4 月 22 日,美國國防部資訊長(Chief Information Officer)薛爾曼(John Sherman)宣布:美國國防部將會推出一個2021零信任戰略(Zero Trust Architecture Strategy 2021)。薛爾曼特別強調,「這是純粹的戰略問題。」
什麼是零信任?
根據《數位科技洞察室》的官方介紹,零信任全名為零信任安全模型(zero trust security model),其他常見的名稱還有零信任架構(zero trust architecture, ZTA)、零信任網路架構 (zero trust network architecture, ZTNA)等等,有時也用 perimeterless security 一詞代表。
零信任的 「零」一字代表著完全不信任,正因為不給予任何信任,所以每個環節都會進行驗證,所有驗證都通過才放行,對比現在給予較大權限去信任的資安架構更加安全。
而美國軍方這次把重點放在「戰略」,之前重視零信任模型的主要是美國軍方執行者,分別為美國國防通訊局(Defense Information Systems Agency)和美國國家安全局(National Security Agency)的下級單位。但決策者為國防部資訊長,所以這次是美軍決策圈的表態。
這次美軍並沒有透露太多關於戰略的細節,但薛爾曼強調,零信任可以有效改善美國國防部的網路安全,這項戰略可以改變國防部建立安全態勢的方法,也就是以零信任原則組織網路為主,把網路分段,並限制使用者只能訪問他們所需要的數據。
目前美方的安全專家還不清楚零信任到底能不能抵擋來自俄羅斯和中國駭客的攻擊,但至少可以確定(希望)的是,俄中駭客將無法橫向移動訪問數據庫或長期隱形。雖然美國國防部目前已制定了「縱深防禦」策略,但薛爾曼強調,全面實施技術、文化、戰略上的變革是目前網路安全的當務之急。
薛爾曼同時強調,網路分段以及限制橫向移動是零信任戰略的主要關鍵。
美國國防通訊局(DISA)計劃在今年發表零信任戰略參考建議。這份參考建議由國防通訊局、國家安全局、美國網路司令部和私營單位之間合作推出,並將為美軍整個資訊體系提供網路戰略框架。
4 月 14 日,一位高階美軍資訊官對國會表示,國防部的最高資訊部門正在考慮建立一個投資組合管理辦公室(portfolio management office),以便加速採用零信任網路安全架構這個計劃。
資料來源:
2021/04/20 Help Net Security Approaching zero trust security strategically
2021/03/31 數位科技洞察室 新世代資安概念:零信任安全模型介紹(Zero Trust)
U.S. Army Chief Information Officer