拜登下令強制推行零信任架構
近日,美國總統拜登簽發了業界期待已久的行政命令(EO),旨在采用“大膽的舉措”提升美國政府網絡安全現代化、軟件供應鏈安全、事件檢測和響應以及對威脅的整體抵御能力。
總統令提出六大舉措:
- 政策支持。拜登指出,漸進式的改進不會給我們提供所需的安全性;相反,聯邦政府需要做出大膽的改變并進行大量投資,以捍衛支撐美國生活方式的重要機構。
- 消除威脅信息共享的障礙
- 聯邦政府網絡安全現代化
- 增強軟件供應鏈安全
- 成立網絡安全審查委員會
- 聯邦政府網絡安全事件預案標準化
拜登總統令強調了聯邦政府網絡安全現代化的關鍵舉措和最佳安全實踐:
- 邁向零信任架構。(政府部門)向云技術的遷移應在可行的情況下采用零信任架構。CISA應對其當前的網絡安全計劃,服務和功能進行現代化升級,使其能夠在具有零信任架構的云計算環境中完全發揮作用;
- 云服務中靜態和傳輸中的多因素身份驗證和數據加密;
- 加快向安全云服務的轉移,這些云服務包括軟件即服務(SaaS)、基礎架構即服務(IaaS)和平臺即服務(PaaS);
- 集中和簡化對網絡安全數據的訪問,以加強分析、識別和管理網絡安全風險的能力;
- 在技術和人員進行投資以實現上述現代化目標。
盡管近年來每位美國總統都下達了加強國家網絡安全的命令,但專家們認為,與以往的形式化總統命令相比,拜登的總統令更為詳盡,而且成功的機會也更大。拜登的總統令選擇了一個“絕佳”的時間點,數天前美國關鍵基礎設施遭遇了前所未有的網絡攻擊,導致Colonial Pipeline輸油管道中斷,而余波未平的SolarWinds、Exchange Server網絡攻擊也都被看作是美國政府遭遇的最嚴重的網絡攻擊。
拜登總統行政命令的一大關鍵措施是強化供應鏈安全,要求所有聯邦政府軟件供應商都遵守有關網絡安全的嚴格規則,否則有被列入黑名單的風險。最終,該總統命令計劃創建一個“能源之星”標簽,以便政府和公共購買者都可以快速輕松地查看軟件是否遵循了安全開發規范。
其他措施還包括成立“空難調查式”網絡安全安全審查委員會,該委員會將在重大事件發生后提出改進建議,以及針對政府事件響應的標準化手冊。
總統令還給出以下方面的規定:政府范圍內的端點檢測和響應(EDR),改進的政府內部以及公共部門和私營部門之間的信息共享,以及聯邦政府部門進行事件記錄的要求,以加強調查和補救。
該行政命令受到了安全專家的歡迎。
Sonatype的首席技術官兼創始人Brian Fox認為,這將要求供應商和軟件公司對他們的代碼安全性承擔更大的責任。
他補充說:“雖然不應該采取政府干預措施來使企業采取適當的軟件安全措施,但拜登充分利用聯邦政府的購買力來提高軟件安全性,這是所有國家都可以借鑒并從中受益的。”
Illumio首席執行官Andrew Rubin也贊揚了拜登對分布式計算環境安全最佳實踐零信任模型的支持。
他說:“拜登政府發布了一份全面的行政命令,最終承認了過時的聯邦網絡安全模型的失敗,并揭開了新安全設計的第一個迭代——建立在零信任中的全新政府網絡安全架構。”
“安全(過度)自信并不只是美國的問題,聯邦的問題或政策問題,而是全球性問題。因此,我強烈支持這項行政命令。這是對全球政府采取行動的呼吁,我們需要改變保護自己的方式。有了這個新的行政命令、這個新的零信任藍圖,我們將朝著更安全的未來邁進。”
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
