美國國家零信任架構的分析

語言: CN / TW / HK

美國在今年10月再次迎來了國家網路安全意識月。雖然這種努力在傳統上是以消費者和企業為目標,但美國政府對網路安全意識有著獨特的興趣。

網路安全意識月的第一週的主題是呼籲個人和企業加入“BeCyberSmart”活動,強調採用最佳安全措施,同時關注總體網路安全,以有效保護個人和公司資料。這包括使用多因素身份驗證、備份資料和更新軟體。

這些基本實踐只是更大的零信任安全模型的一小部分,該模型基於“從不信任,總是驗證”、多因素身份驗證、最低特權訪問和微分段等概念。

零信任安全模型已經存在了10多年的時間,但直到最近才得到廣泛採用。隨著如今基於邊界的網路安全解決方案不斷面臨失敗,並出現有關資料洩露和勒索軟體攻擊的新聞報道,零信任安全繼續獲得了人們的關注。

美國政府的零信任戰略

美國管理和預算辦公室最近釋出的聯邦零信任戰略、美國網路安全和基礎設施安全域性(CISA)的零信任成熟度模型和雲安全技術參考架構檔案代表了美國政府提高網路防禦能力的重要一步。根據美國“改善國家網路安全”的14028號行政命令,這些參考模型和指導草案的釋出幫助政府機構加快向更安全、基於零信任的網路安全方法過渡。

讓美國政府過渡到基於零信任安全的模式是一項艱鉅的任務,需要仔細的規劃、可觀的資源和多年、多階段、具體機構的實施計劃。對於運營數千個網路、數萬個系統和應用程式並在全球部署數十萬使用者和裝置的大型政府機構(如美國國防部)來說,零信任在其組織範圍的全面推出可能需要10年或更長時間。儘管如此,身份、資料和網路安全等領域的重大安全改進可以在短短几年內實現。

克服國家零信任的擔憂和障礙

受影響的政府機構的資訊長將面臨的兩大挑戰是政府強制採用零信任及其加速的時間表是預算和資源。美國管理和預算辦公室、美國網路安全和基礎設施安全域性(CISA)和美國國家標準與技術研究所(NIST)只提供了啟動所需的框架和零信任架構。它仍然是由個別機構預算的零信任模型實現,構建當前IT環境符合NIST的零信任型架構,確定必要的內部和外部人才,選擇相關零信任型技術和供應商,重新認證其系統,重新培訓員工。

為了幫助政府和商業客戶加快採用零信任的程序,並更好地管理相關的零信任遷移風險,有必要採用一種基於平臺的零信任方法。利用NIST ZTA標準相容平臺可以促進互操作性和可擴充套件性。它還避免了供應商鎖定,允許企業在他們目前可能有最高暴露風險的領域開始零信任之旅,例如網路、身份和訪問管理。

一旦解決了最初關注的領域,就可以解決其他零信任關注的領域,如資料、工作負載和裝置。制定零信任戰略、進行零信任成熟度和差距評估,以及建立分階段實施計劃是成功部署零信任的關鍵。

零信任的未來發展

量子霸權指的是量子計算機在合理的時間內可靠地完成計算機無法完成的事情,例如在更短的時間內破解廣泛使用的非對稱加密演算法。這對全球商業、企業、消費者和國家安全構成了獨特的風險,因為它有效地使許多優秀的資料安全和安全通訊技術變得無用。

為量子日的到來做準備可能依賴於零信任戰略,因為各國都在努力準備應對伴隨著這些計算技術進步而不可避免的網路風險。雖然這種情況預計在未來5到10年內不會到來,但準備工作需要立即採取行動。

零信任的原則很簡單:不要信任任何人,即使是企業自己的員工,因為員工可能惡意或無知地使企業的資料易受攻擊,一旦遭到網路攻擊就可訪問。企業可能需要數年時間才能真正實現全面、多層次的零信任安全性,所以與其等到來不及補救,不如現在就開始。

隨著個人、企業和聯邦機構迎接網路安全意識月的到來,實現“零信任”無疑將不僅是每年10月的首要任務,而且是每一天的首要任務。