美国政府将在2023财年采用零信任安全模型零信任安全模型零信任是ForresterResearch的JohnKindervag在2010年提出的一种安全模型方法.该方法考虑到本地设备和连接是不可信任的,并假设入侵者可以访问网络,因此在每一步都需要进行身份验证。零信任架构的设计和部署遵循以下基本原则:1.所有的数据源和计算服务都被视为资源。2.所有通信都是安全的,安全与网络位置无关。3、对单个企业资源的访问权限是对每个连接的授权。4.对资源的访问由策略决定,包括用户身份和所需系统的状态,以及可能的其他行为属性。5、企业应确保所有附属及相关系统尽可能处于最安全的状态,并对系统进行监控,确保系统仍处于最安全的状态。6.用户身份验证是动态的,在允许访问之前严格执行。美国政府将采用零信任安全模式1月26日,美国管理和预算办公室(OMB)发布了一项向零信任安全原则迁移的联邦战略,要求相关机构在财政之前满足特定的网络安全标准和目标2024年。增强政府应对日益复杂和持久的网络威胁的能力。零信任策略主要包括以下几个方面:●通过强因子认证应对钓鱼攻击;●加强组织的身份识别系统;●加密流量,将内部网络视为不可信;●增强应用程序安全性以更好地保护数据。零信任战略预测联邦政府:●联邦工作人员拥有企业级管理的账户,允许他们访问工作所需的任何内容,同时可以应对有针对性和复杂的网络钓鱼攻击;●可以监控和跟踪联邦工作人员使用的设备,这些访问权限在授予对内部资源的访问权限时考虑了设备的安全态势。●联邦系统之间相互隔离,系统内部和系统之间的网络流量都经过可靠的加密。●联邦应用程序经过内部和外部测试,联邦工作人员可以安全地通过互联网使用。●联邦安全和数据团队将协作定义数据类别和安全规则,以自动检测和阻止对敏感信息的未授权访问。事实上,早在2021年2月,美国国家安全局和微软就建议对大公司和关键网络(国家安全系统、国防部和国防工业基地)使用零信任安全模型方法。本文翻译自:https://www.bleepingcomputer.com/news/security/white-house-wants-us-govt-to-use-a-zero-trust-security-model/如有转载请注明原地址。
