DOD零信任的进展播报

前言

近几年围绕零信任概念的讨论似乎达到了白热化的程度，事实上，围绕零信任的热情炒作与实际、有效的实施之间的差距正在成为保护我们的数字生态系统的一个日益普遍的挑战。

造成这种情况的一个主要原因是未能在现实中落实零信任计划，而且往往关键的业务成果被排除在讨论之外。多年来，利益相关者都认可或规定了零信任产品或技术，而对业务目标、结果和对弹性的关注几乎没有任何指导。

再说一句，零信任不是一个动词，它不是一项技术，也不是一个产品，而是一系列原则的组合。

本质上应围绕零信任的炒作来促进实际理解并推动以业务成果为中心的实施，而不是兜售一系列新的工具。

当你关注客户业务成果的时候，这时候你还认为零信任是一个放之四海而皆准的产品吗？

2024年1月30日

随着2027年最后期限的临近，国防机构正在致力于合规性、架构和工作场所支持。

即使是最安全的网络也应该符合白宫创建零信任环境的要求。DOD必须开发三项——一项用于其非JM网络，一项用于其JM网络，另一项用于其JUM/MG网络。当莱斯利·比弗斯 (Leslie Beavers) 于2023年5月成为DOD首席副首席信息官时，她加入了一个机构，该机构的零信任要求非常复杂，以至于比民事机构有更多的时间来遵守，其截止日期为2024年9月。

FEDTECH：虽然DOD创建零信任环境的最后期限要到2027年，但您能否讨论一下迄今为止取得的进展？

Beavers：我们从能力的角度定义了零信任的要求，并制定了到 2027 年达到零信任目标水平的服务目标。服务已向我们提交了他们的计划，这些是目前正在评估中。满足零信任的基本级别需要超过 90 种功能。

我们专注于最高级别所需的合规能力——标记人员、标记数据和审计。我们一切顺利。我们的目标并不是摆脱外围防守。当然，这仍然是网络的一部分。我们希望提高对网络上发生的情况的认识，以提高保护网络内信息的能力。还有身份和访问管理以及端点监控 - 监视网络上的活动，然后触发该活动和阈值。

FEDTECH：DOD面临哪些民事机构可能没有的零信任挑战？

Beavers：我们拥有遍布全球数十万个设施的300万人社区，以及通往所有这些地点的网络。在我们的网络中，我们处理各个级别的机密信息以及非机密信息。这是政府（而不仅仅是DOD）非常特殊的事情，并且这增加了标记和管理信息的复杂性。我们必须在实现共享的同时保护信息；这两种想法是截然相反的。我们必须小心行事，以确保我们能够在比民用方面高得多的审查级别上了解谁在请求信息，因为我们还必须从机密级别确定可信度。

FEDTECH：您是否能够升级现有技术，或者您是否必须获得新技术才能建立零信任？

Beavers：两者都有。对于DOD来说，这是我们面临一些独特挑战的另一个领域，尽管其他行业也存在同样的问题。我们是技术领域的早期采用者，我们在技术上投入了大量的资本和资源。我们拥有庞大的遗留安装基础，但其设计初衷并不是为了进行监控。它并不是为云端而设计的。它的设计并没有采用人工智能、数据共享以及您今天看到的机器对机器通信。保护这些信息并使其在现代化系统中可用是一项挑战。我们也在继续购买，所以我们也有很多更新的技术。使其向后兼容并保持其安全性可能很困难。

FEDTECH：您在此过程中学到了什么，您可以将哪些经验传授给其他可能在这一过程中没有走得那么远的首席信息官？

Beavers：旅程从回归基础并进行基本的网络安全开始。多年来，了解架构和基础设施的做法已经变得不那么严格了。在零信任的情况下，您必须知道您拥有什么以及架构中的人员。从基础开始并真正擅长是第一步，也是最重要的一步。当您开始尝试规划架构时，您可以这样做，以便您可以使用它来标记人员、标记数据并对其进行审核。

