编者按
美国白宫1月26日发布联邦政府最终零信任战略,要求联邦机构在 2024 财年年底前实现具体的零信任安全目标。
新战略是美国政府为保护联邦网络开展最重要工作之一,是落实美国总统拜登2021年5月网络安全行政命令的关键步骤,标志着美国政府保护基础设施、网络和数据的重大范式转变。新战略的推出部分源于近一年来的重大网络安全事件,包括SolarWinds、Microsoft Exchange黑客攻击以及Log4j安全漏洞危机。新战略旨在摆脱传统的基于边界的网络防御,并转向对每个用户、设备、应用程序和业务的持续验证。根据该战略,联邦雇员将需要使用多层安全措施登录机构网络,并且各机构必须更好地保护其内部网络流量免受黑客攻击。
新战略提供了众多短期和长期最后期限,以供各机构着手实施零信任以及联邦 IT 委员会官员参与并提供帮助。短期期限方面,各机构需在 30 天内指定和确定零信任战略实施负责人,60天内结合新政策继续修订现有的零信任实施计划;长期期限方面,各机构应2024 财年年底前实现具体的零信任安全目标,相关目标围绕美国网络安全和基础设施安全局(CISA)开发的零信任成熟度模型组织,并专注于 CISA 确定的五个支柱,包括身份、设备、网络、应用程序和工作负载、数据。此外,为解决数据分类和标记挑战,联邦首席数据官(CDO)委员会和联邦首席信息官(CISO)委员会需在90 天内为各机构创建一个零信任数据安全联合工作组。该工作组负责制定一份数据安全指南,以解决现有的联邦信息分类方案如何在安全环境中支持有效的数据分类。
奇安网情局编译有关情况,供读者参考。
美国白宫1月26日发布到2024年将联邦政府转向“零信任”网络安全战略的最终战略计划。该计划由管理和预算办公室 (OMB)制定,是对2021年 9 月发布的草案的更新。
OMB向行政部门和机构负责人发送了主题为“推动美国政府走向零信任网络安全原则”的备忘录。文件称,“此备忘录提出了联邦零信任架构(ZTA)战略,要求各机构在 2024 财年结束前满足特定的网络安全标准和目标,以加强政府对日益复杂和持续的威胁活动的防御。”
这是拜登政府迄今为止为保护政府开展业务所依赖的计算机网络所做的最大努力之一。美国国家网络总监克里斯·英格利斯发表声明称,“这一战略是我们努力为我们的联邦网络防御建立一个可防御和连贯的方法的重要一步。”
OMB发表声明称,“今天,我们发布了一项联邦网络安全战略,旨在推动美国政府走向‘零信任’架构——这是在执行美国总统网络安全行政命令方面向前迈出的关键一步。” 让联邦机构的零信任迁移战略是拜登政府2021年发布的网络安全行政命令的一个关键支柱。
重大黑客攻击后的网络安全控制
此次修订部分受启发于 2020 年俄罗斯黑客发起的一场间谍活动,该活动渗透了数家美国机构,几个月都未被发现,让美国官员对盲点感到沮丧。黑客篡改了联邦承包商SolarWinds制作的软件以及其他工具,以潜入美国司法部、国土安全部和其他部门的非机密网络。
新战略要求各机构在 2024 财年结束前达到相关基准。OMB表示,新版本纳入网络安全专业人士、非营利组织和私营企业要求的更改。最终确定的战略包括强调体系访问控制,包括多因素身份验证以及加密所有DNS和HTTP 流量。
用户或系统不是天生可信的
零信任概念多年来一直在行业顾问和网络安全公司中流传,其核心假设网络上的设备永远不应该被信任。在诸如SolarWinds漏洞和Microsoft Exchange黑客攻击等攻击将重点放在已经突破边界防御的黑客身上后,零信任概念越来越受到联邦网络安全官员的关注。
在宣布该最终政策时,OMB 强调了零信任安全的中心原则——摆脱传统的基于边界的网络防御,并用基于最小特权访问和不断重新评估用户身份和信任的安全性取而代之。
根据该战略,联邦雇员将需要使用多层安全措施登录机构网络,并且各机构必须更好地保护其内部网络流量免受黑客攻击。
