美國(guó)政府將在2023財(cái)年之前采用零信任安全模型。

零信任安全模型

零信任是Forrester Research的John Kindervag在2010年提出的一種安全模型方法，該方法認(rèn)為本地設(shè)備和連接都是不可信的，假定入侵者具有網(wǎng)絡(luò)的訪問(wèn)權(quán)限，因此在每一步都需要驗(yàn)證。

零信任架構(gòu)的設(shè)計(jì)和部署遵循以下基本原則：

1、所有的數(shù)據(jù)源和計(jì)算服務(wù)都被認(rèn)為是資源。

2、所有的通信都是安全的，而且安全與網(wǎng)絡(luò)位置無(wú)關(guān)。

3、對(duì)單個(gè)企業(yè)資源的訪問(wèn)的授權(quán)是對(duì)每次連接的授權(quán)。

4、對(duì)資源的訪問(wèn)是通過(guò)策略決定的，包括用戶身份的狀態(tài)和要求的系統(tǒng)，可能還包括其他行為屬性。

5、企業(yè)要確保所有所屬的和相關(guān)的系統(tǒng)都在盡可能最安全的狀態(tài)，并對(duì)系統(tǒng)進(jìn)行監(jiān)控來(lái)確保系統(tǒng)仍然在最安全的狀態(tài)。

6、用戶認(rèn)證是動(dòng)態(tài)的，并且在允許訪問(wèn)前嚴(yán)格執(zhí)行。

美國(guó)政府將采用零信任安全模型

1月26日，美國(guó)行政管理和預(yù)算辦公室(OMB)發(fā)布向零信任安全原則遷移的聯(lián)邦戰(zhàn)略，要求相關(guān)機(jī)構(gòu)在2024財(cái)年之前滿足特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo)，以增強(qiáng)政府應(yīng)對(duì)日益復(fù)雜和持續(xù)的網(wǎng)絡(luò)威脅的能力。

該零信任戰(zhàn)略的主要包括以下幾個(gè)方面：

●通過(guò)強(qiáng)因子認(rèn)證方式來(lái)應(yīng)對(duì)釣魚(yú)攻擊;

●加固機(jī)構(gòu)身份系統(tǒng);

●加密流量、將內(nèi)部網(wǎng)絡(luò)看做是不可信的;

●增強(qiáng)應(yīng)用安全以更好保護(hù)數(shù)據(jù)。

零信任戰(zhàn)略預(yù)測(cè)聯(lián)邦政府：

●聯(lián)邦工作人員有企業(yè)級(jí)別管理的賬戶，允許其訪問(wèn)任何工作所需的內(nèi)容，同時(shí)可以應(yīng)對(duì)定向、復(fù)雜的釣魚(yú)攻擊;

●聯(lián)邦工作人員使用的設(shè)備可以被監(jiān)控和追蹤，這些訪問(wèn)在授予內(nèi)部資源訪問(wèn)權(quán)限時(shí)會(huì)考慮設(shè)備的安全態(tài)勢(shì)。

●聯(lián)邦各系統(tǒng)之間是互相隔離的，系統(tǒng)內(nèi)和系統(tǒng)間的網(wǎng)絡(luò)流量都是經(jīng)過(guò)可靠加密的。

●聯(lián)邦應(yīng)用都會(huì)進(jìn)行內(nèi)部和外部測(cè)試，聯(lián)邦工作人員可以通過(guò)互聯(lián)網(wǎng)安全使用。

●聯(lián)邦安全團(tuán)隊(duì)和數(shù)據(jù)團(tuán)隊(duì)將協(xié)作來(lái)制定數(shù)據(jù)類別和安全規(guī)則以自動(dòng)地檢測(cè)和攔截對(duì)敏感信息的非授權(quán)訪問(wèn)。

其實(shí)早在2021年2月，美國(guó)國(guó)家安全局和微軟就向大公司和關(guān)鍵網(wǎng)絡(luò)(國(guó)家安全系統(tǒng)、國(guó)防部、國(guó)防工業(yè)基地)推薦使用零信任安全模型方法。

本文翻譯自：https://www.bleepingcomputer.com/news/security/white-house-wants-us-govt-to-use-a-zero-trust-security-model/如若轉(zhuǎn)載，請(qǐng)注明原文地址。