美國當地時間1月26日，白宮發布了最終零信任戰略，要求在2024年財年前“實現具體的零信任安全目標”，這將是業內首個國家級零信任架構。

這項戰略由白宮管理與預算辦公室(OMB)發布，備忘錄編號為M-22-09。此次公告是2021年9月發布首次草案后的正式政府文件，其制定授意來自拜登的第14028號總統行政令。該戰略是落實該行政命令的關鍵一步，其重點是在整個政府范圍內啟動零信任框架遷移，大幅降低針對聯邦政府數字基礎設施的網絡攻擊風險。

該戰略共計30頁，計劃列出了聯邦機構在未來兩年內需要采取的數十項措施，包括更嚴格地網絡分割、多因素認證和廣泛地加密，以確保系統安全，并限制安全事故的風險。

該戰略對設聯邦政府提出了以下幾點展望：

• 聯邦政府人員擁有企業管理的賬戶，供其訪問工作所需的資料，同時還能保護其免于針對性、復雜性的網絡釣魚攻擊。
• 聯邦政府人員使用的工作設備被被持續跟蹤和監控，而且在授予內部資源訪問權限時，也應考慮到設備的具體安全狀況。
• 各代理系統之間相互隔離，往來于不同系統及同一系統內部的網絡流量應經過可靠加密。
• 企業應用程序需經過內部和外部進行測試，確保可通過互聯網安全地交付給雇員。
• 聯邦安全團隊和數據團隊共同合作規劃數據類別和安全規則，以實現自動檢測并最終阻止對未經授權訪問敏感信息。

戰略中提到，政府機構必須在2024財年結束前滿足特定的網絡安全標準和目標。各部門有60天或120天的時間來任命領導，領導將執行這些措施，并根據敏感性對某些信息進行分類。

據了解，此次修訂部分受啟發于 SolarWinds攻擊事件，該活動潛入美國司法部、國土安全部和其他部門的非機密網絡，且幾個月都未被發現。OMB表示，新版本納入網絡安全專業人士、非營利組織和私營企業要求的更改。最終確定的戰略包括強調體系訪問控制，包括多因素身份驗證以及加密所有DNS和HTTP 流量。

白宮表示，復雜的網絡攻擊威脅日益增長，強調聯邦政府不能再依靠傳統的外圍防御來保護關鍵系統和數據。

網絡安全與基礎設施安全局(CISA)局長珍·伊斯特利表示，零信任是政府現代化和加強防御的一個關鍵因素。

伊斯特利表示，“隨著我們對手的攻擊和破壞方式不斷創新，我們必須繼續從根本上改變我們對待聯邦網絡安全的方式。”