《美国联邦政府零信任战略》全文翻译

摘 要：

为全面落实拜登政府 2021 年颁布的《关于改善国家网络安全》，美国管理和预算办公室发布《联邦零信任战略》，该战略旨在摆脱传统的基于边界的网络防御，转向对所有用户、设备、应用程序及业务的持续验证。通过阐述零信任实施的 5 大目标，提供整合身份系统、运营设备资产清单、加密进出流量等行动措施，并强调了支柱工作的短期、长期时限，以供联邦各机构着手实施零信任。

内容目录：

1 行动措施

1.1 身 份

1.2 设备

1.3 网络

1.4 应用程序和工作任务

1.5 数据

2 结 语

美国联邦政府的安全现代化需要整个政府的共同努力。2021 年 5 月，美国总统拜登签署了第 14028 号行政命令《关于改善国家网络安全》，该行政命令旨在政府范围内启动一项确保安全实践的全面计划，要求将政府安全架构迁移至零信任架构，实现基于云的基础设施安全优势，以此降低相关网络风险。为了落实该行政命令，美国管理和预算办公室（Office of Management and Budget，OMB）于 2022 年 1 月 26 日发布《联邦零信任战略》以推动联邦机构采用安全架构适应零信任原则。随后发布 M-22-09 号备忘录《推动美国政府走向零信任网络安全原则》，该备忘录提出了联邦零信任架构（Zero Trust Architecture，ZTA）战略，要求各机构在 2024 年前达到特定的网络安全标准和目标，以加强政府抵御日益复杂、持续的网络威胁活动的能力。

１行动措施

该备忘录要求联邦机构在 2024 年前实现基于美国网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA）零信任成熟度模型的安全目标，零信任模型描述了 5个工作支柱（身份、设备、网络、应用程序和工作任务，以及数据）及 3 个主题（可见性和分析、自动化和协同，以及治理）。此备忘录提出的战略目标与 CISA 的 5 个工作支柱保持一致，包括：（1）身份。各机构工作人员使用内部体系管理的身份来访问工作中使用的应用程序。基于多因素身份认证的防钓鱼措施能有效保护工作人员免受复杂的在线攻击。（2）设备。联邦政府拥有其运营和授权使用所有设备的完整清单，并且可以预防、检测和响应这些设备上可能发生的攻击事件。（3）网络。各机构对其环境中的所有域名解析系统（Domain Name System，DNS）请求和超文本传输协议（Hyper Text Transfer Protocol，HTTP）流量进行加密，并执行计划将其边界进行分解，使其成为隔离环境。（4）应用程序和工作任务。各机构将所有应用程序接入互联网，定期对其应用程序进行严格测试，并欢迎外部提供漏洞评估报告。（5）数据。各机构应清楚如何利用全面数据分类来部署保护。各机构正在利用基于云安全服务的优势来监控对有关敏感数据的访问，并实施全局日志记录和信息共享。

第 14028 号行政命令要求各联邦机构制定自己的零信任架构实施计划，在本备忘录发布60 日内，各机构需要将该备忘录确定的附加要求增加到制定的零信任架构实施计划中，并向OMB、CISA 提 交 2022—2024 财年实施计划和2024 财年估定预算，供 OMB、CISA 审核批准。同时，各机构需在 2022—2023 年以内部筹集或其他筹集的方式（例如周转资金或技术现代化基金）筹集资金，实现优先目标。

各机构应在本备忘录发布 30 日内确定零信任战略实施负责人。OMB 将通过负责人进行政府范围内的协调，并参与各机构内部的规划和实施工作。

1.1 身份

（1）联邦机构必须使用集中式身份管理系统，并将此系统整合至应用程序和通用平台中。

联邦政府必须改进其身份管理系统和访问控制。各机构通过采用新的基础设施和应用程序，确保用户访问信息的目的、时间的准确性，以全面了解用户责任及权限，并通过用户访问系统时验证其身份。这些基本要素将有利于机构建立基于风险的访问系统，同时在机构内部实施强有力的认证，并将认证方式尽量融入至机构管理的身份认证系统中。

使用集中式身份管理系统提供身份认证和访问管理服务，可以减少工作人员管理用户账户和凭证的负担，还提高了机构对用户活动的了解，使各机构能够更统一地执行限制访问的安全策略，并在需要时快速检测出异常行为并对其采取行动。因此，各联邦机构都应该支持设计良好的集中式身份管理系统，并将其整合到尽可能多的应用程序中。

