聯(lián)邦零信任戰(zhàn)略（譯文）

美國管理和預(yù)算辦公室

郝志超1，張依夢(mèng)2 譯

（1.中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041；2.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引 言

美國聯(lián)邦政府的安全現(xiàn)代化需要整個(gè)政府的共同努力。2021年5月，美國總統(tǒng)拜登簽署了第14028 號(hào)行政命令《關(guān)于改善國家網(wǎng)絡(luò)安全》，該行政命令旨在政府范圍內(nèi)啟動(dòng)一項(xiàng)確保安全實(shí)踐的全面計(jì)劃，要求將政府安全架構(gòu)遷移至零信任架構(gòu)，實(shí)現(xiàn)基于云的基礎(chǔ)設(shè)施安全優(yōu)勢(shì)，以此降低相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)。

為了落實(shí)該行政命令，美國管理和預(yù)算辦公室（Office of Management and Budget，OMB）于2022年1月26日發(fā)布《聯(lián)邦零信任戰(zhàn)略》以推動(dòng)聯(lián)邦機(jī)構(gòu)采用安全架構(gòu)適應(yīng)零信任原則。隨后發(fā)布M-22-09 號(hào)備忘錄《推動(dòng)美國政府走向零信任網(wǎng)絡(luò)安全原則》，該備忘錄提出了聯(lián)邦零信任架構(gòu)（Zero Trust Architecture，ZTA）戰(zhàn)略，要求各機(jī)構(gòu)在2024年前達(dá)到特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo)，以加強(qiáng)政府抵御日益復(fù)雜、持續(xù)的網(wǎng)絡(luò)威脅活動(dòng)的能力。

1 行動(dòng)措施

該備忘錄要求聯(lián)邦機(jī)構(gòu)在2024年前實(shí)現(xiàn)基于美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency，CISA）零信任成熟度模型的安全目標(biāo)，零信任模型描述了5個(gè)工作支柱（身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和工作任務(wù)，以及數(shù)據(jù)）及3 個(gè)主題（可見性和分析、自動(dòng)化和協(xié)同，以及治理）。此備忘錄提出的戰(zhàn)略目標(biāo)與CISA 的5 個(gè)工作支柱保持一致，包括：（1）身份。各機(jī)構(gòu)工作人員使用內(nèi)部體系管理的身份來訪問工作中使用的應(yīng)用程序。基于多因素身份認(rèn)證的防釣魚措施能有效保護(hù)工作人員免受復(fù)雜的在線攻擊。（2）設(shè)備。聯(lián)邦政府擁有其運(yùn)營和授權(quán)使用所有設(shè)備的完整清單，并且可以預(yù)防、檢測(cè)和響應(yīng)這些設(shè)備上可能發(fā)生的攻擊事件。（3）網(wǎng)絡(luò)。各機(jī)構(gòu)對(duì)其環(huán)境中的所有域名解析系統(tǒng)（Domain Name System，DNS）請(qǐng)求和超文本傳輸協(xié)議（Hyper Text Transfer Protocol，HTTP）流量進(jìn)行加密，并執(zhí)行計(jì)劃將其邊界進(jìn)行分解，使其成為隔離環(huán)境。（4）應(yīng)用程序和工作任務(wù)。各機(jī)構(gòu)將所有應(yīng)用程序接入互聯(lián)網(wǎng)，定期對(duì)其應(yīng)用程序進(jìn)行嚴(yán)格測(cè)試，并歡迎外部提供漏洞評(píng)估報(bào)告。（5）數(shù)據(jù)。各機(jī)構(gòu)應(yīng)清楚如何利用全面數(shù)據(jù)分類來部署保護(hù)。各機(jī)構(gòu)正在利用基于云安全服務(wù)的優(yōu)勢(shì)來監(jiān)控對(duì)有關(guān)敏感數(shù)據(jù)的訪問，并實(shí)施全局日志記錄和信息共享。

第14028 號(hào)行政命令要求各聯(lián)邦機(jī)構(gòu)制定自己的零信任架構(gòu)實(shí)施計(jì)劃，在本備忘錄發(fā)布60日內(nèi)，各機(jī)構(gòu)需要將該備忘錄確定的附加要求增加到制定的零信任架構(gòu)實(shí)施計(jì)劃中，并向OMB、CISA 提交2022—2024 財(cái)年實(shí)施計(jì)劃和2024 財(cái)年估定預(yù)算，供OMB、CISA 審核批準(zhǔn)。同時(shí)，各機(jī)構(gòu)需在2022—2023年以內(nèi)部籌集或其他籌集的方式（例如周轉(zhuǎn)資金或技術(shù)現(xiàn)代化基金）籌集資金，實(shí)現(xiàn)優(yōu)先目標(biāo)。

