為提高網路安全性 美國防創新委員會敦促國防部實施零信任架構
美國防創新委員會(DIB)近日通過《通往零信任安全之路》白皮書,敦促軍方儘快實施零信任架構(ZTA)。白皮書描述了零信任安全架構所涉及的內容,對傳統邊界安全架構與零信任安全架構進行對比,探討國防部如何實施該技術,並提出一系列問題以了解技術實施是否有效。
一、背景
國防部網路安全形勢正處於關鍵時刻,網路規模和複雜性都在不斷增長,需要進行大量的快速數據傳輸,以保持對網路和物理戰場的態勢感知能力。隨著越來越多的用戶和終端接入網路,網路攻擊面增加,現有網路安全設備正面臨嚴峻考驗。商業部門也面臨著同樣的挑戰,公司內部網路不斷與其他網路建立新的連接,由此引入了新的漏洞。因此,政府和商業部門正在重新評估目前基於「邊界」的網路安全架構,並正在考慮採用零信任新架構以提高網路安全性。
2019年3月21日,國防創新委員會成員尼爾·德格拉斯·泰森在華盛頓國防大學創新委員會季度會議上發表講話。
二、傳統邊界安全架構與零信任安全架構
基於邊界的安全架構通過對網路上所有入口和出口點的訪問進行控制來保證網路安全。白皮書指出國防部依賴於基於邊界的網路安全方法,即一旦用戶接入網路,通常可以訪問網路上的大部分內容,即使這些內容與其工作無關。零信任架構是另一個安全概念,其中心思想是不應自動信任內部或外部的任何人/事/物,應在授權前對任何試圖接入系統的人/事/物進行驗證。零信任架構要求在應用或服務對用戶及其設備進行身份驗證,目標在於確保用戶只能訪問其真正需要的東西。隨著網路攻擊日益複雜和激烈,傳統的基於邊界的安全已遠遠不夠,不再適應現有網路安全形勢。而零信任網路意味著「網路內部沒有信任」,「網路將被攻破」。這意味著用戶或設備試圖訪問信息時,都要經過信息訪問許可權驗證,這也要求對靜態和傳輸中的數據進行加密。
三、零信任架構的實施
零信任架構包括三個基本步驟(適用於網路中的應用和服務層):一是驗證用戶(身份驗證);二是驗證設備(設備認證);三是驗證訪問許可權(授權)。白皮書指出,國防部已準備實施零信任架構,雖然國防機構孤立的網路系統可能會導致許多現代化問題,但仍能夠保證零信任架構的實施。零信任方案可以在單個組織或跨組織應用中啟用,並要求與該組織或應用交互的所有用戶和設備達到安全合規性,並進行身份驗證和授權。
來源 :美國聯邦政府科技新聞網站fedscoop/圖片來自互聯網
軍事科學院軍事科學信息研究中心 吳海
如需轉載請註明出處:「國防科技要聞」(ID:CDSTIC)
TAG:國防科技要聞 |