机构身份管理系统必须与常见的应用程序和通用平台兼容。同时，各机构身份管理系统应使用现代化、开放式的标准，以促进各机构与商用云服务的整合。为促进一致性和可审计性的身份管理，机构身份管理系统还应该支持通过非图形用户界面（如脚本和命令行工具）进行人工身份认证。

（2）联邦机构必须使用多因素身份认证。强有力的身份认证是零信任架构的必要 组 成 部 分， 而 多 因 素 认 证（Multi-Factor Authentication，MFA）是联邦政府关键安全基线的重要组成部分。

各机构必须在涉及其工作人员、承包商和合作伙伴通过使用身份验证访问系统的应用程序中集成和执行 MFA。

MFA 应在应用层（例如身份认证服务）进行集成，而不是通过网络层进行身份认证（例如虚拟专用网络）。在成熟的零信任部署中，用户只需要对应用程序进行严格认证，而不是对整个基础网络。

各机构必须要求用户使用抗网络钓鱼攻击的方法访问托管账户，同时停止通过无法抵御网络钓鱼攻击的认证方法（例如短信或语音通话注册电话号码、提供一次性代码或接收推送通知）来进行日常自助访问。对于多数机构，联邦政府的个人身份验证（Personal Identity Verification，PIV）将是支持抗网络钓鱼攻击 MFA 要求的最简单方式之一，同时也是 OMB 发布 M-19-17 号备忘录要求的联邦信息系统的主要认证方式。在身份管理系统中，各机构应尽最大可能对非PIV 认证器提供支持，以便集中管理这些认证器并与机构建立身份认证连接。

美国国家标准技术研究院（National Institute of Standards and Technology，NIST）发布了 SP 800-63B 号备忘录《数字身份指南：身份验证和生命周期管理》。文件指出，在本备忘录发布后一年内，各联邦机构必须删除所有系统中的特殊字符及定期更换密码的管理要求。

面向公众服务的政府系统需要为用户提供更多的认证选项。为此，支持 MFA 面向公众服务的机构系统必须在本备忘录发布后的一年内为用户提供使用防网络钓鱼攻击身份验证的选项。满足公众的这一要求将意味着为基于 Web身份验证的方法提供支持，例如安全密钥。各机构还可以为以个人身份访问面向公众服务的政府系统的机构工作人员和承包商提供使用 PIV和访问卡（Common Access Card，CAC）进行身份认证验证的支持。

（3）在授权用户正常访问全局资源时，机构认证系统必须将至少一个设备级信号与授权访问用户的身份信息相结合。

授权是授予经过身份验证的实体访问资源的过程，决定用户是否有权执行操作。目前，联邦政府的多数授权模式侧重基于角色的访问控 制（Role-Based Access Control，RBAC）， 依赖于分配给用户并确定其在组织内的静态预定义角色权限，零信任架构应包含更细化和动态定义的权限，例如基于属性的访问控制（Attribute Based Access Control，ABAC）。

授权可以在多个级别执行。例如，粗粒度授权（确定拥有应用程序初始访问权限的用户）可以由基于 ABAC 方法的工具执行；细粒度授权（确定对特定数据访问权限）可以在应用程序本身中执行，以根据 RBAC 授予用户不同级别的访问权限。ABAC 和 RBAC 通过对用户身份、访问资源属性以及访问环境强制执行检查，从而允许或拒绝对其访问。

1.2 设备

（1） 联邦机构必须通过参与 CISA 的持续诊断和缓解（Continuous Diagnostics and Mitigation，CDM）项目创建可靠的资产清单。

任一机构内的零信任架构基础是对内部设备、用户和系统的全面了解。CISA 的 CDM计划可提供一套针对机构资产的检测和监控服务能力，旨在帮助各机构实现对自身资产的基本认知。

第 14028 号行政命令指出， 参 与 CDM 计划的联邦政府文职机构必须与美国国土安全部（United States Department of Homeland Security，DHS）签订协议，各机构必须建立持续、可靠和完整的资产清单。同时，该计划在具有丰富、细化和动态权限系统的云环境中尤其实用。因此，CISA 将致力于发展更好的支持面向云的联邦架构的 CDM 计划。

