美国防部将发布新版零信任战略，定义百余项具体落地能力

安全内参9月8日消息，美国国防部负责网络安全的副CIO David McKeown表示，五角大楼即将发布新的零信任战略。与以往框架不同，新战略将概述国防部实现“针对性”零信任所需要的几十种能力要求。

McKeown在比灵顿网络安全峰会上表示，这项战略预计将在本月内发布。文件提出了“经过明确定义、用于实现针对性零信任的90项能力要求。还定义了检查条款，以及实现特定能力时需要的条件。这90项能力将成为国防部达成针对性零信任的基石。”

他补充称，该战略还定义了另外62项能力，一旦达成将助力五角大楼实现“更先进的零信任”，足以支撑国家安全系统或者其他“极为重要的”系统。

进一步落实联邦零信任战略

作为五角大楼日益关注的重要框架，零信任的基本思路是假设网络将始终面临威胁风险，并要求所有用户均接受身份验证和授权。今年1月19日，拜登政府发布了一份关于改善国防部、情报界及国家安全系统网络安全水平的备忘录，为各机构的零信任框架实施规划提出了具体指导方针。

在1月26日发布的另一份备忘录中，白宫管理办公室制定了一项联邦政府零信任战略，要求各级部门在2024财年底达成特定网络安全标准。

这份备忘录提到，“零信任架构的一大关键原则，就是不对任何网络做默认可信的假设。这一原则，可能与各级部门的现行网络及相关系统保护方法有所冲突。一切流量都必须尽快接受加密和验证。”

McKeown还强调，与此前公布的零信任框架不同，国防部此次即将出台的新战略明确定义了七大“支柱”及相应的发展成熟级别。

将极大提升敏感系统安全性

美国国防部首席信息官John Sherman曾在今年8月表示，新战略将定义国防部“主体控制”与各敏感系统之间的零信任实施办法。

Sherman的目标之一，是在未来五年内为大部分国防部单位系统推行零信任架构，并表示“我们对手的网络能力让我们别无选择，只能以这种速度加快推进。”

在此次发言中，McKeown重申了Sherman的观点，并表示国防部正在为各军事部门和国防部单位制定实施计划。

该计划囊括了国防部实现针对性零信任目标的三种方法，包括提升每个服务和机构的当前环境以满足针对性零信任的90种能力，以及实施满足最高零信任要求的零信任云。

McKeown表示，“我们还一直与多家云服务商保持合作，邀请他们检查当前的FedRAMP云产品，特别是其中已经使用多年的部分。在全部三种云产品中，两种产品的针对性零信任能力达成率已经达到90%，这无疑令人信心振奋。延续部门的整体安全战略，我们选择使用云服务、提高云利用率，并将继续推进联邦政府的整体云利用率水平。”

零信任帮助美国空军简化作战环境

美国空军首席信息官Lauren Knausenberger也在8月29日表示，零信任框架有助于空军简化其作战环境。

她在空军信息技术与网络力量大会上指出，“如果我们能够知晓访问者身份、完成数据标记，就能建立起多层次安全体系，避免空军指挥官通过多台设备、多种网络发布指令。如此一来，作战行动也将得以简化。”

美国空军已经在8月26日发布的最新临时战略草案中，定义了未来六年的零信任发展愿景。这份草案延伸至2028财年，用于指导期间美国空军应把时间与精力投入哪些安全举措。

空军目前已经在为零信任架构的实施做准备，将根据新战略“以一种有凝聚力的方式保护不同分类、不同层次的数据”，包括根据受保护资源的敏感性，利用各种基础身份（ICAM）要素管理用户、凭证以及访问风险。

参考资料：breakingdefense.com

转自 安全内参，原文链接：https://www.secrss.com/articles/46722

封面来源于网络，如有侵权请联系删除