各機(jī)構(gòu)應(yīng)在本備忘錄發(fā)布30日內(nèi)確定零信任戰(zhàn)略實(shí)施負(fù)責(zé)人。OMB 將通過負(fù)責(zé)人進(jìn)行政府范圍內(nèi)的協(xié)調(diào)，并參與各機(jī)構(gòu)內(nèi)部的規(guī)劃和實(shí)施工作。

1.1 身份

（1）聯(lián)邦機(jī)構(gòu)必須使用集中式身份管理系統(tǒng)，并將此系統(tǒng)整合至應(yīng)用程序和通用平臺(tái)中。

聯(lián)邦政府必須改進(jìn)其身份管理系統(tǒng)和訪問控制。各機(jī)構(gòu)通過采用新的基礎(chǔ)設(shè)施和應(yīng)用程序，確保用戶訪問信息的目的、時(shí)間的準(zhǔn)確性，以全面了解用戶責(zé)任及權(quán)限，并通過用戶訪問系統(tǒng)時(shí)驗(yàn)證其身份。這些基本要素將有利于機(jī)構(gòu)建立基于風(fēng)險(xiǎn)的訪問系統(tǒng)，同時(shí)在機(jī)構(gòu)內(nèi)部實(shí)施強(qiáng)有力的認(rèn)證，并將認(rèn)證方式盡量融入至機(jī)構(gòu)管理的身份認(rèn)證系統(tǒng)中。

使用集中式身份管理系統(tǒng)提供身份認(rèn)證和訪問管理服務(wù)，可以減少工作人員管理用戶賬戶和憑證的負(fù)擔(dān)，還提高了機(jī)構(gòu)對(duì)用戶活動(dòng)的了解，使各機(jī)構(gòu)能夠更統(tǒng)一地執(zhí)行限制訪問的安全策略，并在需要時(shí)快速檢測(cè)出異常行為并對(duì)其采取行動(dòng)。因此，各聯(lián)邦機(jī)構(gòu)都應(yīng)該支持設(shè)計(jì)良好的集中式身份管理系統(tǒng)，并將其整合到盡可能多的應(yīng)用程序中。

機(jī)構(gòu)身份管理系統(tǒng)必須與常見的應(yīng)用程序和通用平臺(tái)兼容。同時(shí)，各機(jī)構(gòu)身份管理系統(tǒng)應(yīng)使用現(xiàn)代化、開放式的標(biāo)準(zhǔn)，以促進(jìn)各機(jī)構(gòu)與商用云服務(wù)的整合。為促進(jìn)一致性和可審計(jì)性的身份管理，機(jī)構(gòu)身份管理系統(tǒng)還應(yīng)該支持通過非圖形用戶界面（如腳本和命令行工具）進(jìn)行人工身份認(rèn)證。

（2）聯(lián)邦機(jī)構(gòu)必須使用多因素身份認(rèn)證。

強(qiáng)有力的身份認(rèn)證是零信任架構(gòu)的必要組成部分，而多因素認(rèn)證（Multi-Factor Authentication，MFA）是聯(lián)邦政府關(guān)鍵安全基線的重要組成部分。

各機(jī)構(gòu)必須在涉及其工作人員、承包商和合作伙伴通過使用身份驗(yàn)證訪問系統(tǒng)的應(yīng)用程序中集成和執(zhí)行MFA。

MFA 應(yīng)在應(yīng)用層（例如身份認(rèn)證服務(wù)）進(jìn)行集成，而不是通過網(wǎng)絡(luò)層進(jìn)行身份認(rèn)證（例如虛擬專用網(wǎng)絡(luò)）。在成熟的零信任部署中，用戶只需要對(duì)應(yīng)用程序進(jìn)行嚴(yán)格認(rèn)證，而不是對(duì)整個(gè)基礎(chǔ)網(wǎng)絡(luò)。

