带动全美-组织提升网络安全水准，联邦零信任战略草案提出

面对当今日益复杂且持续的网络威胁态势，如何保护国家基础设施已是全球焦点，在美国，当地企业与基础建设频遭重大网络攻击，促使该国-今年积极采取行动，致力改善国家网络安全，近期，美国行政管理和预算局（OMB）有了新的行动。

在9月7日，该单位公布了“联邦零信任战略”（Federal Zero Trust Strategy）草案，推动美国-走向零信任网络安全原则，以支持今年5月该国总统拜登所发布的行政命令（EO 14028），目标是让该国企业组织的网络安全架构，都是基于零信任原则，并且期望在2024年完成推动。

而在9月29日举行的一场线上演讲，美国行政管理和预算局（OMB）的资深顾问Eric Mill亲自介绍了这个草案的重点。

基于这样的态势，台湾不论是-或产业，除了关注这股潮流的发展，也该思考的是，现在自身的网络安全应该怎么做。

朝向零信任网络安全架构迈进，美国-正提出具体规划

基本上，这个联邦零信任战略草案目的是要让所有联邦机构置的网络安全发展，透过这样的战略奠定初期步骤的设置，促使所有联邦机构可以处于同一发展路线上，并持续采取行动，以迈向高度成熟的零信任架构，并将帮助每个单位认识到所处的成熟度状态，而这仅仅是一个开始。

毕竟，过渡到零信任架构并不容易。在该国总统拜登行政命令（EO 14028）中，也指出，渐进式改进无法为该国提供所需的安全性，因此，他们需要做到大胆的改变与重大的投资，以捍卫支撑美国生活方式的重要机构。而这次提出的联邦-零信任战略，显然再次呼应了这样的诉求。

虽然，这还不是全面且成熟的零信任架构指南，但已经对美国联邦的零信任架构提出设想。在这个联邦零信任战略草案中，有五个要点，包括：（一）需要强式的身份验证，实践于跨联邦机构；（二）不再依赖边缘安全策略，应依赖加密与应用程序测试；（三）要能识别-的每一种装置与资源，（四）资安反应要有智慧且自动化的支援（五）云端服务的使用要有安全与稳健性。

多项资安要素成必备，以提升基本资安水准

就联邦零信任战略的目标而言，Eric Mill表示，在行政命令EO 14028中，其实，明确指出多项具体的安全要素，包括通用日志管理、多因素认证（MFA）、可靠的资产盘点，以及无所不在的加密使用，还有采用零信任架构，以满足-重要基本安全标准。

这是因为，现在的网络安全架构，必须假设网络与其他元件将受到入侵。因此，机构应避免对设备与网络的隐含信任，并要意识到自身拥有什么，而这也是从根本上提升了最小特权原则的遵循。

另外，此战略的内容也提到，尽管零信任架构背后的概念并不新鲜，然而，对于多数企业组织或是-机构而言，仍然陌生。因此，在此段期间，对于新政策与技术的实践，都需要经过持续的学习与调整。特别的是，当中也相当鼓励机构使用资安功能丰富的云端基础架构。

近期美国-积极推动零信任网络安全策略，不只NIST与NCCoE制定标准与指引，美国行政管理和预算局在今年9月，也已拟出联邦零信任战略草案，希望让所有-机构都能朝向网络零信任环境迈进。

在近期FIDO联盟举办的Authenticate Virtual Summit，美国白宫管理和预算局的资深顾问Eric Mill在一场演讲中，指出识别的重要性，也介绍联邦零信任战略目前草案版本的内容。

实践零信任架构从5大面向做起

关于这个零信任战略的实现，从目前草案的规划当中，已可看出该国-设法采取的一些具体行动，或许可以做为外界设计零信任架构的一些借镜。而当中也提及实施进度的要求，目前看来，是希望在该国2024财政年度前，达到特定的零信任安全目标。

