美国政府正式发布“零信任战略,打算在2024财年实现具体目标”,这将是业界首个全国性零信任架构。该战略由白宫管理和预算办公室(OMB)发布,备忘录编号M-22-09。该公告是2021年9月初稿发布后的正式政府文件,其制定受到拜登第14028号总统行政命令的启发。该战略是实施该战略的关键一步。行政命令,其重点是在政府范围内启动向零信任框架的迁移,这将显着降低联邦政府数字基础设施遭受网络攻击的风险。这份长达30页的计划列出了联邦机构需要采取的数十个步骤来接管未来两年,包括更严格的网络分段、多因素身份验证和广泛的加密,以确保系统安全并限制安全风险rity事件。该战略为联邦政府制定了以下愿景:联邦政府人员拥有企业管理的账户,允许他们访问完成工作所需的数据,同时保护他们免受有针对性的、复杂的网络钓鱼攻击。联邦政府人员使用的工作设备受到持续跟踪和监控,在授予对内部资源的访问权限时应考虑设备的具体安全状况。代理系统相互隔离,不同系统之间和同一系统内的网络流量应该可靠加密。企业应用程序经过内部和外部测试,以确保它们通过Internet安全地交付给员工。联邦安全和数据团队共同规划数据类别和安全规则,以自动检测并最终阻止对敏感信息的未授权访问。该战略指出,政府机构必须在2024财年年底前达到某些网络安全标准和目标。各部门有60或120天的时间任命负责实施这些措施的领导人,并根据敏感性对某些信息进行分类。据了解,此次修订在一定程度上受到了SolarWinds攻击的启发,该攻击渗透了美国司法部、国土安全部和其他机构的非机密网络,并且数月未被发现。OMB表示,新版本包含了网络安全专业人士、非营利组织和私营企业要求的变更。最终确定的策略包括强调机构访问控制,包括对所有DNS和HTTP流量进行多因素身份验证和加密。白宫表示,复杂网络攻击的威胁正在增加,强调联邦政府不能再依赖传统的外围防御来保护关键系统和数据。网络安全和基础设施安全局(CISA)总干事JenEasterly表示,零信任是政府努力实现现代化和加强防御的关键因素。“随着我们的对手在攻击和破坏的方式上不断创新,我们必须继续从根本上改变我们处理联邦网络安全的方式,”伊斯特利说。”