（2）联邦机构必须广泛部署端点检测和响应（Endpoint Detection and Response，EDR）工具，建立信息共享能力。

第 14028 号行政命令强调了主动检测网络安全事件的重要性，以及在处理事故响应过程中联邦政府“追捕”能力的必要性。为支持该行政命令，OMB 发布了 M-22-01 号备忘录，旨在通过 EDR 改进对联邦政府系统中网络安全漏洞和事件的检测。

为实现 EDR 在联邦政府范围内的全面使用，各机构必须确保其 EDR 工具符合 CISA 的技术要求，并在其机构中部署运行。为实现联邦政府范围内的事件响应，各机构必须按照 M-22-01号备忘录要求，与 CISA 合作确定实施差距，协调 EDR 工具部署，建立信息共享能力。

总的来说，该方式的目的是在整个联邦政府范围内保持不同 EDR 工具的多样性，可支持不同技术环境下的机构，确保对联邦文职机构的活动具备基本了解。

1.3 网络

（1）联邦机构必须使用加密 DNS 解析请求。机 构 可 以 通 过 指 定 的 DNS 解 析 器 访 问、识别和记录加密 DNS 请求的信息内容。各机构在零信任迁移计划中，要求说明确定缺乏加密 DNS 的技术支持情况，以更新操作系统或以其他方式确保在 2024 年前支持整个机构加密DNS。

预计在 2024 年前，各机构被要求通过 CISA运营的基础设施处理 DNS 请求。为支持安全的机构 DNS 流量，CISA 的保护性 DNS 产品将支持加密 DNS 通信，并将扩展以适应云基础设施和移动终端的使用。

（2）联邦机构必须对所有的 Web 和应用程 序 接 口（Application Program Interface，API）流 量 强 制 使 用 超 文 本 传 输 安 全 协 议（Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS）。

OMB 发布的 M-15-13 号备忘录和 DHS 发布的《约束性操作指令 18-01》（BOD 18-01）都旨在要求各机构在所有互联网访问的网络服务和 API 中使用 HTTPS。为满足这一要求，同时满足零信任战略对所有 HTTP 流量的加密要求，并强化联邦政府域名的顶级地位，各机构必须与 CISA 的 DotGov 计划合作，使机构拥有的联邦政府域名在网络浏览器中成为HTTPS专用。

联邦政府域名最终将整个域名空间预装为HTTPS 专用区，这一变化将改善各级政府机构的安全和零信任态势。

（3）CISA 将与联邦风险和授权管理计划（FedRAMP）合作评估政府范围内的加密邮件解决方案。CISA 将评估现行开放标准作为政府在传输加密电子邮件解决方案的可行性，并向 OMB提出建议。作为评估的一部分，CISA 应该与FedRAMP 合作，召集云服务提供商和电子邮件生态系统的其他参与者进行协商。

（4）联邦机构必须制定零信任架构方案，明确环境隔离方法。

本备忘录要求各机构与 CISA 协商，制定一个零信任架构路线图，并将其纳入零信任全面实施和计划中。该路线图描述机构如何隔离应用程序和环境，阐述机构范围内可能的网络运营和安全目标。此外，机构应该构思如何将云基础设施融入零信任架构中，使得机构安全、鲁棒地使用云基础设施。

1.4 应用程序和工作任务

（1）联邦机构必须进行专门的应用程序安全测试。

为使应用程序能够抵御复杂的探测和攻击，各联邦机构必须分析部署的软件及其功能。各机构已创建安全评估报告（Security Assessment Report，SAR）作为授权信息系统的部分内容，这些 SAR 不仅包含由自动化工具收集用于漏洞扫描和定制开发软件代码分析的信息，还包括更耗时、专业和特定的应用程序作为分析方法。

机构系统授权过程必须同时结合自动分析工具和人工专家分析。为了解机构在授权前对应用程序执行的深度安全分析，OMB 可以随时要求机构提供应用程序的最新安全评估。随着应用程序、依赖项、组件和基础设施的发展，机构预计将向持续监控和持续授权发展，同时采用定期手动安全评估。机构必须优先考虑并解决在 SAR 中发现的漏洞。