各機(jī)構(gòu)必須要求用戶使用抗網(wǎng)絡(luò)釣魚攻擊的方法訪問托管賬戶，同時(shí)停止通過無法抵御網(wǎng)絡(luò)釣魚攻擊的認(rèn)證方法（例如短信或語音通話注冊(cè)電話號(hào)碼、提供一次性代碼或接收推送通知）來進(jìn)行日常自助訪問。對(duì)于多數(shù)機(jī)構(gòu)，聯(lián)邦政府的個(gè)人身份驗(yàn)證（Personal Identity Verification，PIV）將是支持抗網(wǎng)絡(luò)釣魚攻擊MFA 要求的最簡單方式之一，同時(shí)也是OMB 發(fā)布M-19-17 號(hào)備忘錄要求的聯(lián)邦信息系統(tǒng)的主要認(rèn)證方式。在身份管理系統(tǒng)中，各機(jī)構(gòu)應(yīng)盡最大可能對(duì)非PIV 認(rèn)證器提供支持，以便集中管理這些認(rèn)證器并與機(jī)構(gòu)建立身份認(rèn)證連接。

美國國家標(biāo)準(zhǔn)技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布了SP 800-63B 號(hào)備忘錄《數(shù)字身份指南：身份驗(yàn)證和生命周期管理》。文件指出，在本備忘錄發(fā)布后一年內(nèi)，各聯(lián)邦機(jī)構(gòu)必須刪除所有系統(tǒng)中的特殊字符及定期更換密碼的管理要求。

面向公眾服務(wù)的政府系統(tǒng)需要為用戶提供更多的認(rèn)證選項(xiàng)。為此，支持MFA 面向公眾服務(wù)的機(jī)構(gòu)系統(tǒng)必須在本備忘錄發(fā)布后的一年內(nèi)為用戶提供使用防網(wǎng)絡(luò)釣魚攻擊身份驗(yàn)證的選項(xiàng)。滿足公眾的這一要求將意味著為基于Web身份驗(yàn)證的方法提供支持，例如安全密鑰。各機(jī)構(gòu)還可以為以個(gè)人身份訪問面向公眾服務(wù)的政府系統(tǒng)的機(jī)構(gòu)工作人員和承包商提供使用PIV和訪問卡（Common Access Card，CAC）進(jìn)行身份認(rèn)證驗(yàn)證的支持。

（3）在授權(quán)用戶正常訪問全局資源時(shí)，機(jī)構(gòu)認(rèn)證系統(tǒng)必須將至少一個(gè)設(shè)備級(jí)信號(hào)與授權(quán)訪問用戶的身份信息相結(jié)合。

授權(quán)是授予經(jīng)過身份驗(yàn)證的實(shí)體訪問資源的過程，決定用戶是否有權(quán)執(zhí)行操作。目前，聯(lián)邦政府的多數(shù)授權(quán)模式側(cè)重基于角色的訪問控制（Role-Based Access Control，RBAC），依賴于分配給用戶并確定其在組織內(nèi)的靜態(tài)預(yù)定義角色權(quán)限，零信任架構(gòu)應(yīng)包含更細(xì)化和動(dòng)態(tài)定義的權(quán)限，例如基于屬性的訪問控制（Attribute Based Access Control，ABAC）。

授權(quán)可以在多個(gè)級(jí)別執(zhí)行。例如，粗粒度授權(quán)（確定擁有應(yīng)用程序初始訪問權(quán)限的用戶）可以由基于ABAC 方法的工具執(zhí)行；細(xì)粒度授權(quán)（確定對(duì)特定數(shù)據(jù)訪問權(quán)限）可以在應(yīng)用程序本身中執(zhí)行，以根據(jù)RBAC 授予用戶不同級(jí)別的訪問權(quán)限。ABAC 和RBAC 通過對(duì)用戶身份、訪問資源屬性以及訪問環(huán)境強(qiáng)制執(zhí)行檢查，從而允許或拒絕對(duì)其訪問。

1.2 設(shè)備

（1）聯(lián)邦機(jī)構(gòu)必須通過參與CISA 的持續(xù)診斷和緩解（Continuous Diagnostics and Mitigation，CDM）項(xiàng)目創(chuàng)建可靠的資產(chǎn)清單。

任一機(jī)構(gòu)內(nèi)的零信任架構(gòu)基礎(chǔ)是對(duì)內(nèi)部設(shè)備、用戶和系統(tǒng)的全面了解。CISA 的CDM計(jì)劃可提供一套針對(duì)機(jī)構(gòu)資產(chǎn)的檢測(cè)和監(jiān)控服務(wù)能力，旨在幫助各機(jī)構(gòu)實(shí)現(xiàn)對(duì)自身資產(chǎn)的基本認(rèn)知。

