文│國家工業(yè)信息安全發(fā)展研究中心 侯亞文
傳統(tǒng)網(wǎng)絡(luò)架構(gòu)將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)與外網(wǎng),并以邊界防護(hù)為安全基礎(chǔ)。隨著云計(jì)算、大數(shù)據(jù)等新興網(wǎng)絡(luò)技術(shù)的發(fā)展應(yīng)用,網(wǎng)絡(luò)邊界逐漸模糊,邊界防護(hù)效果銳減,探索加強(qiáng)網(wǎng)絡(luò)防御的新手段已迫在眉睫。零信任作為一種新的網(wǎng)絡(luò)安全架構(gòu),已成為全面提升網(wǎng)絡(luò)防御能力的重要手段。零信任(Zero Trust Architecture)基于“永不信任,始終驗(yàn)證”的原則,指導(dǎo)構(gòu)建以“數(shù)據(jù)為中心”的安全防護(hù)架構(gòu),一旦部署成功,將極大提高網(wǎng)絡(luò)防御能力與安全水平。2022 年 11 月 22 日,美國防部發(fā)布《零信任戰(zhàn)略》(DoD Zero Trust Strategy),概述了 2027 財(cái)年前在國防部全面實(shí)施零信任架構(gòu)的計(jì)劃及推進(jìn)路徑,詳細(xì)闡述了部署零信任架構(gòu)的 4 項(xiàng)綜合戰(zhàn)略目標(biāo)、45 項(xiàng)關(guān)鍵能力,以及 3 個行動方案。該戰(zhàn)略的發(fā)布,使國防部各組成機(jī)構(gòu)對零信任概念、關(guān)鍵技術(shù)能力與推進(jìn)路徑有了更深層次的認(rèn)識,有助于加速“零信任文化”在國防部內(nèi)的落地生根,助推零信任架構(gòu)及相關(guān)信息技術(shù)不斷迭代發(fā)展、轉(zhuǎn)化應(yīng)用。
一、零信任概念、關(guān)鍵技術(shù)與能力
零信任并非一種獨(dú)立的產(chǎn)品或單一設(shè)備,而是一套不斷發(fā)展的網(wǎng)絡(luò)安全范式,將靜態(tài)的、基于網(wǎng)絡(luò)邊界的傳統(tǒng)防御方法轉(zhuǎn)向關(guān)注用戶、資產(chǎn)和資源方面。零信任架構(gòu)并非完全摒棄現(xiàn)有安全技術(shù)另起爐灶,而是依然使用很多傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù),例如身份認(rèn)證、訪問控制等。零信任只是將認(rèn)證與控制的范圍從廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到單個或小組資源。
零信任概念建立在五個基本假定之上。一是網(wǎng)絡(luò)無時無刻不處于危險(xiǎn)環(huán)境中;二是網(wǎng)絡(luò)自始至終存在外部或內(nèi)部威脅;三是網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)可信程度;四是所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán);五是網(wǎng)絡(luò)安全策略必須是動態(tài)的,并應(yīng)基于盡可能多的數(shù)據(jù)源計(jì)算得來。2010年,美國研究機(jī)構(gòu)弗雷斯特(Forrester)的首席分析師約翰·金德維格(John Kindervag)正式提出零信任術(shù)語。經(jīng)過美國政府與各軍種多年研究,零信任概念及其關(guān)鍵要素逐漸成形。2019 年,美國國防信息系統(tǒng)局(DISA)在《零信任參考架構(gòu)》(Zero Trust Reference Architecture)草案中對零信任做出描述,零信任將基于網(wǎng)絡(luò)邊界的靜態(tài)防御轉(zhuǎn)向用戶、資產(chǎn)和資源,其核心思想是“持續(xù)驗(yàn)證,永不信任”,默認(rèn)網(wǎng)絡(luò)內(nèi)外的任何用戶、系統(tǒng)、設(shè)備均不可信,并在最低訪問權(quán)限策略下持續(xù)開展身份認(rèn)證與授權(quán)。