[[430296]]

美國在今年10月再次迎來了國家網(wǎng)絡(luò)安全意識(shí)月。雖然這種努力在傳統(tǒng)上是以消費(fèi)者和企業(yè)為目標(biāo)，但美國政府對(duì)網(wǎng)絡(luò)安全意識(shí)有著獨(dú)特的興趣。

網(wǎng)絡(luò)安全意識(shí)月的第一周的主題是呼吁個(gè)人和企業(yè)加入“BeCyberSmart”活動(dòng)，強(qiáng)調(diào)采用最佳安全措施，同時(shí)關(guān)注總體網(wǎng)絡(luò)安全，以有效保護(hù)個(gè)人和公司數(shù)據(jù)。這包括使用多因素身份驗(yàn)證、備份數(shù)據(jù)和更新軟件。

這些基本實(shí)踐只是更大的零信任安全模型的一小部分，該模型基于“從不信任，總是驗(yàn)證”、多因素身份驗(yàn)證、最低特權(quán)訪問和微分段等概念。

零信任安全模型已經(jīng)存在了10多年的時(shí)間，但直到最近才得到廣泛采用。隨著如今基于邊界的網(wǎng)絡(luò)安全解決方案不斷面臨失敗，并出現(xiàn)有關(guān)數(shù)據(jù)泄露和勒索軟件攻擊的新聞報(bào)道，零信任安全繼續(xù)獲得了人們的關(guān)注。

美國政府的零信任戰(zhàn)略

美國管理和預(yù)算辦公室最近發(fā)布的聯(lián)邦零信任戰(zhàn)略、美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的零信任成熟度模型和云安全技術(shù)參考架構(gòu)文件代表了美國政府提高網(wǎng)絡(luò)防御能力的重要一步。根據(jù)美國“改善國家網(wǎng)絡(luò)安全”的14028號(hào)行政命令，這些參考模型和指導(dǎo)草案的發(fā)布幫助政府機(jī)構(gòu)加快向更安全、基于零信任的網(wǎng)絡(luò)安全方法過渡。

讓美國政府過渡到基于零信任安全的模式是一項(xiàng)艱巨的任務(wù)，需要仔細(xì)的規(guī)劃、可觀的資源和多年、多階段、具體機(jī)構(gòu)的實(shí)施計(jì)劃。對(duì)于運(yùn)營數(shù)千個(gè)網(wǎng)絡(luò)、數(shù)萬個(gè)系統(tǒng)和應(yīng)用程序并在全球部署數(shù)十萬用戶和設(shè)備的大型政府機(jī)構(gòu)(如美國國防部)來說，零信任在其組織范圍的全面推出可能需要10年或更長時(shí)間。盡管如此，身份、數(shù)據(jù)和網(wǎng)絡(luò)安全等領(lǐng)域的重大安全改進(jìn)可以在短短幾年內(nèi)實(shí)現(xiàn)。

克服國家零信任的擔(dān)憂和障礙

受影響的政府機(jī)構(gòu)的首席信息官將面臨的兩大挑戰(zhàn)是政府強(qiáng)制采用零信任及其加速的時(shí)間表是預(yù)算和資源。美國管理和預(yù)算辦公室、美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)只提供了啟動(dòng)所需的框架和零信任架構(gòu)。它仍然是由個(gè)別機(jī)構(gòu)預(yù)算的零信任模型實(shí)現(xiàn)，構(gòu)建當(dāng)前IT環(huán)境符合NIST的零信任型架構(gòu)，確定必要的內(nèi)部和外部人才，選擇相關(guān)零信任型技術(shù)和供應(yīng)商，重新認(rèn)證其系統(tǒng)，重新培訓(xùn)員工。

為了幫助政府和商業(yè)客戶加快采用零信任的進(jìn)程，并更好地管理相關(guān)的零信任遷移風(fēng)險(xiǎn)，有必要采用一種基于平臺(tái)的零信任方法。利用NIST ZTA標(biāo)準(zhǔn)兼容平臺(tái)可以促進(jìn)互操作性和可擴(kuò)展性。它還避免了供應(yīng)商鎖定，允許企業(yè)在他們目前可能有最高暴露風(fēng)險(xiǎn)的領(lǐng)域開始零信任之旅，例如網(wǎng)絡(luò)、身份和訪問管理。

一旦解決了最初關(guān)注的領(lǐng)域，就可以解決其他零信任關(guān)注的領(lǐng)域，如數(shù)據(jù)、工作負(fù)載和設(shè)備。制定零信任戰(zhàn)略、進(jìn)行零信任成熟度和差距評(píng)估，以及創(chuàng)建分階段實(shí)施計(jì)劃是成功部署零信任的關(guān)鍵。

零信任的未來發(fā)展

量子霸權(quán)指的是量子計(jì)算機(jī)在合理的時(shí)間內(nèi)可靠地完成計(jì)算機(jī)無法完成的事情，例如在更短的時(shí)間內(nèi)破解廣泛使用的非對(duì)稱加密算法。這對(duì)全球商業(yè)、企業(yè)、消費(fèi)者和國家安全構(gòu)成了獨(dú)特的風(fēng)險(xiǎn)，因?yàn)樗行У厥乖S多優(yōu)秀的數(shù)據(jù)安全和安全通信技術(shù)變得無用。

為量子日的到來做準(zhǔn)備可能依賴于零信任戰(zhàn)略，因?yàn)楦鲊荚谂?zhǔn)備應(yīng)對(duì)伴隨著這些計(jì)算技術(shù)進(jìn)步而不可避免的網(wǎng)絡(luò)風(fēng)險(xiǎn)。雖然這種情況預(yù)計(jì)在未來5到10年內(nèi)不會(huì)到來，但準(zhǔn)備工作需要立即采取行動(dòng)。

零信任的原則很簡單：不要信任任何人，即使是企業(yè)自己的員工，因?yàn)閱T工可能惡意或無知地使企業(yè)的數(shù)據(jù)易受攻擊，一旦遭到網(wǎng)絡(luò)攻擊就可訪問。企業(yè)可能需要數(shù)年時(shí)間才能真正實(shí)現(xiàn)全面、多層次的零信任安全性，所以與其等到來不及補(bǔ)救，不如現(xiàn)在就開始。

隨著個(gè)人、企業(yè)和聯(lián)邦機(jī)構(gòu)迎接網(wǎng)絡(luò)安全意識(shí)月的到來，實(shí)現(xiàn)“零信任”無疑將不僅是每年10月的首要任務(wù)，而且是每一天的首要任務(wù)。