2021年9月7日，美國政府發布了包括《聯邦零信任戰略》在內的推動零信任落地的文件“三件套”，要求在2024財年末完成零信任架構部署。這三份文件遵循了今年5月美國總統拜登簽署發布的關于加強聯邦政府網絡安全的行政令，該項命令中明確涉及多種特定的安全方法與工具，包括多因素身份驗證、加密與零信任等等。目前這三份文件均為“征集公眾意見”狀態，分別是：

　　美國管理與預算辦公室（OMB）發布的《推動美國政府運用“零信任”網絡安全原則》（Moving the US Government Towards Zero Trust Cybersecurity Principles）（即《聯邦零信任戰略》），目標是各機構加速實現早期零信任成熟度的共享基線。

　　網絡安全與基礎設施安全局（CISA）發布的《零信任成熟度模型》（Zero Trust Maturity Model）是對《聯邦零信任戰略》的補充，旨在為機構提供路線圖和資源，以實現最佳的零信任環境。

　　網絡安全與基礎設施安全局發布的《云安全技術參考架構》（Cloud Security Technical Reference Architecture）是機構安全遷移到云時的指南，解釋了共享服務、云遷移和云安全狀態管理的注意事項。

　　（上述三份文件的原文PDF及人工整理后的機翻全文已上傳三正知識星球及三正蘑菇云精選，獲取方式附于文末。）

　　對于美國推進零信任的原因，聯邦政府首席信息安全官Chris DeRusha的回答值得玩味：“聯邦政府的網絡安全方法必須迅速發展，跟上我們對手的步伐。而朝著零信任原則的邁進則是實現這一目標的必經之路?！?/p>

　　零信任文件三件套的主要內容

　　聯邦零信任戰略

　　1.戰略目的

　　《聯邦政府零信任戰略》的目的是將政府機構的企業安全架構遷移到零信任架構。通過制定機構必須采取的初始步驟，將所有聯邦機構置于一個共同的路線圖上，以實現其向著高度成熟的零信任架構發展。該戰略設想的聯邦零信任架構包括：支持跨聯邦機構的強大身份相關實踐；依賴加密和應用程序測試取代外圍安全；識別政府的每一個設備和資源；支持安全動作的智能自動化；支持安全、穩健地使用云服務。

　　聯邦政府首席信息官Clare Martorana在今年9月7日發布的一份聲明中對零信任架構做出進一步解釋：“永不信任，始終驗證。今天的零信任聲明是在向聯邦政府各級機構傳達出明確信息，即不要默認信任網絡邊界內外的任何對象?！备骷墮C構已經得到授權，可以制定計劃以實施滿足行政令要求的零信任架構。如今有了新的指南與參考架構，管理與預算辦公室要求各機構將新的可交付成果納入計劃當中。

　　2. 五大支柱目標

　　該戰略要求，各級機構在2024年9月底之前實現五大支柱目標，詳見附錄。

　　身份：機構工作人員應使用內部身份訪問自己在工作中使用的應用程序。反網絡釣魚多因素驗證則可保護這些雇員免受復雜在線攻擊的影響。

　　設備：聯邦政府擁有其運營并授權供各級部門使用的每臺設備的完整清單，可隨時檢測并響應設備上發生的安全事件。

　　網絡：各級機構應在環境中加密所有DNS請求與HTTP流量，并圍繞應用程序進行網絡分段。聯邦政府辦公室確定了可用于電子郵件傳輸加密的方案選項。

　　應用：機構將一切應用程序視為接入互聯網的應用程序，定期對應用進行嚴格測試，并歡迎各類外部漏洞評估報告。

　　數據：各機構在對數據進行徹底分類并加以保護方面采取統一和清晰的共享路徑。各級機構應使用云安全服務以監控對自身敏感數據的訪問，并實現業務范圍之內的日志記錄與信息共享。

