美國政府致力於改善國家資通安全,零信任已成為重要資安推動策略,美國行政管理與預算部門(Office of Management and Budget, OMB)發布「聯邦零信任戰略」草案,從戰略層級針對零信任網路安全架構部署進行整體規劃,並透過5大目標提出具體行動。
聯邦零信任戰略草案願景包括下列5大目標:
1. 鑑別(Identity):人員應使用單位認可之身分權限存取應用程式,並使用可防範釣魚攻擊之多因子驗證,以避免使用者受到複雜之網路攻擊。
2. 設備(Device):聯邦政府應建立完整設備清單,包括其管理之設備與所有授權其他機關所使用之設備,並進行檢測且處理設備發生之事件。
3. 網路(Network):於網路環境中加密所有DNS請求與HTTP流量,並制定網路分隔計畫,同時亦確保電子郵件加密之可行方式。
4. 應用程式(Application):應將所有應用程式視為其與網際網路連接,並定期針對應用程式執行嚴格測試,以及接受外部漏洞檢測。
5. 資料(Data):資料分類與保護方面,須有更明確與共享之路徑,利用雲端服務與工具之優勢,協助發現、分類及保護自身之機敏資料,並落實企業範圍之日誌紀錄保存與資料分享。
聯邦零信任戰略草案之目的為奠定所有聯邦政府之零信任網路建置基礎,以邁向高成熟度之零信任網路架構,並期望於2024年完成初步推動。
資料來源:
https://zerotrust.cyber.gov/federal-zero-trust-strategy/
https://www.whitehouse.gov/omb/briefing-room/2021/09/07/office-of-management-and-budget-releases-draft-federal-strategy-for-moving-the-u-s-government-towards-a-zero-trust-architecture/
https://federalnewsnetwork.com/commentary/2021/11/how-agencies-can-address-ombs-new-zero-trust-requirements/
技術服務中心整理