FEDTECH：您从其他机构或帮助DOD实施零信任项目的各个军事部门学到了什么？

Beavers：情报界在标记领域的进步是重要的教训之一。供应链风险以及为我们的国防工业基础制定标准且可执行的方法的真正需要是另一个领域。我们正在与业界交谈并听取他们的意见，我们正在密切合作，听取反馈并做出调整。我们知道我们需要以与过去不同的方式保护我们的网络，因为我们面临的威胁与过去不同。并不是我们过去的方法不好，而是今天的威胁已经演变。它无处不在，它正在追随我们的社会，并以一种对自由世界真正有害的方式窃取我们的知识产权。不同级别的威胁需要不同的防御行为。与商业界的合作也非常重要。

FEDTECH：DOD工作人员如何适应这一变化？

Beavers：在DOD，我们对多次登录和多次身份验证不太敏感，或者至少根据我在该部门多年的经验来看是这样。不过，这对劳动力来说是一种心态转变。当你谈论 CIO 领域内的员工、信息官员和网络人员时，我认为他们都明白这一点。我一直在践踏客户对功能和互操作性的看法。那里很安全，而且非常安全，没有人可以访问它，但这没有帮助。我应该非常清楚，在 CIO John Sherman 的领导下，CIO 组织才是这个领域真正的思想领袖。我是团队的新成员；我要加上我的两分钱，我很享受。

FEDTECH：您正在采取哪些措施来让员工参与变革？

Beavers：我们安全态势的变化和威胁的变化也推动了我们网络劳动力的专业化和专业化水平。我们采用了今年早些时候发布的劳动力战略，现在我们已经制定了实施计划。这是一种基于指标的方法；我们定义了网络安全角色以及与这些角色相关的技能组合。到目前为止，我们对接待情况感到非常兴奋。我们的负责人马克·戈拉克（Mark Gorak）正在与夏威夷的一个团体进行交谈，他从观众中的陆军人员那里得到了一些非常兴奋的反馈，这些反馈涉及到角色一直到初级士兵。他们非常感激能够定义这些网络角色，并知道他们需要哪些技能才能申请并在这些领域与我们合作。它让我对我们需要进行的招聘类型有了一些了解。

2024年2月9日

DOD首席副首席信息官 Leslie Beavers 在2月9日于弗吉尼亚州阿灵顿举行的国防IT峰会上发表讲话。

Leslie Beavers 表示今年致力于推动云、网络安全、客户体验和无线连接发展的四个关键领域。

Leslie Beavers 表示我们网络安全之旅的一部分包括到2027年转向零信任架构。该部门目前正在接受各部门提交的实施计划。她指出，该计划的推进取决于资金。

“我们致力于在 2027 年实现这一目标，因为这不是一个部门设定的目标，而是一个对手响应目标，所以我们真的不能让它落空，”她补充道。

办公室最近还接管了5G部署工作，计划到2028年在全球军事基地部署无线功能。

2024年2月15日

DOD首席信息官Dave McKeown于2024年2月15日在零信任峰会上发表讲话

DOD正带着紧迫感采取行动，以实现到2027年在基于零信任的网络安全架构上运行的雄心勃勃的目标，从广义上讲，零信任是指一种网络安全概念和框架，需要不间断的监控和持续的身份验证来保护关键的国家安全信息，并假设所有网络从一开始就受到损害。

McKeown指出了实现零信任的三种方法。其中包括：了解和提升当前环境、利用云服务以及使用专门构建的本地解决方案。2023年11月，所有DOD机构和军事部门向他的团队提交了大约40份不同的网络安全方法计划以供审查。

McKeown指出:"我们现在要创建一个综合的总体时间表——我的团队是由兰迪·雷斯尼克领导的零信任投资组合管理办公室——根据我们与国会提出的所有这些意见，我们将在未来三年内从规划阶段和教育阶段进入实施阶段"。

往期推荐