一、战略规划:涉及多个层面
美零信任发展涉及多个层面的战略规划,是一个由概念提出到国家层面、政府部门、军方机构逐步采纳和推进的过程,其发展历程体现了对网络安全的高度重视和对现代化防御需求的响应。
通过这些举措,美国旨在提升其网络安全防护能力,以应对日益复杂的网络威胁环境。
(一)国家层面:拜登政府首次正式提出实施零信任
(二)部门层面:各部门分头行动,加速战略布局
二、技术实施:多维推动
在技术实施层面,美从政策指南、预算投入、技术研发等多个维度推动零信任技术加速部署落地,全力推动实现国防部零信任战略目标。
(一)发布政策实施指南
2024年6月4日,美国防部首席信息官发布了《美国防部零信任覆盖》(Department of Defense Zero Trust Overlays)文件,作为零信任战略的路线图和实施指南,帮助国防部实现拜登总统签署的2021年网络安全行政命令中设定的目标。该文件描述了能够促进特定零信任活动和结果的安全控制措施,并规定了分阶段实施零信任控制的方法。该文件是美国防部实现零信任战略的指南,旨在将整个美国防部实施零信任的方式标准化,同时指导系统架构师和授权官员开展零信任差距分析。这些文件和战略的发布,显示了美国国防部在网络安全领域的重大转变,从传统的基于边界的防御转向更加精细化的零信任模型,以应对日益复杂的网络威胁。通过这些战略和指南的实施,美国防部旨在提高其网络安全防护能力,确保关键信息资源的安全。
(二)稳步增加零信任国防预算
美国防部及各军种高度重视零信任技术发展,大幅投入预算资金,支持相关技术研发,推动网络安全防御过渡到零信任架构。2022年起,美在国防预算开始单列“零信任”预算,2022-2025财年,国防部为零信任投入的预算分别为:8.59亿美元、10.06亿美元、11.56亿美元、12.77亿美元,主要用于身份、认证和访问管理(ICAM)、合规性连接(C2C)、零信任架构迁移等。此外,美陆军在2024财年预算中,投入4.39亿美元,用于加速推进零信任网络安全建设。
(三)攻关核心技术
零信任架构的研发与部署涉及身份认证与访问管理(ICAM)、微隔离和软件定义边界(SDP)、自动化编排、数据安全、可视化和分析等关键技术,这些技术作为零信任架构的重点技术,受到美政府、国防部及军方的高度重视。
一是ICAM技术作为零信任的基石,是美实施零信任架构的重要组成。该技术涉及对身份的动态认证与授权,实现全面身份认证。用于解决身份唯一标识、身份属性、身份全生命周期管理等功能性问题,是零信任架构的核心。国防部在2022财年投资了2.44亿美元用于发展ICAM相关技术,以实现对“任意时间、任意位置、任意人员”的最低权限管理控制,是向零信任架构迈进的重要举措之一。
二是微隔离技术,在零信任的7大支柱中,“网络与环境”支柱特别强调使用细粒度访问和策略限制对内外部网络/环境进行物理或逻辑分段、隔离和控制,直接涉及到微隔离技术的实施。此外,微隔离技术遵循零信任的核心原则,即“最低权限”,不再划分网络边界,默认所有行动均不可信,限制了未经用户在网络内部横向移动,有效保护数据安全。
三是零信任原型系统“雷霆穹顶”投入生产。“雷霆穹顶”项目是美军零信任安全试点项目,由美国防信息系统局(DISA)牵头。该项目通过构建零信任原型积累系统迁移经验,为零信任推广树立示范应用。2023年2月,“雷霆穹顶”系统已完成原型设计,并由国防部1600名用户开始试用该系统。同年,DISA在3个站点测试了系统的功能,并通过联合互操作性测试司令部的评估证实相关技术满足了零信任目标,随后将该计划推广到15个站点。DISA计划在2024年向60个站点以及海岸警卫队部署“雷霆穹顶”零信任功能。尽管项目尚未结束,但原型架构的落地标志着美军向零信任愿景迈出了一大步。此外,美空军也在特定基地部署了零信任架构,以提高信息战能力。
三、机构设置:提供组织保障
美在推进零信任架构的过程中,成立了多个专门机构负责相关的战略规划、实施和监督工作,统筹推进零信任部署和迁移。
