直屬美國總統管轄的行政管理和預算局(Office of Management and Budget,OMB)周三(1/26)發布一聯邦策略,指示所有聯邦機構的網路安全策略都應轉移到零信任架構( Zero Trust Architecture),並必須在2024財年底(2024年9月30日)之前符合特定的資安標準與目標。

OMB在發送給各聯邦機構的備忘錄M-22-09中說明,在目前的威脅環境下,聯邦政府不能再依賴傳統的邊界防禦作法來保護重要系統與資料,因而必須作出大膽的改變,轉移到零信任將替這個新的威脅環境提供一個可防禦的架構。

在去年9月7日美國行政管理和預算局(OMB)提出「聯邦零信任戰略」(Federal Zero Trust Strategy)草案,如今這個聯邦策略正式發布。

零信任模型的基本原則是沒有任何參與者、系統、網路或服務是可靠的,因而必須驗證任何試圖建立存取權限的事物,在理想的狀態下,政府員工應該擁有大型企業等級的受管帳號,以讓他們得以存取工作上所需的資料,同時提供可靠的資安保護,避免遭到針對性且複雜的網釣攻擊;員工的工作設備也將持續受到追蹤與監控,並在賦予造訪權限時考量這些設備的安全狀態;各個聯邦機構的系統是相互隔離的,彼此間互動的流量則是加密的;應用程式需經內部與外部的測試,並可安全地藉由網路提供給員工;各個資安及資料團隊必須合作以建立資料類別及安全規則,以偵測及封鎖未經授權的機密資訊存取。

OMB表示,此一策略特別強調身分與存取控制,包含採用多因素認證(MFA)機制,若缺乏嚴格控管的身分辨識系統,駭客只要取得使用者帳號就能進入特定機構以竊取資料或執行攻擊。

美國總統拜登(Joe Biden)是在去年5月頒布「改善美國網路安全」的14028行政命令,當時便宣布要朝向零信任邁進,OMB則於同年的9月公布此一聯邦策略的草案。

美國提出的聯邦零信任戰略正式公布,1月26日發布M-22-09備忘錄

相關報導:帶動全美政府組織提升網路安全水準,聯邦零信任戰略草案提出

熱門新聞

Advertisement