第14028 號(hào)行政命令指出，參與CDM 計(jì)劃的聯(lián)邦政府文職機(jī)構(gòu)必須與美國國土安全部（United States Department of Homeland Security，DHS）簽訂協(xié)議，各機(jī)構(gòu)必須建立持續(xù)、可靠和完整的資產(chǎn)清單。同時(shí)，該計(jì)劃在具有豐富、細(xì)化和動(dòng)態(tài)權(quán)限系統(tǒng)的云環(huán)境中尤其實(shí)用。因此，CISA 將致力于發(fā)展更好的支持面向云的聯(lián)邦架構(gòu)的CDM 計(jì)劃。

（2）聯(lián)邦機(jī)構(gòu)必須廣泛部署端點(diǎn)檢測(cè)和響應(yīng)（Endpoint Detection and Response，EDR）工具，建立信息共享能力。

第14028 號(hào)行政命令強(qiáng)調(diào)了主動(dòng)檢測(cè)網(wǎng)絡(luò)安全事件的重要性，以及在處理事故響應(yīng)過程中聯(lián)邦政府“追捕”能力的必要性。為支持該行政命令，OMB 發(fā)布了M-22-01 號(hào)備忘錄，旨在通過EDR 改進(jìn)對(duì)聯(lián)邦政府系統(tǒng)中網(wǎng)絡(luò)安全漏洞和事件的檢測(cè)。

為實(shí)現(xiàn)EDR 在聯(lián)邦政府范圍內(nèi)的全面使用，各機(jī)構(gòu)必須確保其EDR 工具符合CISA 的技術(shù)要求，并在其機(jī)構(gòu)中部署運(yùn)行。為實(shí)現(xiàn)聯(lián)邦政府范圍內(nèi)的事件響應(yīng)，各機(jī)構(gòu)必須按照M-22-01號(hào)備忘錄要求，與CISA 合作確定實(shí)施差距，協(xié)調(diào)EDR 工具部署，建立信息共享能力。

總的來說，該方式的目的是在整個(gè)聯(lián)邦政府范圍內(nèi)保持不同EDR 工具的多樣性，可支持不同技術(shù)環(huán)境下的機(jī)構(gòu)，確保對(duì)聯(lián)邦文職機(jī)構(gòu)的活動(dòng)具備基本了解。

1.3 網(wǎng)絡(luò)

（1）聯(lián)邦機(jī)構(gòu)必須使用加密DNS 解析請(qǐng)求。

機(jī)構(gòu)可以通過指定的DNS 解析器訪問、識(shí)別和記錄加密DNS 請(qǐng)求的信息內(nèi)容。各機(jī)構(gòu)在零信任遷移計(jì)劃中，要求說明確定缺乏加密DNS 的技術(shù)支持情況，以更新操作系統(tǒng)或以其他方式確保在2024年前支持整個(gè)機(jī)構(gòu)加密DNS。

預(yù)計(jì)在2024年前，各機(jī)構(gòu)被要求通過CISA運(yùn)營的基礎(chǔ)設(shè)施處理DNS 請(qǐng)求。為支持安全的機(jī)構(gòu)DNS 流量，CISA 的保護(hù)性DNS 產(chǎn)品將支持加密DNS 通信，并將擴(kuò)展以適應(yīng)云基礎(chǔ)設(shè)施和移動(dòng)終端的使用。

（2）聯(lián)邦機(jī)構(gòu)必須對(duì)所有的Web 和應(yīng)用程序接口（Application Program Interface，API）流量強(qiáng)制使用超文本傳輸安全協(xié)議（Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS）。

OMB 發(fā)布的M-15-13 號(hào)備忘錄和DHS 發(fā)布的《約束性操作指令18-01》（BOD 18-01）都旨在要求各機(jī)構(gòu)在所有互聯(lián)網(wǎng)訪問的網(wǎng)絡(luò)服務(wù)和API 中使用HTTPS。為滿足這一要求，同時(shí)滿足零信任戰(zhàn)略對(duì)所有HTTP 流量的加密要求，并強(qiáng)化聯(lián)邦政府域名的頂級(jí)地位，各機(jī)構(gòu)必須與CISA 的DotGov 計(jì)劃合作，使機(jī)構(gòu)擁有的聯(lián)邦政府域名在網(wǎng)絡(luò)瀏覽器中成為HTTPS專用。

