白宮發布新網路安全策略，政府機構將使用「零信任」架構

by pumoadmin55 · 2022-04-11

日前美國政府公布了最新的網路安全政策，政府機構將使用「零信任」架構。

什麼是零信任？零信任的概念是什麼？核心價值又是什麼？

捕夢網將美國政府最新的網路安全政策翻成中文，並將文中重點標註出來，方便閱讀。

=====================================================

白宮發布新網路安全策略，政府機構將使用「零信任」架構

白宮底下的行政管理和預算辦公室(簡稱OMB)及國土安全部與美國網路安全暨基礎架構管理局(簡稱CISA)正針對關鍵零信任策略和技術指導徵詢大眾建議，藉以強化整個聯邦政府的網路安全。

近日OMB頒布了一項聯邦策略草案，表示將推動美國政府走向零信任架構。CISA也發表了他們的雲端安全技術參考架構和零信任成熟度模型，以指導和協助組織/機構實施規劃。

零信任成熟度模型

OMB零信任政策的頒布支持了關於改善國家網路安全的14208號行政命令，該命令是協助民間機構基於零信任原則調整企業安全架構。該策略草案的頒布正說明了未來幾年內零信任對於聯邦民間機構的重要性及優先性，重點將著重在幾個關鍵安全成效上，並設定基準政策及技術要求。

OMB零信任策略的關鍵作法包含整合機構身份系統、利用多階段身份驗證防堵網路釣魚、將內部網路視為不受信任的加密流量、利用強化應用程式安全性讓資料數據更安全等更多方式。轉向採用零信任架構對於聯邦政府並非一蹴可及的政策，隨著新應用及新技術的出現，政府會隨時學習且調整作法。

CISA發表的雲端安全技術參考架構和零信任成熟度模型，也支持了關於改善國家網路安全的14208號行政命令。該架構是在美國數位服務(USDS)和聯邦風險與授權管理計劃(FedRAMP)貢獻之下，由多個機構共同開發而成。目標是為機構提供有關採用雲端服務的共享風險模型、如何構建雲端環境以及如何利用雲端安全狀態管理監控環境的指導。

零信任成熟度模型補充說明了OMB零信任策略，並協助機構開發零信任架構。成熟度模型為機構提供規劃和資源，以達到最佳的零信任環境。為此OMB和CISA正在zerotrust.cyber.gov徵詢大眾建議及反饋，藉以改進加強聯邦政府企業安全的戰略。

「永不信任，一律驗證。我們透過今天的零信任公告，清楚地向聯邦機構傳達了這樣一個信息，他們不應該自動信任其周邊內外的任何東西。在授予訪問權限之前，對於任何要存取或連結系統的事物都要進行驗證。這是我們對於現代技術環境所賦予的期望，並期待從大眾的建議反饋中，使得策略更加強大。」聯邦首席資訊長Clare Martorana表示。

「聯邦政府的網路安全方法必須迅速發展，以跟上我們的對手的步伐。朝著零信任原則前進是實現目標的必經之路。今天所頒布的聯邦零信任策略草案，會幫助各機構將理論原則付諸實踐。雖然實施該計劃有其緊迫性，可是我們明白有更多專家及社群的共同參與，將有助於確保計劃正確地進行。政府歡迎任何改善聯邦網路安全及改善策略的建議。」聯邦首席資安長Chris DeRusha表示。

「零信任成熟度模型是CISA協助聯邦機構保護系統的方法之一，我們期待公布模型後，能從大眾得到更多的見解及看法。此外，CISA與美國數位服務(USDS)和聯邦風險與授權管理計劃(FedRAMP)共同合作，一起編寫了雲端安全技術參考架構。該架構可以對機構的安全雲端搬遷給予指引。藉由強大的合作關係及持續的合作之下，CISA會研發創新的方式保護不斷變化的網路安全，進而實現關鍵的聯邦資訊現代化。」CISA局長Jen Easterly表示。

「我們的對手不斷因應網路發展在進步，我們也理應如此。零信任原則是聯邦機構必須如何發展以滿足現今網路安全需求的核心。零信任策略草案將驅使各機構朝著正確的方向發展，協助制定趨近一致的網路安全態勢。我們歡迎任何大眾給予的建議，能讓策略更加強大且有效。」國家網路總監Chris Inglis 表示。

「迅速改善網路安全，以身作則實施創新、有效的技術，是政府網路安全戰略的核心。今天，關於網路安全的行政命令正逐步實施中。我們也歡迎跟民營企業合作，共同致力於實現網路防禦現代化。」負責網路和創新技術的國家安全副顧問Anne Neuberger表示。