　　零信任成熟度模型

　　美國網絡與基礎設施安全局于今年6月份擬制《零信任成熟度模型》，最初是在政府機構內分發，9月7日公開發布并廣泛征求反饋意見。零信任成熟度模型包括5個支柱：身份、設備、網絡/環境、應用程序、數據。

　　成熟度模型同管理與預算辦公室在備忘錄中提出的五項目標保持一致，并提供了希望獲得完善零信任架構的組織所應具備的工具和程序。這套模型還針對各個重點領域探討了如何適應“傳統”、“高級”、“最佳”等零信任環境的細分議題。

　　在整個網絡體系內全面采用零信任安全，無疑要求各級機構以協調的方式配置系統并配合統一的安全工具以實現順暢運作。為此，該文件提出，“聯邦政府網絡安全的現代化努力，將要求各級機構將以往相互隔離的孤島式IT服務及雇員轉化為零信任戰略中能夠動員起來、而且相互協同的組成單元?！?/p>

　　網絡與基礎設施安全局長Jen Easterly指出，成熟度模型只是該局為了幫助政府改善其網絡安全狀況而開發出的工具之一：“除此之外，我局還與美國數字服務與聯邦風險及授權管理計劃開展合作，共同編寫出云安全技術參考架構，用于指導機構的云安全遷移工作。”她解釋道，“通過強大的合作關系與持續努力，我局將不斷開發出新的創新方法以保護持續變化的網絡邊界，推動聯邦政府實現至關重要的IT現代化目標”。

　　云安全技術參考架構

　　該文件指導機構如何安全進行云遷移，解釋了共享服務、云遷移和云安全態勢管理的考慮。

　　拜登政府全面推進零信任落地

　　拜登政府認為，美國政府網絡面臨日漸嚴峻的網絡威脅態勢，網絡攻擊正不斷損害美國的經濟和安全，因此拜登政府在今年5月出臺了第14028號行政命令《提升美國網絡安全》（EO 14028：Improving the Nation's Cybersecurity），明確指示聯邦政府各機構引入零信任。通過全面的網絡安全建設落實基線安全實踐，將聯邦政府網絡升級為“零信任”架構，在處置云基礎設施相關風險的同時實現其安全效益。

　　2020年8月，美國國家標準與技術研究院NIST發布了零信任架構《SP800-207:Zero Trust Architecture》正式版。

　　2021年2月，美國國家安全局（NSA）發布關于零信任安全模型的指南《擁抱零信任安全模型》（Embracing a Zero Trust Security Model），強烈建議國家安全系統（NSS）內的所有關鍵網絡、國防部（DoD）的關鍵網絡、國防工業基礎（DIB）關鍵網絡和系統考慮零信任安全模型。