OMB 表示,“这是我们如何保护我们的基础设施、网络和数据的哲学的巨大范式转变,从在外围验证一次到对每个用户、设备、应用程序和业务的持续验证。”
OMB还表示,“复杂网络攻击的威胁越来越大,这凸显出联邦政府不能再依赖传统的基于边界的防御来保护关键系统和数据。Log4j 漏洞是最新的证据,表明对手将继续寻找新的机会涉足这一领域。零信任策略将使各机构能够更快地检测、隔离和响应这些类型的威胁。”
短期截止日期
该文件明确指出,向零信任架构过渡需要时间来实施,尤其是考虑到政府网络和系统的复杂性。文件称,“对于像联邦政府这样复杂且技术多样化的体系来说,过渡到零信任架构并不是一项快速或容易的任务。”OMB 为各机构提供了许多短期和长期的最后期限,以集中其行动来满足政策的指示。
OMB 指令规定了不少于 19 个具体的最后期限,以供各机构着手实施零信任以及联邦 IT 委员会官员参与和提供帮助。
OMB 指令立即为联邦机构规定了两个关键的短期期限。
第一个在 30 天内到期,要求各机构指定和确定零信任战略实施负责人。OMB 表示,它将依靠指定的负责人“在政府范围内进行协调,并参与每个组织内的规划和实施工作”。
第二个在 60 天内到期,要求各机构通过结合OMB最终政策确定的要求,继续发展现有的零信任实施计划。然后,各机构需要将这些调整后的计划连同 2022-2024 财年的实施计划和2024财年的预算估算一起提交给OMB和 网络安全和基础设施安全局(CISA)。
OMB 建议称,“各机构应在2022 财年和2023 财年内部筹集资金以实现优先目标,或从其他来源寻求资金,例如营运资金或技术现代化基金。”
2024 财年截止日期
此外,OMB 政策要求各机构在 2024 财年年底之前实现具体的零信任安全目标列表。这些目标围绕 CISA 开发的零信任成熟度模型组织,并专注于 CISA 确定的五个支柱:身份;设备;网络;应用程序和工作负载;数据。
OMB 表示,其零信任政策战略目标与 CISA 的五个支柱如下一致:
1、身份: 机构工作人员使用体系管理的身份来访问工作中使用的应用程序。网络钓鱼防护多因素身份验证保护上述人员免受复杂的在线攻击。
2、设备: 联邦政府拥有其运营和授权政府使用的所有设备的完整清单,并且可以预防、检测和响应这些设备上的事件。
3、网络: 各机构对其环境中的所有 DNS 请求和 HTTP 流量进行加密,并开始执行一项计划,将其外围分解为孤立环境。
4、应用程序和工作负载:各机构将所有应用程序视为与互联网连接,定期对其应用程序进行严格的实证测试,并欢迎外部漏洞报告。
5、数据:各机构正处于一条清晰、共享的道路上,以部署利用彻底数据分类的保护措施。各机构正在利用云安全服务来监控对其敏感数据的访问,并实施了体系范围的日志记录和信息共享。
数据标记帮助在路上
OMB 指令的另一个重要期限属于数据安全领域,特别是开发“全面、准确的数据分类和标记方法”。OMB 表示,预计“这对大多数机构来说将具有挑战性”。
为了帮助确保参与并在该挑战上取得进展,OMB 指令为联邦首席数据官(CDO)委员会和联邦首席信息官(CISO)委员会设定了 90 天的最后期限,以为各机构创建一个零信任数据安全联合工作组。
OMB 称,“该工作组将为各机构制定一份数据安全指南,以解决现有的联邦信息分类方案如何在安全环境中支持有效的数据分类。” 同时支持现有联邦类别未解决的体系特定数据类别的开发。
OMB 称,“虽然一段时间以来各机构一直被要求清点他们的数据集,全面的零信任数据管理方法需要超越各机构可能习惯于将其视为‘数据集’的范围。”
OMB称,“实现这一目标不仅需要为各机构存储在数据库中或在线发布的打包数据集开发保护措施,还需要应对结构更松散和分散的数据系统(例如电子邮件和文档协作)以及主要用于支持维护其他主要数据集的中间数据集。”
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局