2020 年,美國國家技術(shù)標(biāo)準(zhǔn)研究院(NIST)發(fā)布的 SP800-207《零信任架構(gòu)》(Zero Trust Architecture)標(biāo)準(zhǔn)對零信任架構(gòu)定義做出描述:一種利用零信任理念的網(wǎng)絡(luò)安全規(guī)劃,包括概念、思路和組件關(guān)系的集合,旨在消除在信息系統(tǒng)和服務(wù)中實(shí)施精準(zhǔn)訪問策略的不確定性。該文件強(qiáng)調(diào),零信任架構(gòu)中的眾多組件并不一定是新的技術(shù)或產(chǎn)品,而是按照零信任理念形成的一套面向用戶、設(shè)備和應(yīng)用程序的完整安全解決方案。
零信任以三大關(guān)鍵技術(shù)作為底層支撐。零信任架構(gòu)的研發(fā)與部署必然經(jīng)歷復(fù)雜的技術(shù)迭代升級,涉及身份認(rèn)證與訪問管理(IAM)、微隔離(Micro Segmentation)和軟件定義邊界(Software Defined Perimeter)等關(guān)鍵技術(shù)。一是身份認(rèn)證與訪問管理,即對身份進(jìn)行動態(tài)的認(rèn)證與授權(quán),實(shí)現(xiàn)全面身份認(rèn)證,這是零信任架構(gòu)的基石。身份認(rèn)證與訪問管理技術(shù)可用于解決身份唯一標(biāo)識、身份屬性、身份全生命周期管理等功能性問題。二是微隔離,即更細(xì)粒度地分割資源,隔離內(nèi)外部系統(tǒng)主機(jī),獨(dú)立控制訪問權(quán)限,有效防御違規(guī)訪問橫移。三是軟件定義邊界,可在“移動+云”的背景下構(gòu)建虛擬邊界,僅在通過設(shè)備和身份認(rèn)證后才能訪問資源,且“訪問隧道”臨時、單一,不會泄露資源位置。這三大技術(shù)作為零信任架構(gòu)的重點(diǎn)組成部分,受到美國政府、國防部及各軍種的高度重視,得以不斷發(fā)展,賦能零信任架構(gòu)的落地。
美國國防部 2022 年 11 月發(fā)布的《零信任戰(zhàn)略》設(shè)定了國防部實(shí)現(xiàn)零信任必須具備的 45 項(xiàng)關(guān)鍵能力。具體看,用戶層面包括最低權(quán)限訪問、特權(quán)訪問管理、基于生物識別的身份驗(yàn)證、持續(xù)身份驗(yàn)證等;設(shè)備層面包括終端/移動設(shè)備管理、設(shè)備合規(guī)檢測、設(shè)備授權(quán)與實(shí)時檢測、終端檢測響應(yīng)等;應(yīng)用程序和工作負(fù)載層面包括持續(xù)監(jiān)控/授權(quán)、軟件風(fēng)險(xiǎn)管理、資源授權(quán)與集成等;數(shù)據(jù)層面包括數(shù)據(jù)加密與權(quán)限管理、數(shù)據(jù)標(biāo)記、數(shù)據(jù)監(jiān)測與傳感等;網(wǎng)絡(luò)和環(huán)境層面包括微隔離、軟件定義網(wǎng)絡(luò)、宏隔離等;可視化和分析層面包括自動動態(tài)管理策略、網(wǎng)絡(luò)流量記錄、安全信息與事件管理、威脅情報(bào)集成等;自動化和編排層面包括關(guān)鍵過程自動化、人工智能、應(yīng)用程序編程接口標(biāo)準(zhǔn)化等。
一直以來,零信任受到美國政府和各軍種的持續(xù)關(guān)注,使相關(guān)概念與關(guān)鍵技術(shù)得以不斷精進(jìn)發(fā)展,但是,直到 2019 年,零信任才作為一個具體發(fā)展目標(biāo)被列入國防部的《數(shù)字現(xiàn)代化戰(zhàn)略》(Digital Modernization Strategy),加之近年來美國遭到網(wǎng)絡(luò)攻擊的事件數(shù)量激增,使美國政府和各軍種將“加速推動零信任落地”提上日程。
二、美國推進(jìn)零信任研究與落地的舉措
