2021年9月7日，美國政府發(fā)布了包括《聯(lián)邦零信任戰(zhàn)略》在內(nèi)的推動零信任落地的文件“三件套”，要求在2024財年末完成零信任架構部署。這三份文件遵循了今年5月美國總統(tǒng)拜登簽署發(fā)布的關于加強聯(lián)邦政府網(wǎng)絡安全的行政令，該項命令中明確涉及多種特定的安全方法與工具，包括多因素身份驗證、加密與零信任等等。目前這三份文件均為“征集公眾意見”狀態(tài)，分別是：

　　美國管理與預算辦公室（OMB）發(fā)布的《推動美國政府運用“零信任”網(wǎng)絡安全原則》（Moving the US Government Towards Zero Trust Cybersecurity Principles）（即《聯(lián)邦零信任戰(zhàn)略》），目標是各機構加速實現(xiàn)早期零信任成熟度的共享基線。

　　網(wǎng)絡安全與基礎設施安全局（CISA）發(fā)布的《零信任成熟度模型》（Zero Trust Maturity Model）是對《聯(lián)邦零信任戰(zhàn)略》的補充，旨在為機構提供路線圖和資源，以實現(xiàn)最佳的零信任環(huán)境。

　　網(wǎng)絡安全與基礎設施安全局發(fā)布的《云安全技術參考架構》（Cloud Security Technical Reference Architecture）是機構安全遷移到云時的指南，解釋了共享服務、云遷移和云安全狀態(tài)管理的注意事項。

　　（上述三份文件的原文PDF及人工整理后的機翻全文已上傳三正知識星球及三正蘑菇云精選，獲取方式附于文末。）

　　對于美國推進零信任的原因，聯(lián)邦政府首席信息安全官Chris DeRusha的回答值得玩味：“聯(lián)邦政府的網(wǎng)絡安全方法必須迅速發(fā)展，跟上我們對手的步伐。而朝著零信任原則的邁進則是實現(xiàn)這一目標的必經(jīng)之路?！?/p>

　　零信任文件三件套的主要內(nèi)容

　　聯(lián)邦零信任戰(zhàn)略

　　1.戰(zhàn)略目的

　　《聯(lián)邦政府零信任戰(zhàn)略》的目的是將政府機構的企業(yè)安全架構遷移到零信任架構。通過制定機構必須采取的初始步驟，將所有聯(lián)邦機構置于一個共同的路線圖上，以實現(xiàn)其向著高度成熟的零信任架構發(fā)展。該戰(zhàn)略設想的聯(lián)邦零信任架構包括：支持跨聯(lián)邦機構的強大身份相關實踐；依賴加密和應用程序測試取代外圍安全；識別政府的每一個設備和資源；支持安全動作的智能自動化；支持安全、穩(wěn)健地使用云服務。

　　聯(lián)邦政府首席信息官Clare Martorana在今年9月7日發(fā)布的一份聲明中對零信任架構做出進一步解釋：“永不信任，始終驗證。今天的零信任聲明是在向聯(lián)邦政府各級機構傳達出明確信息，即不要默認信任網(wǎng)絡邊界內(nèi)外的任何對象。”各級機構已經(jīng)得到授權，可以制定計劃以實施滿足行政令要求的零信任架構。如今有了新的指南與參考架構，管理與預算辦公室要求各機構將新的可交付成果納入計劃當中。

　　2. 五大支柱目標

　　該戰(zhàn)略要求，各級機構在2024年9月底之前實現(xiàn)五大支柱目標，詳見附錄。

　　身份：機構工作人員應使用內(nèi)部身份訪問自己在工作中使用的應用程序。反網(wǎng)絡釣魚多因素驗證則可保護這些雇員免受復雜在線攻擊的影響。

　　設備：聯(lián)邦政府擁有其運營并授權供各級部門使用的每臺設備的完整清單，可隨時檢測并響應設備上發(fā)生的安全事件。

　　網(wǎng)絡：各級機構應在環(huán)境中加密所有DNS請求與HTTP流量，并圍繞應用程序進行網(wǎng)絡分段。聯(lián)邦政府辦公室確定了可用于電子郵件傳輸加密的方案選項。

　　應用：機構將一切應用程序視為接入互聯(lián)網(wǎng)的應用程序，定期對應用進行嚴格測試，并歡迎各類外部漏洞評估報告。

　　數(shù)據(jù)：各機構在對數(shù)據(jù)進行徹底分類并加以保護方面采取統(tǒng)一和清晰的共享路徑。各級機構應使用云安全服務以監(jiān)控對自身敏感數(shù)據(jù)的訪問，并實現(xiàn)業(yè)務范圍之內(nèi)的日志記錄與信息共享。

