gòu)在2024財年結(jié)束之前達(dá)成各項既定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與目標(biāo)，旨在加強政府面對日益復(fù)雜、持續(xù)發(fā)生的威脅活動時的防御能力?！?

“這些威脅活動往往將矛頭指向聯(lián)邦政府技術(shù)基礎(chǔ)設(shè)施，威脅公共安全與隱私、損害美國經(jīng)濟，同時削弱民眾對于政府的信任。”

零信任戰(zhàn)略中的核心要素，包括通過強大的多因素身份驗證機制改進網(wǎng)絡(luò)釣魚防御水平、整合各機構(gòu)身份系統(tǒng)、加密進出流量、將內(nèi)網(wǎng)環(huán)境視為不受信環(huán)境，同時加強應(yīng)用程序安全以更好地保護數(shù)據(jù)內(nèi)容。

在這項新的聯(lián)邦政府零信任戰(zhàn)略中，管理與預(yù)算辦公室還提出以下幾項具體展望：

• 聯(lián)邦政府雇員應(yīng)擁有由機構(gòu)負(fù)責(zé)管理的賬戶，供他們訪問日常工作中需要接觸的一切信息，同時可靠地保護雇員免受針對性、復(fù)雜網(wǎng)絡(luò)釣魚攻擊的影響。

• 聯(lián)邦政府雇員使用的工作設(shè)備將受到持續(xù)跟蹤與監(jiān)控，而且在授予內(nèi)部資源訪問權(quán)限時，也應(yīng)考慮到設(shè)備的具體安全狀況。

• 各代理系統(tǒng)間相互隔離，往來于不同系統(tǒng)及同一系統(tǒng)內(nèi)部的網(wǎng)絡(luò)流量應(yīng)經(jīng)過可靠加密。

• 業(yè)務(wù)應(yīng)用程序應(yīng)經(jīng)過內(nèi)部與外部測試，保證可通過互聯(lián)網(wǎng)安全交付給雇員。

• 聯(lián)邦政府各安全團隊及數(shù)據(jù)團隊?wèi)?yīng)合作規(guī)劃數(shù)據(jù)類別與安全規(guī)則，實現(xiàn)對敏感信息的自動檢測，最終阻斷一切未經(jīng)授權(quán)的訪問活動。

可以看到，經(jīng)過安全廠商多年不懈努力與推動后，零信息安全原則終于開始在政府層面落地扎根。

在這輪現(xiàn)代安全原則的普及趨勢之下，從2021年2月開始，美國國家安全局向國家安全系統(tǒng)、國防部及國防工業(yè)基礎(chǔ)的大型業(yè)務(wù)與關(guān)鍵網(wǎng)絡(luò)也開始推薦使用零信任安全實踐方法。

Young還表示，“面對日益復(fù)雜的網(wǎng)絡(luò)威脅，政府正在采取果斷行動以加強聯(lián)邦層面的網(wǎng)絡(luò)防御能力。”

“這項零信任戰(zhàn)略希望保證聯(lián)邦政府能夠以身作則，也標(biāo)志著我們已經(jīng)迎來新的安全發(fā)展里程碑，將借助新的方法與實踐擊退那些謀劃損害美國利益的網(wǎng)絡(luò)入侵者。”

參考來源：https://www.bleepingcomputer.com/news/security/white-house-wants-us-govt-to-use-a-zero-trust-security-model/