近年來,美國政府與私營機(jī)構(gòu)頻繁遭受嚴(yán)重網(wǎng)絡(luò)攻擊,例如 2020 年的“太陽風(fēng)”事件和 2021 年的科洛尼爾輸油管道被攻擊事件等,不僅暴露出相關(guān)機(jī)構(gòu)在網(wǎng)絡(luò)防御、網(wǎng)絡(luò)事件響應(yīng)等多方面能力仍存在不足,也使美國政府意識到惡意網(wǎng)絡(luò)活動帶來的影響,由此愈發(fā)重視零信任對網(wǎng)絡(luò)安全的賦能作用。美國政府認(rèn)為,零信任是下一代網(wǎng)絡(luò)安全架構(gòu)的必然演進(jìn)方向,現(xiàn)已將其列為國家層面的優(yōu)先事項(xiàng),發(fā)布一系列戰(zhàn)略文件為零信任發(fā)展提供頂層指導(dǎo),并通過增加預(yù)算投入,多措并舉、多方協(xié)作,共同推進(jìn)零信任架構(gòu)的研究與落地。
(一)自上而下,系統(tǒng)發(fā)布頂層戰(zhàn)略
在國家層面,美國國家安全局(NSA)于 2021 年 2 月發(fā)布《擁抱零信任安全模型》(Embracing a Zero Trust Security Model)指南,建議將零信任架構(gòu)規(guī)劃為“從準(zhǔn)備階段到基本、中級、高級”逐步成熟的過程。美國總統(tǒng)拜登于 2021 年 5 月簽署了《加強(qiáng)國家網(wǎng)絡(luò)安全的行政令》(Executive Order on Improving the Nation"s Cybersecurity),明確提出美國政府應(yīng)推進(jìn)零信任,實(shí)現(xiàn)網(wǎng)絡(luò)安全現(xiàn)代化,并要求各機(jī)構(gòu)要在該行政令簽署之后的 60 天內(nèi)制定實(shí)施零信任架構(gòu)的計(jì)劃及時間表。美國白宮于2022 年 1 月發(fā)布的《聯(lián)邦零信任戰(zhàn)略》(Federal Zero Trust Strategy)是全球首個國家層面的零信任戰(zhàn)略。該戰(zhàn)略要求美國政府能在未來兩年內(nèi)逐步采用零信任架構(gòu),滿足必要網(wǎng)絡(luò)安全標(biāo)準(zhǔn),實(shí)現(xiàn)零信任防護(hù)體系,抵御現(xiàn)有威脅并增強(qiáng)整個政府層面的網(wǎng)絡(luò)防御能力。
在國防部層面,2020 年 7 月,美國國防信息系統(tǒng)局局長南?!ぶZ頓(Nancy Norton)在武裝部隊(duì)通信與電子協(xié)會主辦的陸軍虛擬 2020 信號會議(Army"s Virtual 2020 Signal Conference)上稱,國防部將發(fā)布初始零信任架構(gòu),改善國防部的網(wǎng)絡(luò)安全狀況。該會議目的之一就是“將零信任從流行語變?yōu)楝F(xiàn)實(shí)”。之后,美國國防信息系統(tǒng)局于2021 年 5 月和 2022 年 7 月先后發(fā)布《國防部零信任參考架構(gòu)》(Department of Defense Zero Trust Reference Architecture)第 1 版和第 2 版,提出將現(xiàn)有網(wǎng)絡(luò)系統(tǒng)遷移至零信任的具體步驟。美國防部于 2022 年 11 月發(fā)布的《零信任戰(zhàn)略》,闡述了部署零信任架構(gòu)的四項(xiàng)綜合戰(zhàn)略目標(biāo):一是培養(yǎng)零信任文化,即在國防部內(nèi)培養(yǎng)零信任思維和文化,指導(dǎo)美軍對零信任生態(tài)系統(tǒng)中信息技術(shù)的設(shè)計(jì)、開發(fā)、集成和部署。二是防護(hù)國防部信息系統(tǒng),即在國防部新舊信息系統(tǒng)中納入零信任架構(gòu),增強(qiáng)信息系統(tǒng)彈性,實(shí)現(xiàn)防護(hù)能力整體升級。三是加速推動國防部零信任技術(shù)發(fā)展,即在國防部內(nèi)以等同或超過行業(yè)進(jìn)步水平的速度部署零信任技術(shù),使技術(shù)水平在變化的威脅環(huán)境中保持領(lǐng)先。四是賦能國防部零信任工作,即國防部及其下屬機(jī)構(gòu)的工作流程、政策和資金安排應(yīng)與零信任工作同步。