根据第 14028 号行政命令要求，NIST 制定了软件开发人员验证指南，该指南为机构战略、方法和应用程序测试提供标准流程。

（2）联邦机构必须通过专业安全公司进行第三方安全评估。

在本备忘录发布一年内，CISA 和美国总务管 理 局（General Services Administration，GSA）将合作建立一个可快速获得应用程序安全测试能力的采购团队，使机构可以在一个月内完成大部分安全工作（紧急情况下几日即可完成）。

（3）联邦机构必须为互联网系统创建公共漏洞披露计划。

为确保联邦机构能够从公众接收漏洞信息，OMB 发布的 M-20-32 号备忘录和 CISA 发布的《约束性操作指令 20-01》（BOD 20-01），都要求机构发布安全联系方式，明确接受漏洞披露政策（Vulnerability Disclosure Policy，VDP）。

根据上述要求，各机构必须于 2022 年 9 月前接受外部的互联网系统漏洞报告，并创建报告渠道，使系统所有者能够直接、实时地获取漏洞报告。为了提高内部安全，避免公开披露未修补漏洞，各机构应集中精力，以负责任的方式验证和解决外部报告的漏洞。

（4）联邦机构必须保障由联邦信息安全管理 法 案（Federal Information Security Management Act，FISMA）定义的 FISMA 模式系统的安全、全面运行。

对多数机构来讲，在不依赖虚拟专用网络（Virtual Private Network VPN）或其他网络通道的情况下，使应用程序安全访问互联网，是需要付出巨大努力的。为了推动该工作，每个机构必须选择至少一个需要认证且目前无法通过互联网访问的 FISMA 安全系统，然后在本备忘录发布一年内，采取必要行动确保 FISMA 模式系统安全、全面运行。

对 此， 各 机 构 需 建 立 最 低 限 度 的 可 监 控基础设施、拒绝服务保护措施和强制访问控制策略。在实施过程中，机构应将面向互联网的系统整合至企业身份管理系统中。机构率先在FISMA 低级系统上进行控制及流程的转变，可极大地增强该工作的完成信心。

（5）CISA 和 GSA 协作为联邦机构提供在线应用和其他资产的数据。

为有效实施零信任架构，机构必须全面了解其可访问的互联网资产清单，以便应用一致性的安全策略，充分定义、适应用户工作流程。但除内部记录外，还要依靠从互联网对其基础设施进行外部扫描。

为全面了解联邦域名的使用情况，在本备忘录发布后的 60 天内，各机构必须向 CISA和 GSA 提供其互联网可访问信息系统使用的任何非联邦政府域名。CISA 也将与 GSA 合作，为非联邦政府域名和相关数据的编目定义一个简化且双方认可的流程，以最大限度地减少人工工作。

（6）联邦机构在部署服务尤其是部署云基础设施时要使用不可篡改的工作负载。

成熟的云基础设施通常为完全自动化的部署策略提供优化技术接口，同时能够支持部署和中止实践，从根本上提高了安全性能。自动化、不可篡改的部署通过允许显著改进的最小权限架构支持机构的零信任目标。当应用程序部署不再需要手动访问和干预时，对服务器和其他资源的个人访问会受到极大限制，更容易集中管理和审核。

各机构在部署服务时应尽量使用不可篡改的工作负载，特别是云基础设施。在现代软件开发全生命周期实践中，以持续集成 / 连续部署和基础设施作为代码，有助于创建基于不可篡改工作负载的可靠、可预测和可伸缩的应用程序。

各机构应使用 CISA 发布的《云安全技术参考架构》作为指导，将第三方服务从内部托管迁移到云基础设施供应商。

1.5 数据

（1）成立提供零信任数据安全指南的联合工作组。

在本备忘录发布后的 90 天内，美国联邦首 席 数 据 官（Chief Data Office，CDO） 委 员 会和美国联邦首席信息安全官（Chief Information Security Office，CISO）委员会将共同成立零信任数据安全联合工作组，为各机构制定一份数据安全指南，解决安全背景下的联邦信息分类计划中的数据分类问题，还将支持开发现有联邦信息分类中未涉及的特定数据类别。

该工作组将指定某一机构或内部成员牵头，构建一个可协助各机构处理重点领域的团队。工作组将与机构间统计政策理事会密切合作，并与其他联邦委员会、利益相关者共同编写安全指南。由于支持全局范围内数据分类的技术市场处于成熟阶段，工作组还将确定并支持各机构的新方法试点工作。