聯(lián)邦政府域名最終將整個(gè)域名空間預(yù)裝為HTTPS 專用區(qū)，這一變化將改善各級(jí)政府機(jī)構(gòu)的安全和零信任態(tài)勢(shì)。

（3）CISA 將與聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（FedRAMP）合作評(píng)估政府范圍內(nèi)的加密郵件解決方案。

CISA 將評(píng)估現(xiàn)行開放標(biāo)準(zhǔn)作為政府在傳輸加密電子郵件解決方案的可行性，并向OMB提出建議。作為評(píng)估的一部分，CISA 應(yīng)該與FedRAMP 合作，召集云服務(wù)提供商和電子郵件生態(tài)系統(tǒng)的其他參與者進(jìn)行協(xié)商。

（4）聯(lián)邦機(jī)構(gòu)必須制定零信任架構(gòu)方案，明確環(huán)境隔離方法。

本備忘錄要求各機(jī)構(gòu)與CISA 協(xié)商，制定一個(gè)零信任架構(gòu)路線圖，并將其納入零信任全面實(shí)施和計(jì)劃中。該路線圖描述機(jī)構(gòu)如何隔離應(yīng)用程序和環(huán)境，闡述機(jī)構(gòu)范圍內(nèi)可能的網(wǎng)絡(luò)運(yùn)營和安全目標(biāo)。此外，機(jī)構(gòu)應(yīng)該構(gòu)思如何將云基礎(chǔ)設(shè)施融入零信任架構(gòu)中，使得機(jī)構(gòu)安全、魯棒地使用云基礎(chǔ)設(shè)施。

1.4 應(yīng)用程序和工作任務(wù)

（1）聯(lián)邦機(jī)構(gòu)必須進(jìn)行專門的應(yīng)用程序安全測(cè)試。

為使應(yīng)用程序能夠抵御復(fù)雜的探測(cè)和攻擊，各聯(lián)邦機(jī)構(gòu)必須分析部署的軟件及其功能。各機(jī)構(gòu)已創(chuàng)建安全評(píng)估報(bào)告（Security Assessment Report，SAR）作為授權(quán)信息系統(tǒng)的部分內(nèi)容，這些SAR 不僅包含由自動(dòng)化工具收集用于漏洞掃描和定制開發(fā)軟件代碼分析的信息，還包括更耗時(shí)、專業(yè)和特定的應(yīng)用程序作為分析方法。

機(jī)構(gòu)系統(tǒng)授權(quán)過程必須同時(shí)結(jié)合自動(dòng)分析工具和人工專家分析。為了解機(jī)構(gòu)在授權(quán)前對(duì)應(yīng)用程序執(zhí)行的深度安全分析，OMB 可以隨時(shí)要求機(jī)構(gòu)提供應(yīng)用程序的最新安全評(píng)估。隨著應(yīng)用程序、依賴項(xiàng)、組件和基礎(chǔ)設(shè)施的發(fā)展，機(jī)構(gòu)預(yù)計(jì)將向持續(xù)監(jiān)控和持續(xù)授權(quán)發(fā)展，同時(shí)采用定期手動(dòng)安全評(píng)估。機(jī)構(gòu)必須優(yōu)先考慮并解決在SAR 中發(fā)現(xiàn)的漏洞。

根據(jù)第14028 號(hào)行政命令要求，NIST 制定了軟件開發(fā)人員驗(yàn)證指南，該指南為機(jī)構(gòu)戰(zhàn)略、方法和應(yīng)用程序測(cè)試提供標(biāo)準(zhǔn)流程。

（2）聯(lián)邦機(jī)構(gòu)必須通過專業(yè)安全公司進(jìn)行第三方安全評(píng)估。

在本備忘錄發(fā)布一年內(nèi)，CISA 和美國總務(wù)管理局（General Services Administration，GSA）將合作建立一個(gè)可快速獲得應(yīng)用程序安全測(cè)試能力的采購團(tuán)隊(duì)，使機(jī)構(gòu)可以在一個(gè)月內(nèi)完成大部分安全工作（緊急情況下幾日即可完成）。

