什麼是零信任？零信任的概念是什麼？核心價值又是什麼？

捕夢網將美國政府最新的網路安全政策翻成中文，並將文中重點標註出來，方便閱讀。

=====================================================

白宮發布新網路安全策略，政府機構將使用「零信任」架構

白宮底下的行政管理和預算辦公室(簡稱OMB)及國土安全部與美國網路安全暨基礎架構管理局(簡稱CISA)正針對關鍵零信任策略和技術指導徵詢大眾建議，藉以強化整個聯邦政府的網路安全。

近日OMB頒布了一項聯邦策略草案，表示將推動美國政府走向零信任架構。CISA也發表了他們的雲端安全技術參考架構和零信任成熟度模型，以指導和協助組織/機構實施規劃。

零信任成熟度模型

OMB零信任政策的頒布支持了關於改善國家網路安全的14208號行政命令，該命令是協助民間機構基於零信任原則調整企業安全架構。該策略草案的頒布正說明了未來幾年內零信任對於聯邦民間機構的重要性及優先性，重點將著重在幾個關鍵安全成效上，並設定基準政策及技術要求。

OMB零信任策略的關鍵作法包含整合機構身份系統、利用多階段身份驗證防堵網路釣魚、將內部網路視為不受信任的加密流量、利用強化應用程式安全性讓資料數據更安全等更多方式。轉向採用零信任架構對於聯邦政府並非一蹴可及的政策，隨著新應用及新技術的出現，政府會隨時學習且調整作法。

CISA發表的雲端安全技術參考架構和零信任成熟度模型，也支持了關於改善國家網路安全的14208號行政命令。該架構是在美國數位服務(USDS)和聯邦風險與授權管理計劃(FedRAMP)貢獻之下，由多個機構共同開發而成。目標是為機構提供有關採用雲端服務的共享風險模型、如何構建雲端環境以及如何利用雲端安全狀態管理監控環境的指導。

零信任成熟度模型補充說明了OMB零信任策略，並協助機構開發零信任架構。成熟度模型為機構提供規劃和資源，以達到最佳的零信任環境。為此OMB和CISA正在zerotrust.cyber.gov徵詢大眾建議及反饋，藉以改進加強聯邦政府企業安全的戰略。

「永不信任，一律驗證。我們透過今天的零信任公告，清楚地向聯邦機構傳達了這樣一個信息，他們不應該自動信任其周邊內外的任何東西。在授予訪問權限之前，對於任何要存取或連結系統的事物都要進行驗證。這是我們對於現代技術環境所賦予的期望，並期待從大眾的建議反饋中，使得策略更加強大。」聯邦首席資訊長Clare Martorana表示。

「聯邦政府的網路安全方法必須迅速發展，以跟上我們的對手的步伐。朝著零信任原則前進是實現目標的必經之路。今天所頒布的聯邦零信任策略草案，會幫助各機構將理論原則付諸實踐。雖然實施該計劃有其緊迫性，可是我們明白有更多專家及社群的共同參與，將有助於確保計劃正確地進行。政府歡迎任何改善聯邦網路安全及改善策略的建議。」聯邦首席資安長Chris DeRusha表示。

「零信任成熟度模型是CISA協助聯邦機構保護系統的方法之一，我們期待公布模型後，能從大眾得到更多的見解及看法。此外，CISA與美國數位服務(USDS)和聯邦風險與授權管理計劃(FedRAMP)共同合作，一起編寫了雲端安全技術參考架構。該架構可以對機構的安全雲端搬遷給予指引。藉由強大的合作關係及持續的合作之下，CISA會研發創新的方式保護不斷變化的網路安全，進而實現關鍵的聯邦資訊現代化。」CISA局長Jen Easterly表示。

「我們的對手不斷因應網路發展在進步，我們也理應如此。零信任原則是聯邦機構必須如何發展以滿足現今網路安全需求的核心。零信任策略草案將驅使各機構朝著正確的方向發展，協助制定趨近一致的網路安全態勢。我們歡迎任何大眾給予的建議，能讓策略更加強大且有效。」國家網路總監Chris Inglis 表示。

「迅速改善網路安全，以身作則實施創新、有效的技術，是政府網路安全戰略的核心。今天，關於網路安全的行政命令正逐步實施中。我們也歡迎跟民營企業合作，共同致力於實現網路防禦現代化。」負責網路和創新技術的國家安全副顧問Anne Neuberger表示。

新聞來源的文章連結

英文原文來源

行政院國家資通安全會報技術服務中心新聞來源

資安人新聞來源

延伸閱讀的文章連結

關於零信任，怎麼落實零信任？

雲端安全技術參考架構(Cloud Security Technical Reference Architecture)

零信任成熟度模型(Zero Trust Maturity Model)

OMB零信任政策

#網路安全政策#零信任#零信任架構#白宮#美國政府#聯邦政府#OMB#CISA
#雲端安全#雲端安全技術#零信任成熟度#零信任政策#多階段身份驗證
#強化應用程式安全性#雲端安全狀態管理#永不信任一律驗證

The post 白宮發布新網路安全策略，政府機構將使用「零信任」架構 first appeared on 捕夢網 Blog.

因應Apache Log4j重大風險漏洞，美國網路安全暨基礎架構管理署（CISA）昨日釋出掃瞄工具，方便企業或政府IT人員掃瞄自家軟體。

名為Log4j Scanner的工具已發布在GitHub上，是由開源社群其他成員開發，旨在協助企業組織辨識可能受Log4j漏洞影響的Web服務。這個儲存庫可掃瞄CVE-2021-44228（Log4Shell）及CVE-2021-45046，兩者皆為遠端程式碼執行漏洞，CVSS 3.1風險值各為10.0及9.0。

美國政府機構CISA、FBI、國安局（NSA），以及五眼聯盟成員澳洲、紐西蘭、加拿大及英國網路安全主管機關昨（22）日發布聯合安全公告，針對Log4j三項漏洞包括CVE-2021-44228 （Log4Shell）、CVE-2021-45046及CVE-2021-45105（DoS）提供緩解指引。公告指出，手法高明的網路威脅行動者已經積極掃瞄網路以伺機開採。目前CVE-2021-44228 和CVE-2021-45046已經有積極開採的行為。

五眼聯盟國的安全指引建議企業及政府單位先找出受Log4j 多項漏洞影響的軟體產品，更新Log4j及受影響的軟體版本，再啟動尋找及部署事件回應措施來偵測是否有被開採的情形。

Apache軟體基金會已經釋出Log4j最新版本2.17.0。

各國政府對Log4j多項漏洞抱持高度警戒，尤其本周比利時國防部坦承遭不明人士開採網路系統漏洞，致部份系統中斷服務數天。

CISA上周發布緊急指令，要求美國聯邦行政部門在12月23日前，緩解對外連網系統的相關漏洞。

CISA昨日對美國媒體指出，尚未有證實對聯邦政府機關的成功入侵。

文章轉載出處: CISA釋出掃瞄Log4j漏洞工具 | iThome

The post CISA釋出掃瞄Log4j漏洞工具 first appeared on 捕夢網 Blog.