美国白宫今天发布了一项战略文件,要求联邦政府能在未来两年内逐步采用“零信任”安全架构,以抵御现有威胁并增强整个联邦层面的网络防御能力。

这项战略由白宫管理与预算办公室(OMB)发布,备忘录编号为M-22-09。该办公室的主要职责就是通过监督将总统的规划愿景在美国各级行政部门内实施落地。

此次公告是2021年9月发布首次草案后的正式政府文件,其制定授意来自拜登的第14028号总统行政令。该行政令要求在整个政府范围内启动零信任框架迁移,借此帮助美国实现对于网络攻击活动的现代化防御能力。

管理与预算办公室代理主任Shalanda D. Young表示,“这份备忘录提出了联邦政府零信任架构(ZTA)战略,要求各级机构在2024财年结束之前达成各项既定网络安全标准与目标,旨在加强政府面对日益复杂、持续发生的威胁活动时的防御能力。”

“这些威胁活动往往将矛头指向联邦政府技术基础设施,威胁公共安全与隐私、损害美国经济,同时削弱民众对于政府的信任。”

零信任战略中的核心要素,包括通过强大的多因素身份验证机制改进网络钓鱼防御水平、整合各机构身份系统加密进出流量将内网环境视为不受信环境,同时加强应用程序安全以更好地保护数据内容。

在这项新的联邦政府零信任战略中,管理与预算办公室还提出以下几项具体展望:

  • 联邦政府雇员应拥有由机构负责管理的账户,供他们访问日常工作中需要接触的一切信息,同时可靠地保护雇员免受针对性、复杂网络钓鱼攻击的影响。

  • 联邦政府雇员使用的工作设备将受到持续跟踪与监控,而且在授予内部资源访问权限时,也应考虑到设备的具体安全状况。

  • 各代理系统间相互隔离,往来于不同系统及同一系统内部的网络流量应经过可靠加密。

  • 业务应用程序应经过内部与外部测试,保证可通过互联网安全交付给雇员。

  • 联邦政府各安全团队及数据团队应合作规划数据类别与安全规则,实现对敏感信息的自动检测,最终阻断一切未经授权的访问活动。

可以看到,经过安全厂商多年不懈努力与推动后,零信息安全原则终于开始在政府层面落地扎根。

在这轮现代安全原则的普及趋势之下,从2021年2月开始,美国国家安全局向国家安全系统、国防部及国防工业基础的大型业务与关键网络也开始推荐使用零信任安全实践方法。

Young还表示,“面对日益复杂的网络威胁,政府正在采取果断行动以加强联邦层面的网络防御能力。”

“这项零信任战略希望保证联邦政府能够以身作则,也标志着我们已经迎来新的安全发展里程碑,将借助新的方法与实践击退那些谋划损害美国利益的网络入侵者。”

参考来源:https://www.bleepingcomputer.com/news/security/white-house-wants-us-govt-to-use-a-zero-trust-security-model/

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。