多么美好的时光啊!在Forrester发布我们对现代零信任(Zero Trust, ZT)的定义之后,美国管理和预算办公室(the Office of Management and Budget, OMB)发布了一份备忘录,题为《推动美国政府走向零信任网络安全原则》(Moving US Government Toward Zero Trust Cybersecurity Principles)。
巧合吗?是的。一件大事?同时,是的。
如果按照规定执行,政府机构不仅会达到私营部门大型组织的安全成熟度级别(记住,他们刚刚开始在这个级别上招聘人员),而且还会超过这个级别。这一重大变革努力为所有行业树立了新的标杆,值得庆祝。也破除障碍为零信任采用各行业提供安全领导一组重点符合每个五个零信任的支柱,他们可以寻求行政支持,一切都轻松引人注目的政府授权,并构建到他们的预算和时间表。
庆祝这一战略
联邦政府对现代“零信任”的理解以及它是如何运作的,零信任的拥护者们应该为之欢呼雀跃。Forrester指定了Zero Trust的7个操作域:5个用于安全控制,2个用于创建Zero Trust eXtended (ZTX)时跨域的交互。网络安全与基础设施安全局(CISA)和行政管理和预算局(OMB)承认了这七个方面,并增加了一个:治理。
因此,在过去10年里,关于如何定义或实施零信任,曾经存在很多困惑,如今,由于2021年初发布的白宫行政命令,出现了大量一致的定义。重要的是,中钢协的观点从Forrester最初提出的“零信任”概念中得到了启发。我们的枪指向同一个方向。
第二,OMB战略文件有深度和广度。在所有这些领域,管理预算办公室不仅做出了正确的决定,它还做出了大胆的决定,在零信任上加倍下注。例子比比皆是!
有一些折中办法,这比我们预期的要少,因为政府IT部门主要由不同技术成熟度的孤岛组成。这包括加密的电子邮件,以及人们在网络中如何做ZT的一些余地(这是可以理解的,因为网络仍然是最难的部分)。
为什么这很重要
许多组织缺乏有效的网络安全策略;至少现在美国联邦机构不在其中。尽管更好的网络安全是一个值得追求的目标,但不要忘记,在一个中央王国和一个超级大国的残余中,剑拔弩支都是响当当的,这两个国家都没有对网络战感到不安。
对于许多项目来说,细节是关键所在。但OMB的零信任策略并非如此;正如我们上面提到的,它真的很好。在这里,魔鬼将被处决。每个机构、承包商和他们的分包商将在多大程度上实施零信任?
短
在OMB战略中包括的时间表中有几个短期任务,例如向CISA和总务管理局提供任何非。gov主机名(仅仅60天),以及欢迎互联网访问系统的外部漏洞报告。在一年内,强制的密码轮换应该被踢到阴沟里,它属于那里。
至关重要的是,在60天内,各机构必须向行政管理和预算管理局(OMB)和CISA提交一份22 - 24财政年度的实施计划,同时提交一份23 - 24财政年度的预算估算。
由于预算估算与路线图一致,许多CISO将需要帮助快速修改这些预算。最近网络安全招聘的改善可能有助于一些机构从私营部门吸引爱国人士,但其他机构将不得不借助第三方进行战略咨询。在与许多Forrester客户(联邦、州和市政府的政府机构)合作后,我们知道这些机构:
具有不同水平的技术和网络安全成熟度。
将根据最近发布的CISA零信任成熟度模型进行零信任成熟度评估和差距分析。
从长远来看
OMB的“零信任”战略要求每个联邦机构在长期内进行许多重大(且具有挑战性的)安全改进。OMB战略中的两个主题为政府CISO提供了帮助:云计算和协作。
关于协作,套用第二节,“机构内部和跨机构的[团队]应该合作,共同开发试点计划和政府范围内的指南,根据保护需求对数据进行分类,最终建立一个自动化安全访问规则的基础。”不仅仅是团队。这份备忘录对高管们有一句至理名言:“各机构的首席财务官、首席采购官、负责隐私的高级官员,以及机构领导层的其他人,应该与他们的IT和安全领导层合作,部署和维持‘零信任’能力。”至关重要的是,机构领导层和整个高管层要保持一致,并致力于改革机构的安全架构和运营。”
管理预算局的战略在29页中提到“云计算”的次数达到了令人瞠目的44次。备忘录的开头写道:“各机构应充分利用云基础设施中丰富的安全特性。”可以肯定的是,许多授权使用基于云的架构更容易完成(想想:企业范围内的任何管理)。OMB的策略针对“零信任”的五个主要支柱:身份、设备、网络、工作负载和数据,都有关于云的指导。
纪念这一天
我们已经为与“零信任”(Zero Trust)结盟的弗雷斯特公司(Forrester)的现任和前任分析师们订购了额外的布洛芬(ibuprofen),因为有几位分析师为了庆祝这份备忘录而在虚拟的击掌和身体上拍了拍自己,结果扭伤了腰。抛开夸张不谈,让我们观察并庆祝美国联邦政府在零信任方面取得的巨大进展:2020年,NIST零信任架构(SP 800-207);2021年,关于零信任的拜登行政命令和中钢协零信任期限模型;现在,2022年,最具体、最雄心勃勃的文件,即行政管理和预算局的零信任战略。
这篇文章是由高级研究分析师David Holmes写的,最初出现在这里。