　　零信任成熟度模型

　　美國網(wǎng)絡與基礎設施安全局于今年6月份擬制《零信任成熟度模型》，最初是在政府機構內(nèi)分發(fā)，9月7日公開發(fā)布并廣泛征求反饋意見。零信任成熟度模型包括5個支柱：身份、設備、網(wǎng)絡/環(huán)境、應用程序、數(shù)據(jù)。

　　成熟度模型同管理與預算辦公室在備忘錄中提出的五項目標保持一致，并提供了希望獲得完善零信任架構的組織所應具備的工具和程序。這套模型還針對各個重點領域探討了如何適應“傳統(tǒng)”、“高級”、“最佳”等零信任環(huán)境的細分議題。

　　在整個網(wǎng)絡體系內(nèi)全面采用零信任安全，無疑要求各級機構以協(xié)調(diào)的方式配置系統(tǒng)并配合統(tǒng)一的安全工具以實現(xiàn)順暢運作。為此，該文件提出，“聯(lián)邦政府網(wǎng)絡安全的現(xiàn)代化努力，將要求各級機構將以往相互隔離的孤島式IT服務及雇員轉化為零信任戰(zhàn)略中能夠動員起來、而且相互協(xié)同的組成單元。”

　　網(wǎng)絡與基礎設施安全局長Jen Easterly指出，成熟度模型只是該局為了幫助政府改善其網(wǎng)絡安全狀況而開發(fā)出的工具之一：“除此之外，我局還與美國數(shù)字服務與聯(lián)邦風險及授權管理計劃開展合作，共同編寫出云安全技術參考架構，用于指導機構的云安全遷移工作?！彼忉尩溃巴ㄟ^強大的合作關系與持續(xù)努力，我局將不斷開發(fā)出新的創(chuàng)新方法以保護持續(xù)變化的網(wǎng)絡邊界，推動聯(lián)邦政府實現(xiàn)至關重要的IT現(xiàn)代化目標”。

　　云安全技術參考架構

　　該文件指導機構如何安全進行云遷移，解釋了共享服務、云遷移和云安全態(tài)勢管理的考慮。

　　拜登政府全面推進零信任落地

　　拜登政府認為，美國政府網(wǎng)絡面臨日漸嚴峻的網(wǎng)絡威脅態(tài)勢，網(wǎng)絡攻擊正不斷損害美國的經(jīng)濟和安全，因此拜登政府在今年5月出臺了第14028號行政命令《提升美國網(wǎng)絡安全》（EO 14028：Improving the Nation's Cybersecurity），明確指示聯(lián)邦政府各機構引入零信任。通過全面的網(wǎng)絡安全建設落實基線安全實踐，將聯(lián)邦政府網(wǎng)絡升級為“零信任”架構，在處置云基礎設施相關風險的同時實現(xiàn)其安全效益。

　　2020年8月，美國國家標準與技術研究院NIST發(fā)布了零信任架構《SP800-207:Zero Trust Architecture》正式版。

　　2021年2月，美國國家安全局（NSA）發(fā)布關于零信任安全模型的指南《擁抱零信任安全模型》（Embracing a Zero Trust Security Model），強烈建議國家安全系統(tǒng)（NSS）內(nèi)的所有關鍵網(wǎng)絡、國防部（DoD）的關鍵網(wǎng)絡、國防工業(yè)基礎（DIB）關鍵網(wǎng)絡和系統(tǒng)考慮零信任安全模型。

　　2021年5月，美國防信息系統(tǒng)局（DISA）在其官網(wǎng)公開發(fā)布《國防部零信任參考架構》，旨在為國防部增強網(wǎng)絡安全并在數(shù)字戰(zhàn)場上保持信息優(yōu)勢。

