2021年9月7日，美国政府发布了包括《联邦零信任战略》在内的推动零信任落地的文件“三件套”，要求在2024财年末完成零信任架构部署。这三份文件遵循了今年5月美国总统拜登签署发布的关于加强联邦政府网络安全的行政令，该项命令中明确涉及多种特定的安全方法与工具，包括多因素身份验证、加密与零信任等等。目前这三份文件均为“征集公众意见”状态，分别是：

　　美国管理与预算办公室（OMB）发布的《推动美国政府运用“零信任”网络安全原则》（Moving the US Government Towards Zero Trust Cybersecurity Principles）（即《联邦零信任战略》），目标是各机构加速实现早期零信任成熟度的共享基线。

　　网络安全与基础设施安全局（CISA）发布的《零信任成熟度模型》（Zero Trust Maturity Model）是对《联邦零信任战略》的补充，旨在为机构提供路线图和资源，以实现最佳的零信任环境。

　　网络安全与基础设施安全局发布的《云安全技术参考架构》（Cloud Security Technical Reference Architecture）是机构安全迁移到云时的指南，解释了共享服务、云迁移和云安全状态管理的注意事项。

　　（上述三份文件的原文PDF及人工整理后的机翻全文已上传三正知识星球及三正蘑菇云精选，获取方式附于文末。）

　　对于美国推进零信任的原因，联邦政府首席信息安全官Chris DeRusha的回答值得玩味：“联邦政府的网络安全方法必须迅速发展，跟上我们对手的步伐。而朝着零信任原则的迈进则是实现这一目标的必经之路。”

　　零信任文件三件套的主要内容

　　联邦零信任战略

　　1.战略目的

　　《联邦政府零信任战略》的目的是将政府机构的企业安全架构迁移到零信任架构。通过制定机构必须采取的初始步骤，将所有联邦机构置于一个共同的路线图上，以实现其向着高度成熟的零信任架构发展。该战略设想的联邦零信任架构包括：支持跨联邦机构的强大身份相关实践；依赖加密和应用程序测试取代外围安全；识别政府的每一个设备和资源；支持安全动作的智能自动化；支持安全、稳健地使用云服务。

　　联邦政府首席信息官Clare Martorana在今年9月7日发布的一份声明中对零信任架构做出进一步解释：“永不信任，始终验证。今天的零信任声明是在向联邦政府各级机构传达出明确信息，即不要默认信任网络边界内外的任何对象。”各级机构已经得到授权，可以制定计划以实施满足行政令要求的零信任架构。如今有了新的指南与参考架构，管理与预算办公室要求各机构将新的可交付成果纳入计划当中。

　　2. 五大支柱目标

　　该战略要求，各级机构在2024年9月底之前实现五大支柱目标，详见附录。

　　身份：机构工作人员应使用内部身份访问自己在工作中使用的应用程序。反网络钓鱼多因素验证则可保护这些雇员免受复杂在线攻击的影响。

　　设备：联邦政府拥有其运营并授权供各级部门使用的每台设备的完整清单，可随时检测并响应设备上发生的安全事件。

　　网络：各级机构应在环境中加密所有DNS请求与HTTP流量，并围绕应用程序进行网络分段。联邦政府办公室确定了可用于电子邮件传输加密的方案选项。

　　应用：机构将一切应用程序视为接入互联网的应用程序，定期对应用进行严格测试，并欢迎各类外部漏洞评估报告。

　　数据：各机构在对数据进行彻底分类并加以保护方面采取统一和清晰的共享路径。各级机构应使用云安全服务以监控对自身敏感数据的访问，并实现业务范围之内的日志记录与信息共享。

　　零信任成熟度模型

　　美国网络与基础设施安全局于今年6月份拟制《零信任成熟度模型》，最初是在政府机构内分发，9月7日公开发布并广泛征求反馈意见。零信任成熟度模型包括5个支柱：身份、设备、网络/环境、应用程序、数据。

　　成熟度模型同管理与预算办公室在备忘录中提出的五项目标保持一致，并提供了希望获得完善零信任架构的组织所应具备的工具和程序。这套模型还针对各个重点领域探讨了如何适应“传统”、“高级”、“最佳”等零信任环境的细分议题。

　　在整个网络体系内全面采用零信任安全，无疑要求各级机构以协调的方式配置系统并配合统一的安全工具以实现顺畅运作。为此，该文件提出，“联邦政府网络安全的现代化努力，将要求各级机构将以往相互隔离的孤岛式IT服务及雇员转化为零信任战略中能够动员起来、而且相互协同的组成单元。”

　　网络与基础设施安全局长Jen Easterly指出，成熟度模型只是该局为了帮助政府改善其网络安全状况而开发出的工具之一：“除此之外，我局还与美国数字服务与联邦风险及授权管理计划开展合作，共同编写出云安全技术参考架构，用于指导机构的云安全迁移工作。”她解释道，“通过强大的合作关系与持续努力，我局将不断开发出新的创新方法以保护持续变化的网络边界，推动联邦政府实现至关重要的IT现代化目标”。

　　云安全技术参考架构

　　该文件指导机构如何安全进行云迁移，解释了共享服务、云迁移和云安全态势管理的考虑。

　　拜登政府全面推进零信任落地

　　拜登政府认为，美国政府网络面临日渐严峻的网络威胁态势，网络攻击正不断损害美国的经济和安全，因此拜登政府在今年5月出台了第14028号行政命令《提升美国网络安全》（EO 14028：Improving the Nation's Cybersecurity），明确指示联邦政府各机构引入零信任。通过全面的网络安全建设落实基线安全实践，将联邦政府网络升级为“零信任”架构，在处置云基础设施相关风险的同时实现其安全效益。

　　2020年8月，美国国家标准与技术研究院NIST发布了零信任架构《SP800-207:Zero Trust Architecture》正式版。

　　2021年2月，美国国家安全局（NSA）发布关于零信任安全模型的指南《拥抱零信任安全模型》（Embracing a Zero Trust Security Model），强烈建议国家安全系统（NSS）内的所有关键网络、国防部（DoD）的关键网络、国防工业基础（DIB）关键网络和系统考虑零信任安全模型。

　　2021年5月，美国防信息系统局（DISA）在其官网公开发布《国防部零信任参考架构》，旨在为国防部增强网络安全并在数字战场上保持信息优势。

　　附录 五大支柱目标

　　支柱目标1：身份

　　（1）愿景

　　机构工作人员使用企业范围的身份，来访问他们在工作中使用的应用程序。防网络钓鱼MFA可保护这些人员免受复杂的在线攻击。

　　（2）行动

　　机构必须为机构用户建立单点登录 （SSO） 服务，该服务可以集成到应用程序和通用平台（包括云服务）中。

　　机构必须在应用程序级别实施 MFA，并在可行的情况下使用企业 SSO。

　　对于机构工作人员、承包商和合作伙伴：防钓鱼MFA是必须的。

　　对于公共用户：防钓鱼MFA必须是一个选项。

　　机构必须采用安全的口令策略，并根据已知泄露的数据检查口令。

　　CISA 将为机构提供一项或多项可以私下检查口令的服务，而不会暴露这些口令。

　　（3）关键举措

　　1. 企业范围的身份

　　2. 多因素认证，抵御网络钓鱼

　　3.面向公众的身份验证

　　4. 使用强口令策略

　　支柱目标2：设备

　　（1）愿景

　　联邦政府拥有它运行和授权用于政府工作的每台设备的完整清单，并且可以检测和响应这些设备上的事件。

　　（2）行动

　　机构必须参与 CISA 的持续诊断和缓解（CDM） 计划。

　　CISA 将 CDM 计划以最小特权原则为基础，并优先考虑在基于云的基础设施中的有效运行。

　　机构必须确保每个人工操作的企业配置设备，都有机构选择的端点检测和响应 （EDR） 工具。

　　CISA 将与机构合作，填补 EDR 覆盖范围的空白。

　　机构必须向 CISA 提供对 EDR 数据的持续访问。

　　（3）关键举措

　　盘点资产

　　政府范围的EDR（端点检测和响应）

　　支柱目标3：网络

　　（1）愿景

　　机构在其环境中加密所有 DNS 请求和 HTTP 流量，并开始围绕其应用程序对网络进行分段。联邦政府确定了对传输中的电子邮件进行加密的可行途径。

　　（2）行动

　　在技术支持的任何地方，机构都必须使用加密的 DNS 来解析 DNS 查询。

　　CISA 的保护性 DNS 程序，将支持加密的 DNS 请求。

　　机构必须对其环境中的所有 Web 和应用程序接口 （API） 流量，强制实施 HTTPS。

　　CISA 将与机构合作，将他们的 .gov 域“预加载”到网络浏览器中，使其只能通过 HTTPS 访问。

　　CISA 将与联邦风险和授权管理计划（FedRAMP）合作，评估MTA-STS作为加密电子邮件的可行的政府范围内解决方案，并向 OMB 提出建议。

　　机构必须与CISA 协商制定网络分段计划并将其提交给 OMB。

　　（3）关键举措

　　加密 DNS 流量

　　加密 HTTP 流量

　　加密电子邮件流量

　　围绕应用程序分段网络

　　支柱目标4：应用

　　（1）愿景

　　机构将他们的应用程序视为连接到互联网，定期对其进行严格的实证测试，并欢迎外部漏洞报告。

　　（2）行动

　　机构必须运行专门的应用程序安全测试程序。

　　机构必须利用专门从事应用程序安全的高质量公司，进行独立的第三方评估。

　　CISA 和 GSA 将共同努力，使此类公司可用于快速采购。

　　机构必须维持有效且受欢迎的公开漏洞披露计划。

　　CISA 将提供一个漏洞披露平台，使机构系统所有者可以轻松地直接接收报告并与安全研究人员接触。

　　机构必须确定至少一个面向内部的联邦信息安全管理法案 （FISMA ）中级应用程序，并使用企业 SSO 使其可通过公共互联网访问。

　　CISA 和美国总务署（GSA）将共同努力，为机构提供有关其在线应用程序和其他资产的数据。

　　机构必须向CISA和GSA 提供他们使用的任何非 .gov 主机名。

　　（3）关键举措

　　应用安全测试

　　容易获得的第三方测试

　　欢迎应用漏洞报告

　　安全地使应用程序可访问互联网

　　发现可上网的应用程序

　　支柱目标5：数据

　　（1）愿景

　　机构在部署利用彻底数据分类的保护方面有一条清晰、共享的路径。机构利用云安全服务和工具来发现、分类和保护他们的敏感数据，并实现了企业范围的日志记录和信息共享。

　　（2）行动

　　OMB 将与联邦首席数据官和首席信息安全官合作，制定零信任数据安全策略和相关的实践社区。

　　机构必须对数据分类和安全响应进行一些初始自动化，重点是标记和管理对敏感文档的访问。

　　机构必须审计对商业云基础设施中任何静态加密数据的访问。

　　机构必须与CISA合作实施全面的日志记录和信息共享功能，如OMB 备忘录M-21-31中所述。

　　（3）关键举措

　　联邦数据安全策略

　　自动化安全响应

　　审计对云中敏感数据的访问

　　及时获取日志。