在具体内容上，这个战略中可分为5个部分，包括：识别、装置、网络、应用程序与资料。Eric Mill表示，这其实与美国CISA、国防部或国土安全部的零信任成熟度模型的五种支柱是一致的。

联邦零信任战略草案五大愿景

面向	愿景
识别（Identity）	让机构工作人员在工作中，须使用企业级的识别来存取应用程序，并且使用可防钓鱼的多因素验证，以保护使用者受到复杂的网络攻击。
装置（Device）	机构需要建立完整的装置清单，包含所有授权于-使用，且为-所拥有的运作装置，并要能够侦测与回应这些设备上的事件。
网络（Network）	主要重点放在对于环境中加密所有DNS请求与HTTP流量，以及制定网络分隔计划，同时也将确定电子邮件加密的可行方式。
应用程序（Application）	机构在看待所有应用程序时，都必续将之视为与互联网连接，并要定期执行严格的实际验证测试，并且乐于接受外部漏洞报告。
资料（Data）	在资料分类与保护方面，机构将有更清晰与共享的路径，要利用云端服务与工具的优势，来发现、分类与保护自身的敏感资料，并需实现全企业范围的日志记录与资料分享。
资料来源:OMB，iThome整理，2021年11月

 

识别

以识别面向而言，主要有两大目标，包括全企业范围的身份识别存取，以及提供避免钓鱼的多因素验证（MFA），以保护员工的存取与登入。

简单而言，这部分强调整合身份验证系统将是必要，-机构需要设计良好的单一身份验证系统（SSO），将各种工作上使用的服务的集中于此，并逐步汰换其他身份验证系统。最终目标，就是要为所有内部用户提供SSO机制，可支援SAML或OpenID等开放标准，并要与零信任与风险管理原则一致。

同时，进阶的强式身份验证是零信任架构的必要组成，而多因素验证将是该国-安全最基本的要求，而且，MFA需套用在应用程序层，而不是透过VPN这样的网络身份验证。要注意的是，由于许多双因素认证无法抵挡复杂的网络钓鱼，不过，现在W3C已经推出Web Authentication标准与FIDO标准，也可参考NIST SP 800-63B中的定义，以抵制网络钓鱼。

这方面将有4大具体行动项目，第一，必须为机构人员建立单一登入（SSO）服务，并要能整合包含云端服务的应用程序与通用平台；第二，必须在应用程序层级强制启用MFA，并在可行情况下使用企业SSO，在此当中，对于机构工作人员、承包商与合作伙伴，必须采用能避免网络钓鱼的MFA。而对于公众使用者，像是提供国民的服务，也应具备可避免网络钓鱼MFA的选项；第三，必须采用安全密码策略，并要根据已知外泄资料检查密码安全性；第四，CISA将提供一项或多项可私下检查密码的服务，以免因密码查询导致暴露。

装置

以装置面向而言，主要就是强调资产盘点的必要性，以及端点侦测与回应（EDR）设备的重要性。

基本上，机构本身必须知道自己拥有什么装置，以及何处容易受到攻击，不论是在企业内部或是云端环境，都要做到良好的监控，并要提升端点与服务器与其他关键技术资安的安全性。

Eric Mill表示，持续诊断和缓解（CDM）是长期存在的计划，用于帮助联邦环境的监控，该计划提供一套服务，可改进机构对于资产的检测与监控，而这也是EO 14028行政命令中的一部分。现在，依据零信任原则来建构CDM，将变得更加重要

这有2大具体行动，包括：第一、机构必须参与CISA的持续诊断和缓解（CDM）计划，而CISA将把CDM计划建立在最小权限原则的基础上，并优先考虑云端基础设施的运作方式，当中也提到了日后将朝向尽可能避免使用特权软件代理程式；第二，是EDR设备的采用，需确保每个用户操作的企业配置设备，都具有机构挑选的EDR产品，其中，缺乏这些工具的机构将与CISA合作采购，此外，机构需建立相关技术与程序，将其EDR报告的资讯提交给CISA。

