战略与政策

美网络安全与基础设施安全局更新《零信任成熟度模型2.0》

日期:2023-06-08

|  来源:【字号:

 2023年4月11日,美国网络安全与基础设施安全局(CISA)发布《零信任成熟度模型2.0》(更新版)。CISA于2021年8月首次发布《零信任成熟度模型1.0》,2022年3月发布《零信任成熟度模型2.0》。

新版本更新了政府范围内采用零信任安全架构的关键定义和指标。CISA将这套成熟度模型定义为联邦机构转向零信任架构的“众多路线图之一”,旨在通过跨网络检查点持续验证用户凭证,借此防止对政府数据及服务的未经授权或危险访问。新版本更新的主要内容如下:

1)新版本将成熟度阶段分为四级,除了首版提出的传统、高级、最佳三个阶段外,还增加了初级阶段,修订了每个阶段的指导标准。

2)新版本不再只是临时文件,更新了长期目标——支持联邦机构设计和实施零信任架构转型计划,并与白宫管理与预算办公室(OMB)M-22-09“推动美国政府迈向零信任网络安全原则”备忘录保持一致。零信任成熟度模型包含五大支柱,分别为身份、设备、网络、应用与工作负载、数据。这套模型旨在为各部门的零信任战略实施活动提供指导。

3)CISA针对五大支柱的具体要求进行了修改和扩充。身份支柱:增加了通过FIDO2协议(由线上快速身份验证联盟和万维网联盟合作开发的协议)实现无密码多因素身份认证(MFA),增加身份存储的灵活性等;设备支柱:增加了设备威胁保护功能,以便集中安全管理;网络支柱:修改了网络分段功能,推荐基于应用配置文件的微隔离等。

值得注意的是,更新后的零信任成熟度模型缺乏网络安全事件响应环节说明,缺乏明确的日志记录、监控、警报、取证分析、风险承担、恢复以及其他与组织网络安全态势管理相关的细节。新版本也未说明,应如何安全的将人工智能技术整合到零信任框架中。

信息来源:

https://www.cisa.gov/resources-tools/resources/zero-trust-maturity-model

https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf

https://fedscoop.com/cisa-publishes-update-to-zero-trust-maturity-model/

https://mp.weixin.qq.com/s/gKMIkxxesEYNDV830LIy4w

附件: