战略与政策

美CISA发布《零信任成熟度模型》

日期:2024-07-18

|  来源:【字号:

2024411日,美国网络安全与基础设施安全局(CISA)发布第二版《零信任成熟度模型》,对跨多个关键支柱(身份、设备、网络、应用和工作负载、数据)的联邦机构实施指南进行了更新,以协助联邦机构制定零信任战略和实施计划。该模型通过跨网络检查点持续验证用户凭证,防止对政府数据及服务的未经授权或危险访问。

CISA根据前期向社会征求的意见,在新版《零信任成熟度模型》中添加了“初始”阶段成熟度,将成熟度阶段共分为传统、初始、高级、最佳四个阶段。新的版本不再是一个临时解决方案,可持续支持联邦机构设计和实施其零信任计划,并与白宫管理与预算办公室的“推动美国政府走向零信任网络安全原则”保持了一致。

新版《零信任成熟度模型》包含五大支柱,分别为身份、设备、网络、应用和工作负载、数据。CISA针对五大支柱的具体要求进行了修改,并对各大支柱进行了扩充。

1)身份:在身份认证中增加了“抗网络钓鱼多因素身份认证(MFA)”的额外细节;增强了身份存储的灵活性,强调了跨自我管理和托管身份存储的集成;以及为特定访问增加新的访问管理功能。

2)设备:更新了策略执行和合规功能,以解决软件和配置管理;修订了自动化、编排和管理,以实现设备停用或措施不完善时的补救;增加了设备威胁防护功能,实现集中安全管理。

3)网络:修改网络分段功能,提倡基于应用的微隔离;增加网络流量管理功能和网络弹性功能;进一步修订支柱,将原始威胁防护功能的元素纳入可见性和分析;扩展了流量加密功能。

4)应用和工作负载:更新了应用访问功能,以合并上下文信息、强制过期条件并拥护最小特权原则;修订了应用威胁防护和应用安全测试,将保护集成到应用工作流中,以便在整个软件开发生命周期中开展实时可见性和安全性测试;合并了新的安全应用开发和部署工作流功能,以规范代码部署,限制对生产环境的访问,并促进向不可变工作负载的迁移;重新命名和修订了应用辅助功能,以便在公共网络上将应用提供给授权用户时,符合白宫管理与预算办公室的规定。

5)数据:扩展数据加密功能,支持跨企业数据加密,使密钥管理策略正规化;修改了数据目录管理,增加了数据分类功能,以解决目录和可理解的数据类型的成熟度;增加数据可用性功能,优化可用性,强调对历史数据的访问。

信息来源:

https://www.cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model

https://www.cisa.gov/sites/default/files/2023-04/CISA_Zero_Trust_Maturity_Model_Version_2_508c.pdf

https://mp.weixin.qq.com/s/yyRTGz19IzUCD8lhFYYC8w


附件: