今年10月,美国再次迎来了国家网络安全意识月。虽然这种努力传统上是针对消费者和企业的,但美国政府对网络安全意识有着独特的兴趣。
网络安全意识月第一周的主题是呼吁个人和企业加入“BeCyberSmart”活动强调采取最佳安全措施,注重整体网络安全,有效保护个人和公司数据。这包括使用多因素身份验证、备份数据和更新软件。
这些基本实践只是零信任安全模型的一小部分,基于模型“从不信任,总是验证”、多因素身份验证、最低特权访问和微分段的概念。
零信任安全模型已经存在了10多年,但直到最近才被广泛使用。随着基于边界的网络安全解决方案的失败和数据泄露和勒索软件攻击的新闻报道,零信任安全继续引起人们的关注。
美国政府的零信任战略
联邦零信任战略、础设施安全局最近发布了联邦零信任战略(CISA)零信任成熟度模型和云安全技术参考架构文件代表了美国政府提高网络防御能力的重要一步。根据美国“提高国家网络安全”这些参考模型和指导草案的发布帮助政府机构加快向更安全、零信任的网络安全方法过渡。
让美国政府过渡到基于零信任安全的模式是一项艰巨的任务,需要仔细规划、可观的资源和多年、多阶段、特定机构的实施计划。对于大型政府机构(如美国国防部)来说,全面推出零信任可能需要10年或更长的时间来运营数千个网络、数万个系统和应用程序,并在世界各地部署数十万用户和设备。然而,身份、数据和网络安全领域的重大安全改进可以在短短几年内实现。
克服国家零信任的担忧和障碍
受影响的政府机构的首席信息官将面临两个挑战:政府强制采用零信任和加速的时间表是预算和资源。美国管理和预算办公室、网络安全和基础设施安全局(CISA)国家标准与技术研究所(NIST)只提供启动所需的框架和零信任架构。它仍然是由个别机构预算的零信任模型构建的IT环境符合NIST零信任架构,确定必要的内外人才,选择相关的零信任技术和供应商,重新认证其系统,重新培训员工。
为了帮助政府和商业客户加快零信任的过程,更好地管理相关的零信任迁移风险,有必要采用基于平台的零信任方法。NIST ZTA标准兼容性平台可以促进可操作性和可扩展性。它还避免了供应商锁定,允许企业在网络、身份和访问管理等可能暴露风险最高的领域开始零信任之旅。
一旦解决了最初领域得到解决,其他零信任关注的领域,如数据、工作负荷和设备。成功部署零信任的关键是制定零信任战略,评估零信任的成熟度和差距,并制定分阶段实施计划。
未来零信任的发展
量子霸权是指量子计算机在合理的时间内可靠地完成计算机无法完成的事情,如在较短的时间内破解广泛使用的不对称加密算法。这对全球商业、企业、消费者和国家安全构成了独特的风险,因为它有效地使许多优秀的数据安全和安全通信技术变得无用。
量子日的到来可能取决于零信任战略,因为各国都在努力应对随着这些计算技术的进步而不可避免的网络风险。虽然这种情况预计在未来5到10年内不会到来,但准备工作需要立即采取行动。
零信任的原则很简单:不要相信任何人,即使是企业自己的员工,因为员工可能会恶意或无知地攻击企业的数据,一旦被网络攻击就可以访问。企业真正实现全面、多层次的零信任安全可能需要几年的时间,所以与其等待补救措施,不如现在开始。
随着个人、企业和联邦机构迎接网络安全意识月的到来“零信任”毫无疑问,它不仅是每年10月的首要任务,也是每天的首要任务。