直属美国总统管辖的行政管理和预算局(Office of Management and Budget,OMB)周三(1/26)发布一联邦策略,指示所有联邦机构的网络安全策略都应转移到零信任架构(Zero Trust Architecture),并必须在2024财年底(2024年9月30日)之前符合特定的安全标准与目标。
OMB在发送给各联邦机构的备忘录M-22-09中说明,在目前的威胁环境下,联邦政府不能再依赖传统的边界防御做法来保护重要系统与资料,因而必须作出大胆的改变,转移到零信任将替这个新的威胁环境提供一个可防御的架构。
在去年9月7日美国行政管理和预算局(OMB)提出“联邦零信任战略”(Federal Zero Trust Strategy)草案,如今这个联邦策略正式发布。
零信任模型的基本原则是没有任何参与者、系统、网络或服务是可靠的,因而必须验证任何试图创建访问权限的事物,在理想的状态下,政府员工应该拥有大型企业等级的受管账号,以让他们得以访问工作上所需的资料,同时提供可靠的安全保护,避免遭到针对性且复杂的网络钓鱼攻击;员工的工作设备也将持续受到关注与监控,并在赋给访问权限时考量这些设备的安全状态;各个联邦机构的系统是相互隔离的,彼此间交互的流量则是加密的;应用程序需经内部与外部的测试,并可安全地借由网络提供给员工;各个安全及资料团队必须合作以创建资料类别及安全规则,以侦测及封锁未经授权的机密信息访问。
OMB表示,该策略特别强调身份与访问控制,包含采用多因素认证(MFA)机制,若缺乏严格管控的身份识别系统,黑客只要取得用户账号就能进入特定机构以窃取资料或执行攻击。
美国总统拜登(Joe Biden)是在去年5月颁布“改善美国网络安全”的14028行政命令,当时便宣布要朝向零信任迈进,OMB则于同年的9月公布该联邦策略的草案。
美国提出的联邦零信任战略正式公布,1月26日发布M-22-09备忘录。