（3）聯(lián)邦機(jī)構(gòu)必須為互聯(lián)網(wǎng)系統(tǒng)創(chuàng)建公共漏洞披露計(jì)劃。

為確保聯(lián)邦機(jī)構(gòu)能夠從公眾接收漏洞信息，OMB 發(fā)布的M-20-32 號(hào)備忘錄和CISA 發(fā)布的《約束性操作指令20-01》（BOD 20-01），都要求機(jī)構(gòu)發(fā)布安全聯(lián)系方式，明確接受漏洞披露政策（Vulnerability Disclosure Policy，VDP）。

根據(jù)上述要求，各機(jī)構(gòu)必須于2022年9月前接受外部的互聯(lián)網(wǎng)系統(tǒng)漏洞報(bào)告，并創(chuàng)建報(bào)告渠道，使系統(tǒng)所有者能夠直接、實(shí)時(shí)地獲取漏洞報(bào)告。為了提高內(nèi)部安全，避免公開披露未修補(bǔ)漏洞，各機(jī)構(gòu)應(yīng)集中精力，以負(fù)責(zé)任的方式驗(yàn)證和解決外部報(bào)告的漏洞。

（4）聯(lián)邦機(jī)構(gòu)必須保障由聯(lián)邦信息安全管理法案（Federal Information Security Management Act，F(xiàn)ISMA）定義的FISMA 模式系統(tǒng)的安全、全面運(yùn)行。

對(duì)多數(shù)機(jī)構(gòu)來講，在不依賴虛擬專用網(wǎng)絡(luò)（Virtual Private Network VPN）或其他網(wǎng)絡(luò)通道的情況下，使應(yīng)用程序安全訪問互聯(lián)網(wǎng)，是需要付出巨大努力的。為了推動(dòng)該工作，每個(gè)機(jī)構(gòu)必須選擇至少一個(gè)需要認(rèn)證且目前無法通過互聯(lián)網(wǎng)訪問的FISMA 安全系統(tǒng)，然后在本備忘錄發(fā)布一年內(nèi)，采取必要行動(dòng)確保FISMA 模式系統(tǒng)安全、全面運(yùn)行。

對(duì)此，各機(jī)構(gòu)需建立最低限度的可監(jiān)控基礎(chǔ)設(shè)施、拒絕服務(wù)保護(hù)措施和強(qiáng)制訪問控制策略。在實(shí)施過程中，機(jī)構(gòu)應(yīng)將面向互聯(lián)網(wǎng)的系統(tǒng)整合至企業(yè)身份管理系統(tǒng)中。機(jī)構(gòu)率先在FISMA 低級(jí)系統(tǒng)上進(jìn)行控制及流程的轉(zhuǎn)變，可極大地增強(qiáng)該工作的完成信心。

（5）CISA 和GSA 協(xié)作為聯(lián)邦機(jī)構(gòu)提供在線應(yīng)用和其他資產(chǎn)的數(shù)據(jù)。

為有效實(shí)施零信任架構(gòu)，機(jī)構(gòu)必須全面了解其可訪問的互聯(lián)網(wǎng)資產(chǎn)清單，以便應(yīng)用一致性的安全策略，充分定義、適應(yīng)用戶工作流程。但除內(nèi)部記錄外，還要依靠從互聯(lián)網(wǎng)對(duì)其基礎(chǔ)設(shè)施進(jìn)行外部掃描。

為全面了解聯(lián)邦域名的使用情況，在本備忘錄發(fā)布后的60 天內(nèi)，各機(jī)構(gòu)必須向CISA和GSA 提供其互聯(lián)網(wǎng)可訪問信息系統(tǒng)使用的任何非聯(lián)邦政府域名。CISA 也將與GSA 合作，為非聯(lián)邦政府域名和相關(guān)數(shù)據(jù)的編目定義一個(gè)簡化且雙方認(rèn)可的流程，以最大限度地減少人工工作。

（6）聯(lián)邦機(jī)構(gòu)在部署服務(wù)尤其是部署云基礎(chǔ)設(shè)施時(shí)要使用不可篡改的工作負(fù)載。

成熟的云基礎(chǔ)設(shè)施通常為完全自動(dòng)化的部署策略提供優(yōu)化技術(shù)接口，同時(shí)能夠支持部署和中止實(shí)踐，從根本上提高了安全性能。自動(dòng)化、不可篡改的部署通過允許顯著改進(jìn)的最小權(quán)限架構(gòu)支持機(jī)構(gòu)的零信任目標(biāo)。當(dāng)應(yīng)用程序部署不再需要手動(dòng)訪問和干預(yù)時(shí)，對(duì)服務(wù)器和其他資源的個(gè)人訪問會(huì)受到極大限制，更容易集中管理和審核。

