美國 CISA 發布 SASE 採用指南，協助聯邦機構邁向零信任架構

美國網路安全暨基礎設施安全局（CISA）於 6 月 24 日發布新指南，協助聯邦機構以安全存取服務邊界（SASE）技術取代既有的網際網路閘道，作為推動零信任架構轉型的一環。

從 TIC 2.0 過渡至 TIC 3.0

指南說明聯邦機構可如何運用 SASE，從以邊界為核心的可信網際網路連線（Trusted Internet Connections，TIC）2.0 模型，過渡至 CISA 依零信任原則建構、更加彈性的 TIC 3.0 模型。CISA 表示，SASE 可取代機構長期依賴的受管理可信網際網路通訊協定服務（MTIPS）。

在 TIC 2.0 架構下，各機構通常會將所有網際網路流量導向少數中央存取點。CISA 指出，這種設計容易形成瓶頸，不僅降低遠端與分支機構使用者的連線效能，也阻礙新技術導入。相較之下，TIC 3.0 允許機構建構更分散式的架構，但仍須維持 CISA 對流量的可視性。

SASE 將網路與資安功能整合為單一、以雲端為主的服務。依 CISA 定義，SASE 結合SD-WAN等工具，並納入多項資安控管機制，包括安全網頁閘道、雲端存取安全代理（CASB）、次世代防火牆，以及零信任網路存取（ZTNA）。該指南不限定特定廠商，重點在於架構本身，而非個別產品。

維持 CISA 的流量可視性

然而，脫離 MTIPS 架構也帶來挑戰：當機構流量不再經由 CISA 旗下 EINSTEIN 感測器所在的中央閘道傳輸時，CISA 將失去用於監控聯邦網路的遙測資料。為維持此可視性，各機構須將相應遙測資料提供給 CISA 的綜合日誌彙整倉儲（Comprehensive Log Aggregation Warehouse，CLAW），這是一套用於收集機構遙測資料的雲端服務。

本指南也反映既有實務做法的轉變。CISA 表示，對加密 TLS 流量進行解密檢測已不再被普遍建議，因其複雜度高且會增加延遲；CISA 轉而建議在不完全解密的情況下，分析加密流量中的可疑模式，例如運用機器學習技術進行偵測。

適用範圍

本指南主要針對聯邦文職行政機構（FCEB），但 CISA 指出，州政府、地方政府、關鍵基礎設施營運商及其他組織也可能從中受益。這是 CISA 去年啟動的零信任系列指南之一；在此之前，CISA 已發布微分段（microsegmentation）相關指南。

CISA 資安代理執行助理主任 Chris Butera 表示，此指南有助於機構實現零信任架構的效益。CISA 也強調，邁向零信任是一段持續性的轉型過程，而非單次的產品部署。

本文轉載自 InfosecurityMagazine。