在軍種層面,美國空軍于 2022 年 8 月發(fā)布 2023-2028 財(cái)年《首席信息官公共戰(zhàn)略》(Chief Information Officer Public Strategy),要求空軍信息系統(tǒng)在未來 5 年內(nèi)實(shí)現(xiàn)零信任架構(gòu)部署。
(二)協(xié)同推進(jìn),成立多個責(zé)任機(jī)構(gòu)
在 2020 年“太陽風(fēng)”事件發(fā)生后,美國國土安全部(DHS)成立了零信任行動小組,推行零信任工作計(jì)劃。
2021 年 8 月,美國國防部代理首席信息官約翰·舍曼(John Sherman)在聯(lián)邦討論(FedTalks)虛擬會議上透露,美國國防部正籌劃成立零信任安全項(xiàng)目辦公室,統(tǒng)籌、管理國防部與零信任架構(gòu)相關(guān)的項(xiàng)目和工作。2022 年 1 月,美國國防部設(shè)立了由首席信息官領(lǐng)導(dǎo)的國防部零信任投資組合管理辦公室(ZT PfMO),負(fù)責(zé)統(tǒng)籌國防部的零信任整體執(zhí)行情況,協(xié)調(diào)資源分配的優(yōu)先順序,并通過多個行動方案加快零信任理念的落地。美國國防部各部門以各自的零信任執(zhí)行進(jìn)展為基礎(chǔ),整體遵循該辦公室制定的零信任總體目標(biāo)和進(jìn)度計(jì)劃。此外,美國國防信息系統(tǒng)局還成立了新興技術(shù)局,該局將擔(dān)負(fù)一部分零信任技術(shù)研發(fā)的相關(guān)工作。
為實(shí)現(xiàn)零信任總體戰(zhàn)略目標(biāo),美國政府與美軍謀劃、成立多個責(zé)任機(jī)構(gòu)推進(jìn)零信任發(fā)展,協(xié)同執(zhí)行相關(guān)工作計(jì)劃,推動網(wǎng)絡(luò)體系向全新安全架構(gòu)邁進(jìn)。美國陸軍將由首席信息官辦公室下屬部門企業(yè)云管理辦公室推動零信任落地實(shí)施。
(三)重點(diǎn)攻關(guān),加速發(fā)展關(guān)鍵技術(shù)
美國國防部在 2022 財(cái)年共投資 6.15 億美元用于發(fā)展零信任相關(guān)技術(shù)。目前,美國國防部正在研發(fā)一套新的身份認(rèn)證與訪問管理工具,并在 2022 財(cái)年投資 2.44 億美元用于發(fā)展身份認(rèn)證與訪問管理相關(guān)技術(shù),幫助國防信息網(wǎng)絡(luò)實(shí)現(xiàn)對“任意時間、任意位置、任意人員”的最低權(quán)限管理控制。該技術(shù)的發(fā)展將是美國國防部信息系統(tǒng)向零信任架構(gòu)邁進(jìn)的重要舉措之一。
美國白宮管理預(yù)算辦公室(OMB)正開發(fā)一套用于零信任架構(gòu)的系統(tǒng),為訪問者的可信度進(jìn)行評分,判斷對方是否有權(quán)訪問網(wǎng)絡(luò)或應(yīng)用程序,新系統(tǒng)將在用戶評分不高時發(fā)出提醒。
美國空軍的《首席信息官公共戰(zhàn)略》指出,將在 2023-2028 財(cái)年重點(diǎn)發(fā)展微隔離、軟件定義邊界等關(guān)鍵技術(shù),支持空軍各基地的信息體系逐步向零信任架構(gòu)邁進(jìn),建立空軍作戰(zhàn)環(huán)境的多層次安全體系,加強(qiáng)其網(wǎng)絡(luò)安全防御水平。
近年來,美國政府與美軍持續(xù)增加預(yù)算投入,推進(jìn)零信任架構(gòu)與關(guān)鍵技術(shù)的研發(fā),既有助于加速零信任理念的落地,也為美國搶占全球零信任新興技術(shù)制高點(diǎn)奠定基礎(chǔ)。
(四)循序漸進(jìn),落地實(shí)施原型系統(tǒng)
美國國防部一直以來使用聯(lián)合區(qū)域安全棧(JRSS)作為標(biāo)準(zhǔn)化的網(wǎng)絡(luò)中間層安全設(shè)備。美國國防部作戰(zhàn)試驗(yàn)鑒定局(DOT&E)在 2020 財(cái)年《國防部作戰(zhàn)試驗(yàn)鑒定年度報(bào)告》(Director Operational Test and Evaluation Annual Report)中指出,以零信任架構(gòu)替代聯(lián)合區(qū)域安全棧,承擔(dān)起保護(hù)國防部網(wǎng)絡(luò)中間層安全的重任。