各機(jī)構(gòu)在部署服務(wù)時(shí)應(yīng)盡量使用不可篡改的工作負(fù)載，特別是云基礎(chǔ)設(shè)施。在現(xiàn)代軟件開發(fā)全生命周期實(shí)踐中，以持續(xù)集成/連續(xù)部署和基礎(chǔ)設(shè)施作為代碼，有助于創(chuàng)建基于不可篡改工作負(fù)載的可靠、可預(yù)測(cè)和可伸縮的應(yīng)用程序。

各機(jī)構(gòu)應(yīng)使用CISA 發(fā)布的《云安全技術(shù)參考架構(gòu)》作為指導(dǎo)，將第三方服務(wù)從內(nèi)部托管遷移到云基礎(chǔ)設(shè)施供應(yīng)商。

1.5 數(shù)據(jù)

（1）成立提供零信任數(shù)據(jù)安全指南的聯(lián)合工作組。

在本備忘錄發(fā)布后的90 天內(nèi)，美國聯(lián)邦首席數(shù)據(jù)官（Chief Data Office，CDO）委員會(huì)和美國聯(lián)邦首席信息安全官（Chief Information Security Office，CISO）委員會(huì)將共同成立零信任數(shù)據(jù)安全聯(lián)合工作組，為各機(jī)構(gòu)制定一份數(shù)據(jù)安全指南，解決安全背景下的聯(lián)邦信息分類計(jì)劃中的數(shù)據(jù)分類問題，還將支持開發(fā)現(xiàn)有聯(lián)邦信息分類中未涉及的特定數(shù)據(jù)類別。

該工作組將指定某一機(jī)構(gòu)或內(nèi)部成員牽頭，構(gòu)建一個(gè)可協(xié)助各機(jī)構(gòu)處理重點(diǎn)領(lǐng)域的團(tuán)隊(duì)。工作組將與機(jī)構(gòu)間統(tǒng)計(jì)政策理事會(huì)密切合作，并與其他聯(lián)邦委員會(huì)、利益相關(guān)者共同編寫安全指南。由于支持全局范圍內(nèi)數(shù)據(jù)分類的技術(shù)市場處于成熟階段，工作組還將確定并支持各機(jī)構(gòu)的新方法試點(diǎn)工作。

（2）聯(lián)邦機(jī)構(gòu)必須實(shí)現(xiàn)初步自動(dòng)化數(shù)據(jù)分類和安全響應(yīng)，解決敏感文檔的標(biāo)記和訪問管理。

機(jī)構(gòu)應(yīng)根據(jù)實(shí)際需要完整地抓取整個(gè)系統(tǒng)和云基礎(chǔ)設(shè)施中的來自自動(dòng)化安全監(jiān)控和執(zhí)行中的安全事件，這種能力通常為安全編排、自動(dòng)化和響應(yīng)（Security Orchestration, Automation, and Response，SOAR）。此功能將需要豐富的數(shù)據(jù)（包括受保護(hù)的數(shù)據(jù)類型以及訪問數(shù)據(jù)的人員）通知系統(tǒng)進(jìn)行編排和權(quán)限管理。機(jī)構(gòu)應(yīng)盡量采用基于機(jī)器學(xué)習(xí)的方法對(duì)收集的數(shù)據(jù)進(jìn)行分類，并在整個(gè)機(jī)構(gòu)中盡可能實(shí)時(shí)地部署提供對(duì)異常行為的早期預(yù)警或監(jiān)測(cè)的流程。

在本備忘錄發(fā)布后的120 天內(nèi)，COD 必須與主要相關(guān)方合作，為機(jī)構(gòu)內(nèi)部敏感電子文件制定一套初步分類方法，用于自動(dòng)監(jiān)測(cè)并限制文件共享。分類方法預(yù)計(jì)由人工手動(dòng)制定，無需完整但要求覆蓋廣，以便發(fā)揮作用，同時(shí)要求具體，以便更可靠、更準(zhǔn)確。例如，對(duì)采購敏感文件使用標(biāo)準(zhǔn)模版的機(jī)構(gòu)可能會(huì)嘗試檢測(cè)其使用時(shí)間。

