美国政府将在2023财年之前采用零信任安全模型。
零信任安全模型
零信任是Forrester Research的John Kindervag在2010年提出的一种安全模型方法,该方法认为本地设备和连接都是不可信的,假定入侵者具有网络的访问权限,因此在每一步都需要验证。
零信任架构的设计和部署遵循以下基本原则:
1、所有的数据源和计算服务都被认为是资源。
2、所有的通信都是安全的,而且安全与网络位置无关。
3、对单个企业资源的访问的授权是对每次连接的授权。
4、对资源的访问是通过策略决定的,包括用户身份的状态和要求的系统,可能还包括其他行为属性。
5、企业要确保所有所属的和相关的系统都在尽可能最安全的状态,并对系统进行监控来确保系统仍然在最安全的状态。
6、用户认证是动态的,并且在允许访问前严格执行。
美国政府将采用零信任安全模型
1月26日,美国行政管理和预算办公室(OMB)发布向零信任安全原则迁移的联邦战略,要求相关机构在2024财年之前满足特定的网络安全标准和目标,以增强政府应对日益复杂和持续的网络威胁的能力。
该零信任战略的主要包括以下几个方面:
●通过强因子认证方式来应对钓鱼攻击;
●加固机构身份系统;
●加密流量、将内部网络看做是不可信的;
●增强应用安全以更好保护数据。
零信任战略预测联邦政府:
●联邦工作人员有企业级别管理的账户,允许其访问任何工作所需的内容,同时可以应对定向、复杂的钓鱼攻击;
●联邦工作人员使用的设备可以被监控和追踪,这些访问在授予内部资源访问权限时会考虑设备的安全态势。
●联邦各系统之间是互相隔离的,系统内和系统间的网络流量都是经过可靠加密的。
●联邦应用都会进行内部和外部测试,联邦工作人员可以通过互联网安全使用。
●联邦安全团队和数据团队将协作来制定数据类别和安全规则以自动地检测和拦截对敏感信息的非授权访问。
其实早在2021年2月,美国国家安全局和微软就向大公司和关键网络(国家安全系统、国防部、国防工业基地)推荐使用零信任安全模型方法。
本文翻译自:https://www.bleepingcomputer.com/news/security/white-house-wants-us-govt-to-use-a-zero-trust-security-model/如若转载,请注明原文地址。