　　2021年5月，美國防信息系統局（DISA）在其官網公開發布《國防部零信任參考架構》，旨在為國防部增強網絡安全并在數字戰場上保持信息優勢。

　　附錄 五大支柱目標

　　支柱目標1：身份

　?。?）愿景

　　機構工作人員使用企業范圍的身份，來訪問他們在工作中使用的應用程序。防網絡釣魚MFA可保護這些人員免受復雜的在線攻擊。

　　（2）行動

　　機構必須為機構用戶建立單點登錄 （SSO） 服務，該服務可以集成到應用程序和通用平臺（包括云服務）中。

　　機構必須在應用程序級別實施 MFA，并在可行的情況下使用企業 SSO。

　　對于機構工作人員、承包商和合作伙伴：防釣魚MFA是必須的。

　　對于公共用戶：防釣魚MFA必須是一個選項。

　　機構必須采用安全的口令策略，并根據已知泄露的數據檢查口令。

　　CISA 將為機構提供一項或多項可以私下檢查口令的服務，而不會暴露這些口令。

　?。?）關鍵舉措

　　1. 企業范圍的身份

　　2. 多因素認證，抵御網絡釣魚

　　3.面向公眾的身份驗證

　　4. 使用強口令策略

　　支柱目標2：設備

　?。?）愿景

　　聯邦政府擁有它運行和授權用于政府工作的每臺設備的完整清單，并且可以檢測和響應這些設備上的事件。

　?。?）行動

　　機構必須參與 CISA 的持續診斷和緩解（CDM） 計劃。

　　CISA 將 CDM 計劃以最小特權原則為基礎，并優先考慮在基于云的基礎設施中的有效運行。

　　機構必須確保每個人工操作的企業配置設備，都有機構選擇的端點檢測和響應 （EDR） 工具。

　　CISA 將與機構合作，填補 EDR 覆蓋范圍的空白。

　　機構必須向 CISA 提供對 EDR 數據的持續訪問。

　?。?）關鍵舉措

　　盤點資產

　　政府范圍的EDR（端點檢測和響應）

　　支柱目標3：網絡

　　（1）愿景

　　機構在其環境中加密所有 DNS 請求和 HTTP 流量，并開始圍繞其應用程序對網絡進行分段。聯邦政府確定了對傳輸中的電子郵件進行加密的可行途徑。

　?。?）行動

　　在技術支持的任何地方，機構都必須使用加密的 DNS 來解析 DNS 查詢。

　　CISA 的保護性 DNS 程序，將支持加密的 DNS 請求。

　　機構必須對其環境中的所有 Web 和應用程序接口 （API） 流量，強制實施 HTTPS。

　　CISA 將與機構合作，將他們的 .gov 域“預加載”到網絡瀏覽器中，使其只能通過 HTTPS 訪問。

　　CISA 將與聯邦風險和授權管理計劃（FedRAMP）合作，評估MTA-STS作為加密電子郵件的可行的政府范圍內解決方案，并向 OMB 提出建議。

　　機構必須與CISA 協商制定網絡分段計劃并將其提交給 OMB。

　?。?）關鍵舉措

　　加密 DNS 流量

　　加密 HTTP 流量

　　加密電子郵件流量

　　圍繞應用程序分段網絡

　　支柱目標4：應用

　　（1）愿景

　　機構將他們的應用程序視為連接到互聯網，定期對其進行嚴格的實證測試，并歡迎外部漏洞報告。

　?。?）行動

　　機構必須運行專門的應用程序安全測試程序。

　　機構必須利用專門從事應用程序安全的高質量公司，進行獨立的第三方評估。

　　CISA 和 GSA 將共同努力，使此類公司可用于快速采購。

　　機構必須維持有效且受歡迎的公開漏洞披露計劃。

　　CISA 將提供一個漏洞披露平臺，使機構系統所有者可以輕松地直接接收報告并與安全研究人員接觸。

　　機構必須確定至少一個面向內部的聯邦信息安全管理法案 （FISMA ）中級應用程序，并使用企業 SSO 使其可通過公共互聯網訪問。

　　CISA 和美國總務署（GSA）將共同努力，為機構提供有關其在線應用程序和其他資產的數據。

　　機構必須向CISA和GSA 提供他們使用的任何非 .gov 主機名。

　?。?）關鍵舉措

　　應用安全測試

　　容易獲得的第三方測試

　　歡迎應用漏洞報告

　　安全地使應用程序可訪問互聯網

　　發現可上網的應用程序

　　支柱目標5：數據

　?。?）愿景

　　機構在部署利用徹底數據分類的保護方面有一條清晰、共享的路徑。機構利用云安全服務和工具來發現、分類和保護他們的敏感數據，并實現了企業范圍的日志記錄和信息共享。

　?。?）行動

　　OMB 將與聯邦首席數據官和首席信息安全官合作，制定零信任數據安全策略和相關的實踐社區。

　　機構必須對數據分類和安全響應進行一些初始自動化，重點是標記和管理對敏感文檔的訪問。

　　機構必須審計對商業云基礎設施中任何靜態加密數據的訪問。

　　機構必須與CISA合作實施全面的日志記錄和信息共享功能，如OMB 備忘錄M-21-31中所述。

　?。?）關鍵舉措

　　聯邦數據安全策略

　　自動化安全響應

　　審計對云中敏感數據的訪問

　　及時獲取日志。