随着针对联邦资产和关键基础设施的网络攻击不断增加,美国联邦政府已转向积极应对这些威胁。美国国土安全部的运输安全管理局(TSA)发布了新的关键管道网络安全要求,此前拜登政府最近宣布“关于改善国家网络安全的行政命令,指导美国联邦政府走向零信任的网络安全架构。这意味着什么?这会让我们的数据更安全吗?
自上而下改革联邦网络安全的方法
5月12日th一项行政命令将联邦政府和零信任安全架构之间的“最佳实践”计划写入了法典。5月12日之前th在美国,每个联邦政府机构都有责任制定自己的网络安全政策,但事后看来,这可能不是一个好主意,因为最近发生了大量严重的网络入侵事件,最引人注意的是太阳风(SolarWinds)的网络入侵和人事管理办公室(Office of Personnel Management)遭到黑客攻击。
至少在2021年之前三大政府机构——包括国防部、教育部和小企业管理局——已经采用了零信任,或者正在把它列入他们的议程。这给了他们绝对的优势。尽管是太阳风猎户座(SolarWinds Orion)软件的用户,但美国国防部(Department of Defense)报告称,他们仍在使用不受太阳风入侵的影响.
通过要求每个政府机构采用零信任架构,拜登政府将大大提高美国公民数据的安全性。更重要的是,阅读行政命令文本揭示了对“零信任”及其含义的深刻而细致的理解。
在政府背景下,零信任是什么样子的?
我们浏览了5月12日的文本th该行政命令旨在弄清楚联邦政府将如何在其众多机构中实施零信任。
首先,零信任是一套整体战略,还包括保护云服务、集中访问网络安全数据、购买额外技术和招聘新人员。所有这些都是好的——零信任不是单一的技术,所以政府需要投资于多个新的应用程序和知道如何使用它们的员工。
第二,“零信任”的实施将迅速开始。政府机构必须把他们的计划提交给实现零信任在行政命令下达后60天内——在7月11日之前th换句话说。这些计划将符合政府自己的迁移步骤,由NIST规定,并将由总统的国家安全顾问审查。
NIST指南实现零信任内容广泛,可能会成为加兰德未来博客的基础。它包括一个详细的范围,几个演示Zero Trust工作的用例,高级Zero Trust体系结构的映射,等等。即使您以前从未听说过Zero Trust, NIST指南也为您提供了理解和实现该体系结构的极好的路线图。
最后,该行政命令给出了零信任架构本身的工作定义:
“零信任(Zero Trust)安全模型消除了对任何一个元素、节点或服务的隐性信任,而是需要通过来自多个来源的实时信息不断验证操作场景,以确定访问和其他系统响应。从本质上讲,零信任架构允许用户完全访问,但只允许他们执行工作所需的最少量访问。”
我们自己也不能说得更好了。
该行政命令继续声明,零信任安全架构的前提是数据泄露是不可避免的(如果它还没有发生),引入了最低权限访问的概念,并确定零信任必须依赖细粒度控制。这些都是创建零信任网络的绝佳起点。
确保零信任实施成功
美国历史上到处都是未完工的政府项目,因为一届政府的注意力在另一届政府身上转移。零信任的实施能否成功地保护联邦网络?
任何新的IT安全项目要想成功,需要做三件事:
- 建立共同定义
- 一组清晰的步骤
- 严格的最后期限
行政命令规定了所有这些,但还有很长的路要走。政府的IT系统历来资金不足,而且在很多情况下已经过时。在2015年,政府每年800亿美元的IT预算的75%致力于硬件的研发,这些硬件本应走向灭亡。
政府IT较老,而且很可能来自各种不同的供应商。这意味着零信任体系结构的一个重要先决条件——将信息从多个源传输到一个集中位置以进行持续监控——将更加难以实现。这些机构要么将不得不撕毁和替换他们原有的基础设施,要么他们将不得不找到更好的方法来整合他们的安全信息。
在加兰科技,我们乐动体育菠菜是值得信赖的可见性供应商美国政府并与他们使用的许多安全工具合作。从网络tap、数据包代理和内联旁路开始实现零信任可见性结构,为政府机构提供了改进的风险评估、增加资产可见性、减少网络复杂性和简化的基础设施升级,从而为零信任架构建立真正的基础。
希望将TAP可见性或流量聚合添加到零信任部署中,但不确定从哪里开始?加入我们一个简短的网络设计- it咨询或演示.没有义务,这是我们喜欢做的。
