美國CISA官員為機構制定採納零信任安全政策的指引

在國家安全電訊諮詢委員會(National Security Telecommunications Advisory Committee,NSTAC)會議中,隸屬於網路安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)利害關係人參與部門的副助理主任Trent Frazier告訴白宮產業顧問小組,CISA正在對他所謂的技術路線圖進行最後的潤飾,這將使去年發布的網路安全行政命令,轉為要求資安相關作業時採用零信任安全架構的基礎。

拜登政府的行政命令,使得CISA和行政管理和預算局(Office of Management and Budget,OMB)等聯邦機構對於「零信任」展開了一連串的任務,OMB向各機構發布了具體的行政命令,並在1月份拍板定稿

Frazier提到,由於俄羅斯軍隊正在入侵烏克蘭,導致緊張局勢的上升,總統的策略將使各機構能保護自己,並協助其他公共和私營部門的組織因應可能會因為此次衝突造成的網路攻擊。

「零信任 」之定義

在同一個會議上,NSTAC成員一致批准了一份讚揚了拜登將各機構轉移到「零信任」態勢計劃的報告,即使它提出了20條改進建議,報告說明該計劃,特意限縮範圍至僅涵蓋僅兩年半內的直接行動,可能會形成不完整的實驗。

零信任身分管理小組委員會的聯合主席Mark McLaughlin說,網路安全的提升和拜登政府內部對這零信任概念的接受,對聯邦企業內部和外部都是一個正向發展。「我們相信,對此概念的持續關注可以為網路安全帶來變革。包括總統行政命令在內的高階政策文件不斷講述零信任的重要性,使得全國各企業的董事會和資訊安全團隊開始重視對零信任的認識和採納。」

CISA文件的目的是協助機構的資訊長和資安長採納政策界被認定是有前途的安全概念,在資安社群卻有不同的聲音。

「零信任」的支持者認為,一個組織保護其系統和數資料的最佳方式是將每項資產和員工都視為可能已被入侵,它不強調傳統的網路安全邊界,如防火牆,而是強調嚴格的存取政策、身份檢查,注重保護與隔離網路中高價值的資料。

反對者認為,「零信任」僅是個標籤,即使在企業董事會和其他先前忽視投資網路安全的管理階層中獲得了相當大的支持,它只是代表了對現有安全理念的重新包裝,成為網路安全技術行業的一個行銷術語,利用其含義的模糊性,這標籤被貼在無數個產品上,但卻不管它們最後是否與「零信任」相關。

​相關連結:

Derek B. Johnson(2022). CISA official floats zero trust roadmap for agencies. SC Media.

檢自:

https://www.scmagazine.com/analysis/cloud-security/cisa-putting-finishing-touches-on-zero-trust-roadmap-for-agencies (Mar. 07, 2022)

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。

回到頂端