一是成立零信任行动小组。2020年,美国土安全部成立零信任行动小组,主要任务是推行零信任工作计划,以提升联邦政府的网络安全水平。“太阳风”事件之后,国土安全部成立该小组,以响应日益增长的网络攻击威胁,并从根本上改变联邦政府的网络安全防御方式。零信任行动小组的成立是为了落实一系列战略举措,包括培育零信任防御理念,加速零信任技术发展,赋能零信任工作。此外,零信任行动小组还负责协调资源分配的优先顺序,并通过多个行动方案加快零信任理念的落地,包括制定零信任“五年工作计划”,依托商业云开发适用于零信任架构的云环境,以及利用政府的私有云作为实现零信任“高层级目标”的重要支撑环境。
二是成立零信任投资组合管理办公室。2022年1月,国防部成立零信任投资组合办公室,负责协调和加速整个国防部范围内零信任的采用和执行,还负责制定战略指导、协调工作,并优先分配资源以推动零信任的实施。该办公室的成立对国防部实施《零信任战略》具有重要意义,一方面,作为一个中心化的机构,该办公室确保零信任原则在整个国防部得到统一实施,并确保所有相关工作与零信任战略保持一致;另一方面,作为一个协调和统筹中心,负责资源的管理和优先级的设定,确保零信任能力和活动在战略目标期限内顺利部署落实,并统筹零信任技术和解决方案集成,以构建以数据为中心的安全防护架构。
四、影响与建议
美统筹谋划、加紧布局零信任战略规划,分层推进落实,从政策引导、预算投入、专设机构、技术研发等多个维度,全力推动并确保国防部零信任战略目标顺利实现。美此举深刻地颠覆了传统的网络安全防御理念,引领了新一代网络安全防御范式的新潮,其经验和做法值得借鉴关注。
一是引入下一代网络安全防御架构,彻底转变传统防御方式,我应积极布局,紧跟变化。
零信任的实施不仅是技术层面的更新,更是文化理念的更新,其基于“永不信任、始终验证”的核心理念,将防护重点从“以网络为中心”转向了“以数据为中心”,并通过动态访问控制,提高应对威胁的能力。在全球网络威胁加深和网络攻击激增的背景下,全面实施零信任网络安全架构是美适应新的威胁环境和技术发展需求的必然之举,也是其提高网络整体安全性和防御能力的重要举措。我应紧跟形势变化,积极布局零信任技术发展与实践推广,积极谋划战略布局,培育新型人才,加快技术创新,更好地应对日益复杂的网络安全挑战,保护关键信息基础设施,促进数字经济健康发展。
二是促进技术发展跨部门管理相结合,有效推动零信任架构落地实施,我应探索特色发展模式,提高参与意识。
零信任架构的实施不仅是技术层面的更新,还涉及到管理层面的变革。美在制定零信任战略规划、实施零信任架构过程中,多个部门共同参与,充分体现了跨部门协作与管理。国防部统筹制定长期战略目标和发展规划,国防信息系统局则负责零信任原型系统开发,各司其职,分层推进,稳步推动网络安全向零信任迁移。我应探索适合我国的零信任发展模式,加强顶层规划,转变防御理念,鼓励企业和研究机构加大对零信任核心技术的研发投入,推动零信任产品和解决方案的创新。在关键行业和领域开展零信任试点项目,通过实践验证零信任的有效性,并逐步推广到更广泛的应用场景中。
三是实施零信任是美实现国防数字战略现代化的需求,是美基于顶层设计的网络安全宏观布局,我应加强自主可控网络安全体系建设,应对大国竞争压力。
零信任架构的实施不仅是技术发展的需求,也是数字时代大国竞争的重要组成部分,美国实施零信任架构的战略意义在于提升自身的网络安全能力,应对复杂的网络威胁,在网络防御领域占据技术优势和国际竞争力。美零信任建设的推进也启示我需要加强自主可控的网络安全体系建设,在数字化转型的浪潮下,解决企业传统安全架构面临的挑战,有效应对企业数字化转型过程中的安全痛点,提升企业IT架构的安全性,筑牢整体安全防御底线,以应对日益复杂的网络威胁和潜在的大国竞争压力。
关 于 作 者
刘安
虎符智库研究员,主要从事人工智能、网络空间等领域政策研究。
END
如有侵权请联系:admin#unsafe.sh