　　附錄 五大支柱目標

　　支柱目標1：身份

　　（1）愿景

　　機構工作人員使用企業(yè)范圍的身份，來訪問他們在工作中使用的應用程序。防網(wǎng)絡釣魚MFA可保護這些人員免受復雜的在線攻擊。

　?。?）行動

　　機構必須為機構用戶建立單點登錄 （SSO） 服務，該服務可以集成到應用程序和通用平臺（包括云服務）中。

　　機構必須在應用程序級別實施 MFA，并在可行的情況下使用企業(yè) SSO。

　　對于機構工作人員、承包商和合作伙伴：防釣魚MFA是必須的。

　　對于公共用戶：防釣魚MFA必須是一個選項。

　　機構必須采用安全的口令策略，并根據(jù)已知泄露的數(shù)據(jù)檢查口令。

　　CISA 將為機構提供一項或多項可以私下檢查口令的服務，而不會暴露這些口令。

　?。?）關鍵舉措

　　1. 企業(yè)范圍的身份

　　2. 多因素認證，抵御網(wǎng)絡釣魚

　　3.面向公眾的身份驗證

　　4. 使用強口令策略

　　支柱目標2：設備

　?。?）愿景

　　聯(lián)邦政府擁有它運行和授權用于政府工作的每臺設備的完整清單，并且可以檢測和響應這些設備上的事件。

　　（2）行動

　　機構必須參與 CISA 的持續(xù)診斷和緩解（CDM） 計劃。

　　CISA 將 CDM 計劃以最小特權原則為基礎，并優(yōu)先考慮在基于云的基礎設施中的有效運行。

　　機構必須確保每個人工操作的企業(yè)配置設備，都有機構選擇的端點檢測和響應 （EDR） 工具。

　　CISA 將與機構合作，填補 EDR 覆蓋范圍的空白。

　　機構必須向 CISA 提供對 EDR 數(shù)據(jù)的持續(xù)訪問。

　?。?）關鍵舉措

　　盤點資產(chǎn)

　　政府范圍的EDR（端點檢測和響應）

　　支柱目標3：網(wǎng)絡

　?。?）愿景

　　機構在其環(huán)境中加密所有 DNS 請求和 HTTP 流量，并開始圍繞其應用程序對網(wǎng)絡進行分段。聯(lián)邦政府確定了對傳輸中的電子郵件進行加密的可行途徑。

　?。?）行動

　　在技術支持的任何地方，機構都必須使用加密的 DNS 來解析 DNS 查詢。

　　CISA 的保護性 DNS 程序，將支持加密的 DNS 請求。

　　機構必須對其環(huán)境中的所有 Web 和應用程序接口 （API） 流量，強制實施 HTTPS。

　　CISA 將與機構合作，將他們的 .gov 域“預加載”到網(wǎng)絡瀏覽器中，使其只能通過 HTTPS 訪問。

　　CISA 將與聯(lián)邦風險和授權管理計劃（FedRAMP）合作，評估MTA-STS作為加密電子郵件的可行的政府范圍內(nèi)解決方案，并向 OMB 提出建議。

　　機構必須與CISA 協(xié)商制定網(wǎng)絡分段計劃并將其提交給 OMB。

　?。?）關鍵舉措

　　加密 DNS 流量

　　加密 HTTP 流量

　　加密電子郵件流量

　　圍繞應用程序分段網(wǎng)絡

　　支柱目標4：應用

　?。?）愿景

　　機構將他們的應用程序視為連接到互聯(lián)網(wǎng)，定期對其進行嚴格的實證測試，并歡迎外部漏洞報告。

　?。?）行動

　　機構必須運行專門的應用程序安全測試程序。

　　機構必須利用專門從事應用程序安全的高質量公司，進行獨立的第三方評估。

　　CISA 和 GSA 將共同努力，使此類公司可用于快速采購。

　　機構必須維持有效且受歡迎的公開漏洞披露計劃。

　　CISA 將提供一個漏洞披露平臺，使機構系統(tǒng)所有者可以輕松地直接接收報告并與安全研究人員接觸。

　　機構必須確定至少一個面向內(nèi)部的聯(lián)邦信息安全管理法案 （FISMA ）中級應用程序，并使用企業(yè) SSO 使其可通過公共互聯(lián)網(wǎng)訪問。

　　CISA 和美國總務署（GSA）將共同努力，為機構提供有關其在線應用程序和其他資產(chǎn)的數(shù)據(jù)。

　　機構必須向CISA和GSA 提供他們使用的任何非 .gov 主機名。

　?。?）關鍵舉措

　　應用安全測試

　　容易獲得的第三方測試

　　歡迎應用漏洞報告

　　安全地使應用程序可訪問互聯(lián)網(wǎng)

　　發(fā)現(xiàn)可上網(wǎng)的應用程序

　　支柱目標5：數(shù)據(jù)

　?。?）愿景

　　機構在部署利用徹底數(shù)據(jù)分類的保護方面有一條清晰、共享的路徑。機構利用云安全服務和工具來發(fā)現(xiàn)、分類和保護他們的敏感數(shù)據(jù)，并實現(xiàn)了企業(yè)范圍的日志記錄和信息共享。

　?。?）行動

　　OMB 將與聯(lián)邦首席數(shù)據(jù)官和首席信息安全官合作，制定零信任數(shù)據(jù)安全策略和相關的實踐社區(qū)。

　　機構必須對數(shù)據(jù)分類和安全響應進行一些初始自動化，重點是標記和管理對敏感文檔的訪問。

　　機構必須審計對商業(yè)云基礎設施中任何靜態(tài)加密數(shù)據(jù)的訪問。

　　機構必須與CISA合作實施全面的日志記錄和信息共享功能，如OMB 備忘錄M-21-31中所述。

　　（3）關鍵舉措

　　聯(lián)邦數(shù)據(jù)安全策略

　　自動化安全響應

　　審計對云中敏感數(shù)據(jù)的訪問

　　及時獲取日志。