（2）联邦机构必须实现初步自动化数据分类和安全响应，解决敏感文档的标记和访问管理。

机构应根据实际需要完整地抓取整个系统和云基础设施中的来自自动化安全监控和执行中的安全事件，这种能力通常为安全编排、自动化和响应（Security Orchestration, Automation, and Response，SOAR）。此功能将需要丰富的数据（包括受保护的数据类型以及访问数据的人员）通知系统进行编排和权限管理。机构应尽量采用基于机器学习的方法对收集的数据进行分类，并在整个机构中尽可能实时地部署提供对异常行为的早期预警或监测的流程。

在本备忘录发布后的 120 天内，COD 必须与主要相关方合作，为机构内部敏感电子文件制定一套初步分类方法，用于自动监测并限制文件共享。分类方法预计由人工手动制定，无需完整但要求覆盖广，以便发挥作用，同时要求具体，以便更可靠、更准确。例如，对采购敏感文件使用标准模版的机构可能会尝试检测其使用时间。

（3）联邦机构必须对商业云基础设施中所有加密数据访问进行审计。

第 14028 号行政命令要求各机构使用加密技术保护静态数据。静态加密可以保护静态复制的数据，但不能阻止脆弱的系统组件访问解密的数据。云基础设施提供商可以通过云管理的加解密操作及相关日志活动帮助检测。通过云基础设施，机构可以管理密钥、访问解密操作，从而实施安全约束、构建零信任架构。当机构对云静态数据进行加密时，机构必须使用密钥管理工具创建审计日志，记录数据访问尝试。

成熟度较高阶段，机构应将审计日志与其他事件数据源相结合，以采用更复杂的安全监控方法。例如，机构可以将数据访问的时间与用户发起事件的时间进行比较，以确定是否为正常应用程序活动引起的数据库访问。

（4）联邦机构必须与 CISA 协作实现综合日志及信息共享。第 14028 号行政命令呼吁采取行动提高政府调查和恢复事件及漏洞的能力。同时根据 CISA的建议，OMB 发布 M-21-31 号备忘录《提高联邦政府对网络安全事件的调查和补救能力》，旨在建立云托管和代理运营环境以保留和管理日志，确保每个机构最高安全运营中心（Security Operations Center，SOC）的集中访问和可见性，以加强机构间的信息共享，加快事件响应和调查工作。为帮助各机构确定其工作的优先次序，该备忘录建立了一个分层成熟度模型，旨在帮助机构在实施日志分类、改进 SOC 操作和集中访问等各种要求实施间取得平衡。同时按照要求，各机构必须于 2022 年 8 月 27 日前达到第一个事件日志成熟度级别（E1-1），并率先完成完整性措施，限制对日志的访问并允许对其加密验证，以及记录在整个环境中发出的 DNS 请求。

２结 语

作为 OMB 于 2021 年 9 月发布的《零信任战略草案》的正式版本，本备忘录增加了身份、网络等工作支柱的部分内容，并特意增加了任务矩阵（Task Matrix），高度浓缩了联邦政府对零信任的 5 个支柱的具体要求，做出了明确的时间进度安排，具有强力的推动作用。

新战略是美国政府为保护联邦网络开展的最重要工作之一，也是在 SolarWinds 网络攻击、Microsoft Exchange 黑客攻击及 Log4j 安全漏洞危机等安全事件下的重要应对措施，标志着美国政府保护基础设施、网络和数据的重大范式转变。

作者简介

美国管理和预算办公室（Office of Management and Budget，OMB）：美国总统府幕僚机构之一，负责汇总、研究审核联邦各部门开支项目及方案，协助总统检查行政部门的组织机构和管理状况，并向总统提出改善管理工作的建议。

译者简介

郝志超，男，硕士，工程师，主要研究方向为网络空间安全；

张依梦，女，学士，助理工程师，主要研究方向为网络安全战略、投资规划及行业发展前景研究。

（ 此 报 告 翻 译 方 式 为 编 译， 原 文 链 接：https://zerotrust.cyber.gov/federal-zero-truststrategy/）

选自《信息安全与通信保密》2022年第４期(为便于排版，已省去参考文献）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。