编者按
美国防部11月22日发布《国防部零信任战略》及《国防部零信任能力执行路线图》,概述国防部计划如何在2027财年前在国防部范围全面实施零信任网络安全框架。
美国防部零信任战略指出,面对当前快速发展的网络威胁和攻击,基于传统身份验证和授权模型的传统边界防护方法已不能有效地阻止当前和未来的网络攻击媒介,需要采取更具适应性、灵活性和敏捷性的协调一致响应方法。美国防部首席信息官约翰·谢尔曼在战略中指出,该战略的目的是通过从外围防御模式转变为“从不信任,始终验证”的心态来应对攻击性网络威胁的“快速增长”。
战略概述了四项综合战略目标:一是零信任文化采纳,即培养零信任心态和文化,并通过零信任安全框架和思维方式指导美军零信任生态系统中信息技术的设计、开发、集成和部署;二是保护和捍卫国防部信息系统,即开展网络安全实践,在新旧系统中整合并实施零信任,以实现国防部信息系统的整体弹性;三是技术加速,即以等于或超过行业进步的速度部署基于零信任的技术,以保持领先于不断变化的威胁环境;四是零信任启动,即同步国防部及其组成机构的流程、政策和资金,从而实现无缝协调的零信任执行。
战略围绕七个支柱设定了45项独立能力,包括:用户;设备;网络和环境;应用程序和工作负载;数据;洞察和分析;自动化和编排。该战略还将美国防部在上述支柱上的预期进展分为“目标”和“高级”零信任级别,要求到2027财年将实现“目标”级别目标,要求特定的机构未来几年达到“高级”级别目标。该战略为美国防部机构设立了相关时间表,包括:2023年对3个遗留系统进行零信任试点;在2023财年第四季度前记录所有网络流量;到2023年底开始将零信任部署到生产系统中;2023年9月23日前向国防部首席信息官办公室提交零信任执行计划。该战略为美国防部定义了三个行动方案,以最终实现其设想的零信任目标:建立零信任“基线”;依靠商业供应商开发符合零信任的云环境;利用政府拥有的私有云。
奇安网情局编译有关情况,供读者参考。
/
美国国防部11月22日发布《国防部零信任战略》及《国防部零信任能力执行路线图》,概述了国防部计划如何在2027财年前全面实施国防部范围的零信任网络安全框架。相关文件详细介绍了实现零信任这一网络安全新范例所需的100多项活动、能力和支柱。
美国防部零信任系列管理办公室主任兰迪·雷斯尼克发表声明称,“该战略的重要之处在于,其使得使零信任切实可行,同时认识到一种动态的且坦率来讲持续的改进方法。”
美国防部零信任战略和路线图设想了一个信息体系,该体系由全面实施的全部门零信任网络安全“目标级”框架保护,该框架将减少被攻击面,实现风险管理,使合作伙伴环境中的数据共享有效,并快速遏制和补救对手的活动。
美国防部零信任战略指出,“网络威胁和攻击正在以越来越快的速度发展,需要协调一致的防御响应,这种响应具有适应性、灵活性和敏捷性。基于传统身份验证和授权模型的传统边界或‘城堡和护城河’安全方法不能有效地阻止当前(和未来)的网络攻击媒介。”
与战略一同发布的路线图列出了使用美国防部当前IT基础设施和功能实现零信任的基准“行动方案”
美国防部代理首席副首席信息官大卫·麦基翁表示,“随着该战略的发布,我们已经阐明了如何实现零信任,不仅要加速技术采用,还要在国防部营造零信任文化。”
美国防部首席信息官约翰·谢尔曼8月下旬首次宣布国防部计划在整个部门范围内实施零信任架构。谢尔曼承认,该计划雄心勃勃,但它必须如此,因为当前和未来的网络威胁和攻击推动了对超越传统边界防御方法的零信任方法的需求。
约翰·谢尔曼在该战略的前言中写道,该战略目的是通过从外围防御模式转变为“从不信任,始终验证”的心态来应对攻击性网络威胁的“快速增长”。谢尔曼写道,“零信任不仅仅是一种IT解决方案,零信任可能包括某些产品,但不是可以购买的功能或设备。零信任之旅要求所有国防部部门在其架构、系统以及预算和执行计划中采用和集成零信任功能、技术、解决方案和流程。也许最重要的是,他们还必须在人员配置、培训和专业发展流程中满足零信任要求。”
01
战略目标
为实现零信任愿景,美国防部概述了四项高级综合战略目标:
● 战略目标一:零信任文化采纳
