美国国防部(Department of Defense,DoD)周二(11/22)发布了该部门的零信任(Zero Trust)政策与蓝图,并计划在2027年完成部署。
根据DoD所公布的蓝图,该部门计划采用3种移动方案(Course of Action,CoA)来达到零信任,首先是Brownfield做法,先创建零信任的基准线,再利用现有的基础设施与环境来开发,而为了加速零信任的采用,也正发展互补方案,包括采用既有的商用云计算服务,或是由政府以Greenfield做法重新创建一个私有云。本周所发布的蓝图与规划则是以Brownfield做法为主。
美国国防部首席信息官John Sherman表示,敌人正在国防部的网络中窃取国防部资料,剥削国防部用户,相关威胁的快速增长彰显了该部门改善网络安全的必要性,此外,通过强大与越来越复杂的外围防御来保护国防部网络已不足以支撑网络弹性,也不足以保护跨地域、接口与外部合作单位的资讯安全,更何况在DoD的数百万用户中,有许多在家工作的必须于传统的边界之外访问DoD网络。
Sherman认为,这意味着国防部的每一个用户都必须采用零信任的心态,以对DoD设备、应用程序、资产及服务的安全负责,让用户只能在需要时访问所需的资料,所有人都必须在防御敌人时派上用场。
Sherman还强调零信任不仅是个IT解决方案,它要求所有的DoD组件都必须集成零信任的能力、技术、解决方案与程序,或许更重要的是,也必须在员工、训练及专业开发程序中集成零信任。
于是,在国防部所公布的Brownfield蓝图中所定义的零信任能力涵盖了所有DoD组件,从用户、设备、应用程序与任务、资料、网络与环境、自动化与调度,到曝光率与分析,而且针对不同的组件都提出了更多的能力要求,令人一窥其工程的浩大与复杂度。