在頂層戰(zhàn)略持續(xù)指引和關(guān)鍵技術(shù)迭代發(fā)展的背景下,美國國防信息系統(tǒng)局于 2021 年 5 月發(fā)布關(guān)于零信任的落地項(xiàng)目“雷霆穹頂”(Thunderdome)的信息請求,又于 2021 年 7 月發(fā)布“雷霆穹頂”方案的白皮書請求(Request for White Paper DISAOTA-21-9-Thunderdome)。2022 年 1 月,美國國防信息系統(tǒng)局授予美國博思艾倫咨詢公司(Booz Allen Hamilton)一份價(jià)值 680 萬美元的合同,開展“雷霆穹頂”原型系統(tǒng)的開發(fā)、測試、運(yùn)維等工作。此舉標(biāo)志美國零信任架構(gòu)正式進(jìn)入落地階段;2022 年 8 月,雙方再次延長 6 個月合同期,旨在將涉密互聯(lián)網(wǎng)協(xié)議路由網(wǎng)絡(luò)納入該計(jì)劃,進(jìn)一步確保國防部信息系統(tǒng)安全性?!袄做讽敗痹拖到y(tǒng)的安全防護(hù)功能將符合美國政府的網(wǎng)絡(luò)安全要求,并與《加強(qiáng)國家網(wǎng)絡(luò)安全的行政令》和《數(shù)字現(xiàn)代化戰(zhàn)略》的戰(zhàn)略要求保持一致。
(五)廣泛試點(diǎn),摸索推廣應(yīng)用途徑
近年來,美國國防部、各軍種已經(jīng)開展了多個零信任試點(diǎn)項(xiàng)目,并從這些項(xiàng)目中吸汲取經(jīng)驗(yàn)教訓(xùn),摸索零信任的推廣應(yīng)用途徑。
為實(shí)現(xiàn)零信任戰(zhàn)略目標(biāo),美國國防部制定了行動方案:一是制定零信任“五年工作計(jì)劃”。國防部制定了為期五年的工作時間表,要求國防部各組成機(jī)構(gòu)在 2023 財(cái)年前對遺留系統(tǒng)進(jìn)行試點(diǎn),在 2023 財(cái)年第四季度前統(tǒng)計(jì)所有網(wǎng)絡(luò)流量,在 2023 年底前將零信任部署到生產(chǎn)系統(tǒng)中,在 2023 年 9 月 23 日前向首席信息官辦公室提交零信任執(zhí)行計(jì)劃。二是依托商業(yè)云。美國國防部將依托行業(yè)承包商的專業(yè)能力開發(fā)適用于零信任架構(gòu)的云環(huán)境。三是利用政府的私有云。美國國防部將政府的私有云視作實(shí)現(xiàn)零信任“高層級目標(biāo)”的重要支撐環(huán)境。此外,美國國防部還以零信任為原則在其所有部門推廣“合規(guī)連接”(Comply-to-Connect,C2C)框架并投入大量資金,將該框架視為采用零信任架構(gòu)的構(gòu)建模塊?!昂弦?guī)連接”將通過設(shè)備識別、自動編排和持續(xù)監(jiān)控提升網(wǎng)絡(luò)安全。
美國陸軍在 2020 年就開始與美國國防信息系統(tǒng)局推行零信任試驗(yàn)項(xiàng)目,組成試驗(yàn)團(tuán)隊(duì)并基于微軟“Microsoft 365”系統(tǒng)的安全環(huán)境部署零信任架構(gòu),基于現(xiàn)用技術(shù)和設(shè)備實(shí)現(xiàn)零信任架構(gòu)。美國空軍網(wǎng)絡(luò)司令部通過一系列零信任試點(diǎn)工程,為其后續(xù)大范圍推廣零信任架構(gòu)奠定基礎(chǔ)。目前,美國空軍已經(jīng)在佛羅里達(dá)州帕特里克太空部隊(duì)基地的發(fā)射系統(tǒng)及加利福尼亞州比爾空軍基地的基地運(yùn)營系統(tǒng)中部署了零信任架構(gòu),把零信任作為提高信息戰(zhàn)能力的核心技術(shù),為服務(wù)全域作戰(zhàn)提供支撐。美軍運(yùn)輸司令部在其機(jī)密網(wǎng)絡(luò)上實(shí)施零信任安全模型,提高其網(wǎng)絡(luò)安全態(tài)勢感知與檢測能力。
