美国国家零信任架构的分析

美国在今年10月再次迎来了国家网络安全意识月。虽然这种努力在传统上是以消费者和企业为目标，但美国政府对网络安全意识有着独特的兴趣。

网络安全意识月的第一周的主题是呼吁个人和企业加入“BeCyberSmart”活动，强调采用最佳安全措施，同时关注总体网络安全，以有效保护个人和公司数据。这包括使用多因素身份验证、备份数据和更新软件。

这些基本实践只是更大的零信任安全模型的一小部分，该模型基于“从不信任，总是验证”、多因素身份验证、最低特权访问和微分段等概念。

零信任安全模型已经存在了10多年的时间，但直到最近才得到广泛采用。随着如今基于边界的网络安全解决方案不断面临失败，并出现有关数据泄露和勒索软件攻击的新闻报道，零信任安全继续获得了人们的关注。

美国政府的零信任战略

美国管理和预算办公室最近发布的联邦零信任战略、美国网络安全和基础设施安全局(CISA)的零信任成熟度模型和云安全技术参考架构文件代表了美国政府提高网络防御能力的重要一步。根据美国“改善国家网络安全”的14028号行政命令，这些参考模型和指导草案的发布帮助政府机构加快向更安全、基于零信任的网络安全方法过渡。

让美国政府过渡到基于零信任安全的模式是一项艰巨的任务，需要仔细的规划、可观的资源和多年、多阶段、具体机构的实施计划。对于运营数千个网络、数万个系统和应用程序并在全球部署数十万用户和设备的大型政府机构(如美国国防部)来说，零信任在其组织范围的全面推出可能需要10年或更长时间。尽管如此，身份、数据和网络安全等领域的重大安全改进可以在短短几年内实现。

克服国家零信任的担忧和障碍

受影响的政府机构的首席信息官将面临的两大挑战是政府强制采用零信任及其加速的时间表是预算和资源。美国管理和预算办公室、美国网络安全和基础设施安全局(CISA)和美国国家标准与技术研究所(NIST)只提供了启动所需的框架和零信任架构。它仍然是由个别机构预算的零信任模型实现，构建当前IT环境符合NIST的零信任型架构，确定必要的内部和外部人才，选择相关零信任型技术和供应商，重新认证其系统，重新培训员工。

为了帮助政府和商业客户加快采用零信任的进程，并更好地管理相关的零信任迁移风险，有必要采用一种基于平台的零信任方法。利用NIST ZTA标准兼容平台可以促进互操作性和可扩展性。它还避免了供应商锁定，允许企业在他们目前可能有最高暴露风险的领域开始零信任之旅，例如网络、身份和访问管理。

一旦解决了最初关注的领域，就可以解决其他零信任关注的领域，如数据、工作负载和设备。制定零信任战略、进行零信任成熟度和差距评估，以及创建分阶段实施计划是成功部署零信任的关键。

零信任的未来发展

量子霸权指的是量子计算机在合理的时间内可靠地完成计算机无法完成的事情，例如在更短的时间内破解广泛使用的非对称加密算法。这对全球商业、企业、消费者和国家安全构成了独特的风险，因为它有效地使许多优秀的数据安全和安全通信技术变得无用。

为量子日的到来做准备可能依赖于零信任战略，因为各国都在努力准备应对伴随着这些计算技术进步而不可避免的网络风险。虽然这种情况预计在未来5到10年内不会到来，但准备工作需要立即采取行动。

零信任的原则很简单：不要信任任何人，即使是企业自己的员工，因为员工可能恶意或无知地使企业的数据易受攻击，一旦遭到网络攻击就可访问。企业可能需要数年时间才能真正实现全面、多层次的零信任安全性，所以与其等到来不及补救，不如现在就开始。

随着个人、企业和联邦机构迎接网络安全意识月的到来，实现“零信任”无疑将不仅是每年10月的首要任务，而且是每一天的首要任务。