网络

以网络面向而言，主要重点放在环境中加密所有DNS请求与HTTP流量，以及制定网络分隔计划，同时也将确定电子邮件加密的可行方式。

在零信任架构的关键原则中，就是对于网络不再有隐式信任，因此，所有流量都需经过加密与身份验证。至于可能无法深入侦测检查的地方，则借由可视的matadata、机器学习技术，以及其他启发式技术来分析。另外，还需要解决网络分隔的问题。

在具体行动上，第一，是加密DNS流量，在技术可办到的情况下，都须使用加密DNS来解析DNS查询，而CISA的DNS保护计划将对这方面提供支援；第二，是加密HTTP流量，环境中所有网页与API流量都要强制采用HTTPS，而CISA将与机构合作，将他们的.gov网域控制为只能透过HTTPS存取；第三，是加密电子邮件流量，将评估以MTA-STS技术作为加密电子邮件的解决方案，并提出建议；第四，需提出围绕在应用程序的网络分隔计划，作法上将与CISA协商制定后，再提交给OMB。

应用程序

以应用程序面向而言，有两个重点，首先是要假设所有应用程序都与互联网相连，其次是要对于面对资安漏洞问题要积极且正向。

基本上，零信任架构强调防护要尽可能贴近资料与操作，而应用程序是最正面接触的攻击面，它作为系统元件，通常具有必须授予广泛的资料存取权限。

然而，应用程序面所要顾及的因应面向不少，这里提到几个重点，例如，要执行应用程序安全测试，需容易取得第三方测试，要积极面对应用程序漏洞报告，并要从互联网角度来考量，例如可以安全使用，并且不用依赖VPN，以及零信任架构需全面了解组织可从互联网存取的资产。

对此，这方面有5大具体行动项目：第一，需执行专门的应用程序安全测试；第二，需透过专业且优质的公司，进行应用程序安全的独立第三方评估，CISA与美国联邦总务署（GSA）将协助公司采购；第三，需发布公开漏洞揭露计划，并要能够维持有效性并乐于接受，而CISA将提供漏洞揭露平台，便于机构接受报告并与安全人员接触联系）；第四，必须可透过互联网与企业SSO存取，确定至少有一个内部面向联邦资讯安全管理法FISMA的应用程序。第五，CISA与GSA将合作提供线上应用程序与其他资产的资料，同时机构也必须提供使用的非.gov主机名。

资料

以资料面向而言，在分类与保护方面，机构将有更清晰的路径，要利用云端服务与工具的优势，来发现、分类与保护自身的敏感资料，并需实现全企业范围的日志记录与资料分享。

简单来说，虽然早已要求机构去做资料盘点，但全面的零信任资料管理方法，可能超越机构既有认定的资料集，例如，还需包含对结构更松散与分散的资讯系统，例如电子邮件与档案协作等资料，以及中间资料（Intermediate data）等。

因此，这方面所制定4大具体行动中，首要工作就是，-将制定零信任资料安全策略，以及资料分类与保护的指南，以及针对特定领域还要有能够监管。

第二，必须对资料分类与安全事件回应，建立初步自动化的机制，并聚焦于敏感文件的标记与存取管理，这部分提到SOAR的应用；第三，要求使用加密来保护商业云端基础架构中的静态资料，并要做到这方面稽核；第四，需与CISA合作，实行全面的日志记录与资讯共享，这当中也提到OMB已发布编号M-21-31的备忘录，并指出机构首要任务就是，执行完整性日志记录措施，以限制存取并允许加密验证，以及记录环境中发出的DNS请求。

在10月中旬，美国网络安全及基础设施安全局（CISA）举办第四届Annual National Cybersecurity Summit，其中一场议程，也有针对零信任议题的专属座谈，与会者包括CISA技术长Brian Gattoni，国家安全局 (NSA) 零信任技术主管 Kevin Bingham，以及美国行政管理和预算局（OMB）资深顾问Eric Mill。