美國政府將在2023財年之前采用零信任安全模型。

零信任安全模型

零信任是Forrester Research的John Kindervag在2010年提出的一種安全模型方法，該方法認為本地設備和連接都是不可信的，假定入侵者具有網絡的訪問權限，因此在每一步都需要驗證。

零信任架構的設計和部署遵循以下基本原則：

1、所有的數據源和計算服務都被認為是資源。

2、所有的通信都是安全的，而且安全與網絡位置無關。

3、對單個企業資源的訪問的授權是對每次連接的授權。

4、對資源的訪問是通過策略決定的，包括用戶身份的狀態和要求的系統，可能還包括其他行為屬性。

5、企業要確保所有所屬的和相關的系統都在盡可能最安全的狀態，并對系統進行監控來確保系統仍然在最安全的狀態。

6、用戶認證是動態的，并且在允許訪問前嚴格執行。

美國政府將采用零信任安全模型

1月26日，美國行政管理和預算辦公室(OMB)發布向零信任安全原則遷移的聯邦戰略，要求相關機構在2024財年之前滿足特定的網絡安全標準和目標，以增強政府應對日益復雜和持續的網絡威脅的能力。

該零信任戰略的主要包括以下幾個方面：

●通過強因子認證方式來應對釣魚攻擊;

●加固機構身份系統;

●加密流量、將內部網絡看做是不可信的;

●增強應用安全以更好保護數據。

零信任戰略預測聯邦政府：

●聯邦工作人員有企業級別管理的賬戶，允許其訪問任何工作所需的內容，同時可以應對定向、復雜的釣魚攻擊;

●聯邦工作人員使用的設備可以被監控和追蹤，這些訪問在授予內部資源訪問權限時會考慮設備的安全態勢。

●聯邦各系統之間是互相隔離的，系統內和系統間的網絡流量都是經過可靠加密的。

●聯邦應用都會進行內部和外部測試，聯邦工作人員可以通過互聯網安全使用。

●聯邦安全團隊和數據團隊將協作來制定數據類別和安全規則以自動地檢測和攔截對敏感信息的非授權訪問。

其實早在2021年2月，美國國家安全局和微軟就向大公司和關鍵網絡(國家安全系統、國防部、國防工業基地)推薦使用零信任安全模型方法。

本文翻譯自：https://www.bleepingcomputer.com/news/security/white-house-wants-us-govt-to-use-a-zero-trust-security-model/如若轉載，請注明原文地址。