三、美國部署零信任架構(gòu)的影響
美國政府與美軍推進(jìn)零信任落地,除了極大提升網(wǎng)絡(luò)安全整體水平外,還將影響網(wǎng)絡(luò)空間的多個領(lǐng)域:將其防御重點(diǎn)從“保護(hù)網(wǎng)絡(luò)”向“保護(hù)數(shù)據(jù)與資源”轉(zhuǎn)變;降低美國政府與軍方的運(yùn)營風(fēng)險(xiǎn)、改變?nèi)藛T構(gòu)成、縮減潛在成本;提高網(wǎng)絡(luò)的合規(guī)性、可視化與自動化管理水平。
一是從“以網(wǎng)絡(luò)為中心”轉(zhuǎn)向“以數(shù)據(jù)為中心”的網(wǎng)絡(luò)安全模式。零信任架構(gòu)有望消除美國國防部傳統(tǒng)的“以網(wǎng)絡(luò)為中心”的安全模式,推動從“以網(wǎng)絡(luò)為中心”向“以數(shù)據(jù)為中心”的安全模式轉(zhuǎn)變,其防御重點(diǎn)也將從“保護(hù)網(wǎng)絡(luò)”向“保護(hù)數(shù)據(jù)資源”轉(zhuǎn)變。這種思路還將促進(jìn)美國政府、美軍的信息化建設(shè)模式的變化。美國傳統(tǒng)的“聚焦網(wǎng)絡(luò)”的信息化建設(shè)工作,將逐步轉(zhuǎn)向“聚焦數(shù)據(jù)資源的使用與共享”。
二是顯著提升美國政府與美軍的網(wǎng)絡(luò)安全水平。美國認(rèn)為,向零信任架構(gòu)的轉(zhuǎn)變是一個重大變化,即“拒絕所有、允許例外”,而不是之前的“允許所有、拒絕例外”。傳統(tǒng)的安全模式類似黑名單方式——允許絕大多數(shù)網(wǎng)絡(luò)訪問,僅拒絕少數(shù)例外情況;而零信任帶來的安全模式類似白名單方式——拒絕大多數(shù)網(wǎng)絡(luò)訪問,僅允許少數(shù)例外情況,而少數(shù)“例外”情況是經(jīng)過認(rèn)證和授權(quán)的合法訪問。隨著美國政府、美軍的用戶和終端的數(shù)量不斷增加,網(wǎng)絡(luò)攻擊面也隨之增加,其網(wǎng)絡(luò)安全防御面臨極限挑戰(zhàn),因此,迫切需要采用零信任架構(gòu),通過為網(wǎng)絡(luò)的特定應(yīng)用程序和服務(wù)創(chuàng)建特定的訪問規(guī)則,抵消美國國防信息網(wǎng)絡(luò)的漏洞,提升網(wǎng)絡(luò)安全水平。
三是降低政府與軍方的運(yùn)營風(fēng)險(xiǎn)、縮減潛在成本。一方面,部署零信任架構(gòu)可幫助美國政府、美軍降低運(yùn)營風(fēng)險(xiǎn),由于零信任架構(gòu)設(shè)計(jì)大大增加了網(wǎng)絡(luò)透明度,使運(yùn)營風(fēng)險(xiǎn)能得到識別,美國政府、美軍可采取相關(guān)管理手段進(jìn)行有效管控;另一方面,零信任通過策略與控制排除了大量試圖訪問資源的用戶、設(shè)備,使惡意行為受到限制,被攻擊面減小,可大大降低網(wǎng)絡(luò)安全事件數(shù)量,節(jié)省美國政府、美軍響應(yīng)安全事件的時間與人力,提高效率,縮減潛在運(yùn)營成本。
四是提高網(wǎng)絡(luò)合規(guī)性、可視化與自動化管理水平。零信任的動態(tài)防御思路與美國近年來新出臺的重要安全法律、法規(guī)、標(biāo)準(zhǔn)中提及的動態(tài)防御理念不謀而合;零信任的身份認(rèn)證與訪問管理、軟件定義邊界等解決方案也與相關(guān)網(wǎng)絡(luò)安全法令、指南高度吻合。零信任架構(gòu)具備的多項(xiàng)安全控制措施均滿足合規(guī)條款,能減少違規(guī);零信任架構(gòu)還能使安全審計(jì)師更容易看清網(wǎng)絡(luò),便于進(jìn)行合規(guī)審計(jì)工作。此外,由于安全自動化是零信任基礎(chǔ)設(shè)施的關(guān)鍵功能,因此,部署零信任架構(gòu)也將增強(qiáng)美國政府及美軍的網(wǎng)絡(luò)自動化管理水平。
(本文刊登于《中國信息安全》雜志2022年第12期)