（3）聯(lián)邦機(jī)構(gòu)必須對(duì)商業(yè)云基礎(chǔ)設(shè)施中所有加密數(shù)據(jù)訪問進(jìn)行審計(jì)。

第14028 號(hào)行政命令要求各機(jī)構(gòu)使用加密技術(shù)保護(hù)靜態(tài)數(shù)據(jù)。靜態(tài)加密可以保護(hù)靜態(tài)復(fù)制的數(shù)據(jù)，但不能阻止脆弱的系統(tǒng)組件訪問解密的數(shù)據(jù)。云基礎(chǔ)設(shè)施提供商可以通過云管理的加解密操作及相關(guān)日志活動(dòng)幫助檢測(cè)。通過云基礎(chǔ)設(shè)施，機(jī)構(gòu)可以管理密鑰、訪問解密操作，從而實(shí)施安全約束、構(gòu)建零信任架構(gòu)。當(dāng)機(jī)構(gòu)對(duì)云靜態(tài)數(shù)據(jù)進(jìn)行加密時(shí)，機(jī)構(gòu)必須使用密鑰管理工具創(chuàng)建審計(jì)日志，記錄數(shù)據(jù)訪問嘗試。

成熟度較高階段，機(jī)構(gòu)應(yīng)將審計(jì)日志與其他事件數(shù)據(jù)源相結(jié)合，以采用更復(fù)雜的安全監(jiān)控方法。例如，機(jī)構(gòu)可以將數(shù)據(jù)訪問的時(shí)間與用戶發(fā)起事件的時(shí)間進(jìn)行比較，以確定是否為正常應(yīng)用程序活動(dòng)引起的數(shù)據(jù)庫訪問。

（4）聯(lián)邦機(jī)構(gòu)必須與CISA 協(xié)作實(shí)現(xiàn)綜合日志及信息共享。

第14028 號(hào)行政命令呼吁采取行動(dòng)提高政府調(diào)查和恢復(fù)事件及漏洞的能力。同時(shí)根據(jù)CISA的建議，OMB 發(fā)布M-21-31 號(hào)備忘錄《提高聯(lián)邦政府對(duì)網(wǎng)絡(luò)安全事件的調(diào)查和補(bǔ)救能力》，旨在建立云托管和代理運(yùn)營環(huán)境以保留和管理日志，確保每個(gè)機(jī)構(gòu)最高安全運(yùn)營中心（Security Operations Center，SOC）的集中訪問和可見性，以加強(qiáng)機(jī)構(gòu)間的信息共享，加快事件響應(yīng)和調(diào)查工作。

為幫助各機(jī)構(gòu)確定其工作的優(yōu)先次序，該備忘錄建立了一個(gè)分層成熟度模型，旨在幫助機(jī)構(gòu)在實(shí)施日志分類、改進(jìn)SOC 操作和集中訪問等各種要求實(shí)施間取得平衡。同時(shí)按照要求，各機(jī)構(gòu)必須于2022年8月27日前達(dá)到第一個(gè)事件日志成熟度級(jí)別（E1-1），并率先完成完整性措施，限制對(duì)日志的訪問并允許對(duì)其加密驗(yàn)證，以及記錄在整個(gè)環(huán)境中發(fā)出的DNS 請(qǐng)求。

2 結(jié) 語

作為OMB 于2021年9月發(fā)布的《零信任戰(zhàn)略草案》的正式版本，本備忘錄增加了身份、網(wǎng)絡(luò)等工作支柱的部分內(nèi)容，并特意增加了任務(wù)矩陣（Task Matrix），高度濃縮了聯(lián)邦政府對(duì)零信任的5 個(gè)支柱的具體要求，做出了明確的時(shí)間進(jìn)度安排，具有強(qiáng)力的推動(dòng)作用。

新戰(zhàn)略是美國政府為保護(hù)聯(lián)邦網(wǎng)絡(luò)開展的最重要工作之一，也是在SolarWinds 網(wǎng)絡(luò)攻擊、Microsoft Exchange 黑客攻擊及Log4j 安全漏洞危機(jī)等安全事件下的重要應(yīng)對(duì)措施，標(biāo)志著美國政府保護(hù)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和數(shù)據(jù)的重大范式轉(zhuǎn)變。

（此報(bào)告翻譯方式為編譯，原文鏈接：https://zerotrust.cyber.gov/federal-zero-truststrategy/）