美国在今年10月再次迎来了全国网络安全意识月。虽然此类努力传统上针对的是消费者和企业,但美国政府对网络安全意识有着独特的兴趣。网络安全意识月第一周的主题是呼吁个人和企业加入“BeCyber??Smart”活动,强调采用最佳安全实践的同时关注整体网络安全,以有效保护个人和企业数据。这包括使用多重身份验证、备份数据和更新软件。这些基本实践只是更大的零信任安全模型的一小部分,该模型基于诸如“从不信任,始终验证”、多因素身份验证、最小权限访问和微分段等概念。零信任安全模型已经存在了10多年,但直到最近才得到广泛采用。随着当今基于边界的网络安全解决方案的失败以及数据泄露和勒索软件攻击的新闻报道,零信任安全继续受到关注。美国政府的零信任战略美国管理和预算办公室最近发布的联邦零信任战略、美国网络安全和基础设施安全局(CISA)的零信任成熟度模型以及云安全技术参考架构文件代表了美国政府的改进网络防御能力的重要一步。根据美国第14028号行政命令“改善全国网络安全”,这些参考模型和指南草案的发布有助于政府机构加速向更安全、基于零信任的网络安全方法过渡。将美国政府转变为基于零信任安全的模式是一项艰巨的任务,需要仔细规划、大量资源以及多年、多阶段、针对特定机构的实施计划。对于运营着数千个网络、数万个系统和应用程序并在全球部署数十万用户和设备的美国国防部等大型政府机构而言,在其组织中全面推出零信任可能需要10年时间或更长。尽管如此,身份、数据和网络安全等领域的重大安全改进可以在短短几年内实现。克服国家零信任问题和障碍受影响政府机构的首席信息官将面临政府强制采用零信任及其加速时间表的两个最大挑战是预算和资源。美国管理和预算办公室、美国网络安全和基础设施安全局(CISA)以及美国国家标准与技术研究院(NIST)仅提供了启动所需的框架和零信任架构。仍然通过个别机构预算的零信任模型来实施,构建当前的IT环境以符合NIST零信任架构,确定必要的内部和外部人才,选择相关的零信任技术和供应商,重新认证其系统,重新培训员工.为了帮助政府和商业客户加速采用零信任并更好地管理相关的零信任迁移风险,有必要采用基于平台的零信任方法。使用符合NISTZTA标准的平台可促进互操作性和可扩展性。它还避免了供应商锁定,使企业能够在他们目前可能面临最高风险的领域开始他们的零信任之旅,例如网络、身份和访问管理。一旦解决了最初的关注领域,就可以解决其他零信任关注领域,例如数据、工作负载和设备。制定零信任战略、进行零信任成熟度和差距评估以及制定分阶段实施计划是成功部署零信任的关键。零信任的未来发展量子霸权是指量子计算机能够在合理的时间内可靠地完成计算机无法完成的任务,例如在更短的时间内破解广泛使用的非对称加密算法。这对全球商业、企业、消费者和国家安全构成了独特的风险,因为它有效地使许多用于数据安全和安全通信的优秀技术变得无用。为量子日做准备可能会依赖于零信任策略,因为各国都在努力为伴随这些计算进步而不可避免的网络风险做准备。虽然预计未来5到10年不会出现这种情况,但需要立即采取准备工作。零信任原则很简单:不要相信任何人,即使是您自己的员工,他们可能会恶意或无意地使您的数据在网络攻击时易受攻击和访问。企业可能需要数年时间才能真正实施全面、多层次的零信任安全,因此与其等到为时已晚再补救,不如现在就开始。随着个人、企业和联邦机构迎接网络安全意识月,实现“零信任”无疑将成为每年10月乃至每一天的重中之重。