通过零信任安全框架和思维方式指导整个美国防部零信任生态系统中信息技术的设计、开发、集成和部署。所有国防部人员都需了解、理解、培训并致力于零信任的心态和文化,并支持零信任的整合。
● 战略目标二:保护和捍卫国防部信息系统
美国防部网络安全实践在新旧系统中整合并实施零信任,以实现国防部信息系统的整体弹性。
● 战略目标三:技术加速
基于零信任的技术以等于或超过行业进步的速度部署,以保持领先于不断变化的威胁环境。
● 战略目标四:零信任启动
美国防部的零信任执行与国防部级和组成机构级的流程、政策和资金同步,从而实现无缝协调的零信任执行。
02
支柱和时间表
美国防部方法包括围绕七个支柱组织的45项独立“能力”,包括:用户;设备;网络和环境;应用程序和工作负载;数据;洞察和分析;自动化和编排。
该战略还将美国防部在这些支柱上的预期进展分为“目标”和“高级”零信任级别。
兰迪·雷斯尼克表示,“在能力的目标级别上,我们正在遏制、减缓或阻止对手利用我们的网络。在国防部大多数中,这是我们的目标,因为这是我们基于我们今天看到的遗留模型正在努力实现的。”
美国防部预计到2027财年将实现“目标”级别的目标。在未来几年,只有特定的机构需要达到“高级”级别的目标,但美军官员们认为未来不需要任何国防部范围的授权。
此外,该战略指示美国防部机构在2023年对三个遗留系统进行零信任试点。美国防部机构的首个关键期限是在2023财年第四季度前记录所有网络流量。根据该战略,到2023年底,美国防部机构应开始将零信任部署到生产系统中。
零信任战略指出,各组成机构必须通过年度预算流程解决其零信任计划的资金问题。战略指出,“国防部首席信息官将与国防部组成机构合作,在每个财政年度,在年度计划目标备忘录(POM)周期内,从下一次立即提交开始,解决任何组成机构级的资源短缺问题。此外,国防部首席信息官将与国防部组成机构合作,通过常规的国防部资源配置流程向国会拨款人提交新资金申请。”
零信任战略指出,国防部零信任系列管理办公室将采用组成机构报告的指标,并向国防部网络委员会提供“综合记分卡”,“以衡量该战略计划的进展并确定需要减轻的其他风险以推进整体零信任战略目标。”该战略指出,该委员会由国防部首席信息官和国防部首席网络顾问共同领导,将作为零信任技术和战略方向的主要权威机构。
兰迪·雷斯尼克表示,“通常在这样的项目中,我们的早期指标只是显示速度的采用指标。例如,我们有10000个信息系统,我们知道我们必须将它们置于零信任保护之下。因此,在非常高的水平上,我们将跟踪该实施情况。”
美国防部组成机构需在2023年9月23日前向国防部首席信息官办公室提交单独执行计划,其中需列出“如何在他们的网络中应用零信任,包括所有基础设施和系统”。
零信任战略指出,“系统所有者负责执行和强制执行向零信任的迁移,并且必须了解与延迟实施相关的风险。必须设计和实施适当的安全控制,包括对国防部实施风险管理框架(RMF)方式的潜在改进,以应对新的攻击媒介和新出现的威胁,直至可以对这些系统进行全面合理化以相应地消除或现代化。”
03
持续诊断和缓解(CDM)&云视角
兰迪·雷斯尼克还解释称,美国防部准备促进行业合作,以帮助实施该战略中规定的45项零信任能力——其中20项与网络安全和基础设施安全局(CISA)运行的持续诊断和缓解(CDM)项目有关。
该战略为美国防部定义了三个行动方案,以最终实现其设想的零信任目标:建立零信任“基线”;依靠商业供应商开发符合零信任的云环境;利用政府拥有的私有云。官员们表示,美国防部正在为商业云和私有云制定未来零信任路线图,预计将比五年基准方法“更快”实现零信任。国防部计划与参与联合作战云能力(JWCC)采购的四家主要商业云提供商试行其零信任方法,包括谷歌、甲骨文、微软和亚马逊网络服务(AWS)。
大卫·麦基翁表示,“我们向他们提供了我们正在制订草稿的高级副本,他们感到非常鼓舞,因为有人终于为他们定义了满足零信任需要达到的目标……我们已经为这些供应商明确定义了‘北极星’,他们对此很满意。”
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局