美国土安全部(DHS)针对美国联邦政府对外网络接口安全保障措施的新版指导文件,将采用一种根据不同机构用户之计算环境不同、按照每个独立区域进行保护的“信任域”方法论。国土安全部网络安全与基础设施安全局(CISA)在其于2019年12月20日发布的《可信互联网接口(Trusted Internet Connections,TIC)》指导草案文件中指出,因为移动设备、远程用户、机构分支办公室等应用模式在美国联邦政府网络环境中不断增多,美国联邦政府用户也正处于向云计算环境迁移的过程中,为顺应这些趋势变化,美国政府将在新版“可信互联网接口”指导文件中,摒弃之前“强调网络物理边界”的做法,转向“认识到不同计算环境对‘信任’有不同定义,因此将关注点转向保护用户网络中每个独立功能区域”的方法论。

在之前版本的“可信互联网接口”指导文件中,美国联邦政府要求通过部署在网络边界“可信互联网接口”和“安全策略执行区域(Policy Enforcement Zones,PEPs)”对进出网络的流量进行安全保障。而在新版指导文件中,这个要求被更新为允许将“安全策略执行区域”部署在网络中各独立功能区域的边界,从而向用户提供了“在靠近数据的位置部署安全能力”的灵活性;用户在按照新指导文件实施安全保障措施时,需要先对每个用于数据存储、处理或传输的计算环境,进行信任级别的标注。新版指导文件还将原有的“可信互联网接口”合规验证流程和网络安全指标体系,升级为旨在建立更全面描述用户网络安全态势的自动化指标收集体系。

新版“可信互联网接口”指导文件包含五个网络安全目标:

  1. 管理流量:监视和验证数据链接,确保网络中的活动均已得到授权,同时应用最小权限和默认拒绝的安全原则;

  2. 保护流量秘密:确保只有授权用户可访问网络中传输的数据,验证网络通信双方的身份;

  3. 保护流量完整性:防止数据在传输中遭篡改,若数据已遭改动则能及时发现;

  4. 确保服务弹性:在紧跟技术和威胁发展的同时,推动“有弹性的应用和安全服务”;

  5. 确保有效响应:通过已定义策略及时响应和适应威胁。

声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。