美國白宮發布一項新聯邦策略指出,所有聯邦機構之網路安全策略均應於未來2年內採用零信任架構,以抵禦當前威脅,並加強聯邦機構之網路安全防禦。
零信任策略之關鍵要素,包括透過多因子身分驗證整合機構身分鑑別系統、加密網路流量並將內部網路視為不受信任之網路及加強應用程式安全性以保護資料防並防範網路釣魚攻擊。在私人資安公司推動零信任網路模型多年之後,美國政府才決定導入零信任安全原則,美國國家安全局(NSA)與微軟曾於2021年2月向大型企業與關鍵網路(包括國家安全系統與國防部及國防工業基地等)推薦零信任安全架構。
白宮行政管理與預算辦公室(Office of Management and Budget,OMB)提出之聯邦零信任策略如下:
- 聯邦政府相關人員應擁有企業等級之受管帳戶,以存取工作上所需之資料,同時保護其免受針對性之網路釣魚攻擊。
- 聯邦政府相關人員用於執行工作之設備須被全面追蹤與監視,並於授予對內部資源之存取許可權時檢查設備之安全狀況。
- 機構之間系統互相隔離,並於網路傳輸時皆須加密。
- 企業提供之應用程式需於網域內部與外部進行測試,並可透過一般網路安全地提供給員工。
- 聯邦資安團隊與資料團隊共同設計開發數位資料類別與資安規則,自動檢測並阻止未經授權之存取。
本文轉載自NCCST。