产业研究
位置: 首页  >  产业研究  >  加强联邦政府网络安全,美国CISA发布《零信任成熟度模型》草案
加强联邦政府网络安全,美国CISA发布《零信任成熟度模型》草案
2021-09-08 11:30:00 作者:赛博研究院 
关键词:网络安全 

2021年9月7日,美国网络安全与基础设施安全局(CISA)发布《零信任成熟度模型》草案。该草案于2021年6月起草,最初只在机构内部分发,现向公众征询意见,征询意见截至2021年10月1日。同时,管理与预算办公室也在9月7日发布了《联邦零信任战略》,从战略层面对零信任网络安全架构部署进行了整体规划。

《联邦零信任战略》指出,正如国防部零信任参考体系结构中所述,“零信任模型的基本原则是不信任在安全边界内外运行的参与者、系统、网络或服务。我们必须验证所有试图建立访问权限的东西。这是我们如何保护基础设施、网络和数据的理念的一次重大转变,从在外围进行一次验证到对每个用户、设备、应用程序和交易进行持续验证。”

该战略设想了一个联邦零信任体系结构:

  • 支持联邦机构间强有力的身份认证实践;

  • 依赖加密和应用程序测试,而不是外围安全;

  • 承认政府拥有的每一种设备和资源;

  • 支持安全行动的智能自动化;

  • 能够安全可靠地使用云服务。

战略要求各机构在2024财年末实现特定的零信任安全目标。根据网络安全和基础设施安全局(CISA)零信任成熟度模型的五大支柱进行分组,这些目标包括:

1.身份:机构工作人员使用企业身份访问他们在工作中使用的应用程序。反钓鱼攻击的密码或多因素身份验证(MFA)保护这些人员免受复杂的在线攻击。

2.设备:联邦政府拥有其运营和授权供政府使用的所有设备的完整清单,并且能够检测和响应这些设备上的事件。

3.网络:代理机构对其环境中的所有DNS请求和HTTP通信进行加密,并开始围绕其应用程序对网络进行分段。联邦政府确定了一个可行的途径来加密传输中的电子邮件。

4.应用程序:机构将所有应用程序视为互联网连接,定期对其应用程序进行严格测试,并欢迎外部的漏洞报告。

5.数据:各机构正走在一条清晰、共同的道路上,部署利用完善细致的数据分类保护措施。各机构正在利用云安全服务监控敏感数据的访问,并实施了企业日志记录和信息共享。

CISA发布的《零信任成熟度模型》与上述列举的五个目标一致。具体来说,零信任成熟度模型是机构在向零信任架构过渡时可以参考的众多途径之一,其目标是帮助机构制定零信任战略和实施计划,并展示各种CISA服务支持跨机构零信任解决方案的方式。成熟度模型包括五个支柱和三个跨领域能力,以零信任为基础。

29.jpg

图1:Foundation of Zero Trust

在每个支柱中,成熟度模型都为机构提供了传统、先进和最佳零信任架构的具体示例。

28.jpg

图2:High-Level Zero Trust Maturity Model

2021年5月,美国总统拜登发布第14028号行政命令(EO),改善国家网络安全,启动政府范围内的全面努力,以确保基线安全实践到位,将联邦政府迁移到零信任架构,实现基于云的基础设施的安全优势,同时降低相关风险。在当前的威胁环境中,联邦政府不能再依赖周边防御系统来保护关键系统和数据。应对这一挑战需要联邦机构在如何应对网络安全方面进行范式转变。9月7日,美国管理与预算办公室发布的《联邦零信任战略》,网络安全与基础设施安全局发布的《零信任成熟度模型》、《云安全技术参考架构》均响应了这一行政命令,这些文件也同时组成了联邦各级机构的网络安全架构路线。

*《零信任成熟度模型》草案原文:https://www.cisa.gov/sites/default/files/publications/CISA%20Zero%20Trust%20Maturity%20Model_Draft.pdf

底图.png

< 上一篇:#
> 下一篇:#