图片:美国国防部网络安全副首席信息官 David McKeown
回顾前情,美国政府实施零信任的进展
Security Insider News 9 月 8 日消息,美国国防部负责网络安全的副 CIO David McKeown 表示,五角大楼即将发布新的零信任战略。与以前的框架不同,新战略将概述国防部实现“有针对性的”零信任所需的数十项能力要求。
McKeown 在比灵顿网络安全峰会上表示,该策略预计将在本月内发布。该文件提出“实现目标零信任的 90 项明确定义的能力要求。它还定义了检查术语,以及实现特定能力所需的条件。这 90 项能力将是国防部实现目标零信任的关键。基石。”
他补充说,该战略还定义了 62 项额外能力,一旦达到这些能力,五角大楼将能够实现“更先进的零信任”,足以支撑国家安全系统或其他“极其重要”的系统。
进一步实施联邦零信任战略
作为五角大楼日益关注的一个重要框架,零信任的基本思想假设网络将始终面临威胁风险,并要求所有用户都经过身份验证和授权。今年 1 月 19 日,拜登政府发布了一份关于提高国防部、情报界和国家安全系统网络安全水平的备忘录,为各机构实施零信任框架的计划制定了具体指导方针。
在 1 月 26 日发布的另一份备忘录中,白宫管理办公室为联邦政府制定了一项零信任战略,要求各级机构在 2024 财年年底前就具体的网络安全标准达成一致。
备忘录指出,“零信任架构的一个关键原则是,默认情况下假定没有网络是可信的。这一原则可能与当前保护各级网络和相关系统的方法相冲突。所有流量都必须是尽快加密和认证。”
McKeown 还强调,与之前宣布的零信任框架不同,此次新的国防部战略明确定义了七个“支柱”和相应的成熟度级别。
它将大大提高敏感系统的安全性
DoD 首席信息官 John Sherman 在 8 月表示,新战略将定义国防部“主体控制”和敏感系统之间的零信任方法。
Sherman 的目标之一是在未来五年内为大多数国防部单位系统实施零信任架构,并表示“我们对手的网络能力让我们别无选择,只能以这个速度加速。”
在这份声明中,McKeown 重申了谢尔曼的观点,并表示国防部正在为各个军事部门和国防部单位制定实施计划。
该计划概括了国防部实现目标零信任目标的三种方法,包括增强每个服务和机构的当前环境以满足目标零信任的 90 项能力,以及实施零信任以满足最高的零信任要求信任云。
p>
McKeown 说:“我们还与多家云提供商合作,邀请他们审查当前的 FedRAMP 云产品国家级反恐部队有哪些,尤其是那些已经使用多年的云产品。在所有三种云产品中,有两种针对我们实现了 90% 的零信任能力达成率,这无疑是令人鼓舞的。延续部门的整体安全战略,我们选择使用云服务,提高云利用率,并将继续推进联邦政府的整体云利用率水平。”
零信任帮助空军简化作战环境
美国空军首席信息官 Lauren Knausenberger 也在 8 月 29 日表示国家级反恐部队有哪些,零信任框架有助于空军简化其作战环境。
她在空军信息技术与网络力量大会上指出,“如果我们能知道来访者的身份并完成数据标注,就可以建立多层次的安全体系,防止空军指挥官“通过多设备多网络发布。指挥。这样,作战行动也将得到简化。”
美国空军已在 8 月 26 日发布的最新临时战略草案中定义了未来六年的零信任愿景。该草案将延长至 2028 财年,指导空军应致力于哪些安全举措时间和精力。
空军目前正准备实施零信任架构,并将“保护底层身份 (ICAM) 元素中的数据,管理用户、凭据和访问风险。
参考资料:
