零信任架构在联邦政府的成功实施

关键要点

• 实施零信任架构不仅仅是购置新硬件和软件，还需克服预算、官僚及文化等多重障碍。
• 政府机构在推动零信任措施方面已有初步进展，约90%的联邦终端已被识别。
• 报告强调了实施过程中面临的挑战，包括加密、多因素认证和日志记录的不足。
• 资金和资源的合理分配至关重要，需要对已有技术进行替代和升级。

联邦政府在成功实施零信任架构方面的努力表明，这一过程需“超越硬件与软件的采购”，并需要克服多个预算、官僚和文化障碍。这是国家安全智库在一份周三发布的报告中得出的结论。

据美国官员称，文职机构在满足拜登政府关于零信任架构的要求方面已有相当的早期进展，这些要求源自第14028号行政命令和过去两年的其他指令。网络安全和基础设施安全局（CISA）局长珍·伊斯特利（JenEasterly）表示，大约90%的联邦政府终端已经被识别。另外，执行主任埃里克·戈德斯坦（EricGoldstein）上个月提到，针对26个机构正在部署终端检测和响应技术，计划到本财年末在至少53个机构（即联邦文职政府的一半）开展相关工作，并“每个能够实施的机构”都已建立了多因素认证协议。

本周，发布的报告详细分析了这一庞大努力所面临的实施挑战，包括加密、多因素认证和日志记录等方面的要求，这些措施早应得到落实。

“正确的时间早该是在八年或十年前，但第二好的时间就是现在，所以我认为我们必须开始这一工作。”——迈克尔·丹尼尔（Michael
Daniel），前白宫网络协调人。

好的意图无法弥补执行的不足

这项研究由三位在联邦网络安全机构内有初手经验的成员领导：苏珊·斯波尔丁（Suzanne Spaulding）、詹姆斯·刘易斯（JamesLewis）和艾米莉·哈丁（EmilyHarding）。他们的经历为报告的一些结论提供了可靠性，报告更关注于实施零信任所面临的众多官僚和遗留技术问题，而非政府决定采用零信任的必要性。

“我们都是前美国政府官员，因此我们都知道，良好的意图可能会被执行中的困难所淹没。”——艾米莉·哈丁（Emily Harding）。

例如，网络安全行政命令14028要求机构在第三方合同中添加新的条款，强制收集和保存有关网络安全数据的信息，特别是关于监控威胁和从数据泄露中获得的事件响应数据。尽管联邦政府及其承包商普遍对提高标准和改善沟通有共识，但供应商在过去对向政府提供这类数据时通常持保留态度。

“这些数据共享要求在行业内往往不受欢迎，因为它们被视为负担，可能会揭示商业公司不希望向政府披露的漏洞，而这些漏洞公司自身也可能并不知晓。”报告作者指出：“这些步骤对于向零信任转型至关重要，但政府需要提前预见并制定政策和法规，以进一步缓解这些担忧并激励信息共享。”

为了支持这一转型以及CISA、管理和预算办公室、国家网络主任办公室等机构的协调工作，相关资金并不便宜。以补充CISA的25亿美元预算，作为对这一努力的预付款。

不出所料，报告发现，在联邦政府构建现代零信任安全架构的过程中，需要持久的努力来淘汰他们依赖数十年的旧技术和软件系统。以往的尝试显示出一些基础性的差距，如识别所有运行脆弱Windows7操作系统的设备和进行资产