DOD发布近400页零信任覆盖文件

新的“覆盖”为零信任之路提供指南

近日，美国DOD首席信息官发布了一份近400页的“零信任覆盖”文件，旨在作为路线图和指南，帮助该部门实现总统乔·拜登签署的2021年行政命令中提出的目标。

零信任覆盖是基于DOD零信任参考体系结构2.0版和被称为“零信任路线图”的DOD零信任能力执行路线图（COA 1）。这些文档描述了组成零信任覆盖层的一组支柱、功能、启用程序和支持性活动和结果。零信任覆盖表示了对实现能力和支持活动以及零信任原则和原则所必需的控制的分层和横断面描述。这些覆盖层是基于美国国家安全系统委员会（CNSS）的指令No. 125318和美国国家标准和技术研究所（NIST）的特别出版物（SP）800-53，修订版。

DOD网络安全副首席信息官兼首席信息安全官戴夫·麦基翁(DaveMcKeown)表示：“零信任覆盖是部门工具箱中的另一个工具，它通过提供明确的指导来支持组件的执行，说明哪些控制措施可以促进特定的零信任活动和结果。”

预计这些覆盖将给那些负责在整个部门实施“零信任”的人带来福音。

DOD首席零信任官兰迪·雷斯尼克(RandyResnick)表示：“这些覆盖帮助我们的风险管理从业者实现零信任结果，确保我们的对手无法在我们的网络内横向移动。”

DOD零信任组合管理办公室处长威尔施密特表示，零信任概念重新定义了数据、网络和信息系统的安全保护方式——不仅在DOD内部，而且在整个行业和整个联邦政府中。

他说：“零信任是一种现代网络安全方法，要求所有用户和设备（无论是组织网络内部还是外部）在获得数据、资产、应用程序和服务的访问权限之前都必须经过身份验证和授权。”“零信任假设对手已经嵌入到你的基础设施中，尽管如此，它还是实施了网络安全规则、政策和技术，这些规则、政策和技术可以阻止、限制和挫败对手的行动自由和利用数据的能力。”

施密特表示，如今的安全重点是网络。用户需要进行身份验证——例如，通过CAC登录证明他们有权访问网络——一旦进入网络，他们就可以自由查看和修改网络上的所有内容。

在零信任模式下，用户仍可在网络上验证自己的身份，但他们还需要证明自己有权访问该网络上的所有文档、文件和子系统。这意味着，当对手入侵网络时，他们无法访问所有内容—他们会不断被要求提供他们想要查看的所有内容的额外凭证。

“零信任是一种以数据为中心的安全策略，”施密特说。“你保护的是数据本身。你正在将保护边界从外围移到需要保护的关键区域。这意味着每个人都必须获得授权和身份验证才能访问该信息。”

施密特表示，零信任的一个重要假设是，网络已经被对手攻破，即敌人已经进入网络。

“我们的想法是让他们很难进行任何横向移动，”他说。“如果他们这样做，我们就能识别并阻止他们。”

零信任尚未在整个部门实施，但到2027财年，预计将达到“目标水平”实施。施密特说，这意味着DOD已经实施了DOD于2022年11月发布的《零信任战略和路线图》中确定的152项目标活动中的91项。

在DOD和各军种的系统和人员中实施这一计划将是一项挑战。但新发布的“DOD零信任覆盖”中包含的信息将帮助那些最有责任实现这一目标的人在DOD和白宫设定的最后期限前完成任务。

施密特表示，这些覆盖将首次标准化DOD在整个国防企业中实施零信任的方式，规定实施零信任控制的分阶段方法，并为系统架构师和授权官员制定零信任差距分析。

关注本公众号，回复 ys 获取零信任覆盖文件全文。