為提高網絡安全性 美國防創新委員會敦促國防部實施零信任架構_風聞

美國防創新委員會（DIB）近日通過**《通往零信任安全之路》**白皮書，敦促軍方儘快實施零信任架構（ZTA）。白皮書描述了零信任安全架構所涉及的內容，對傳統邊界安全架構與零信任安全架構進行對比，探討國防部如何實施該技術，並提出一系列問題以瞭解技術實施是否有效。

一、背景

國防部網絡安全形勢正處於關鍵時刻，網絡規模和複雜性都在不斷增長，需要進行大量的快速數據傳輸，以保持對網絡和物理戰場的態勢感知能力。隨着越來越多的用户和終端接入網絡，網絡攻擊面增加，現有網絡安全設備正面臨嚴峻考驗。商業部門也面臨着同樣的挑戰，公司內部網絡不斷與其他網絡建立新的連接，由此引入了新的漏洞。因此，政府和商業部門正在重新評估目前基於“邊界”的網絡安全架構，並正在考慮採用零信任新架構以提高網絡安全性。

▲ 2019年3月21日，國防創新委員會成員尼爾·德格拉斯·泰森在華盛頓國防大學創新委員會季度會議上發表講話。

二、傳統邊界安全架構與零信任安全架構

基於邊界的安全架構通過對網絡上所有入口和出口點的訪問進行控制來保證網絡安全。白皮書指出國防部依賴於基於邊界的網絡安全方法，即一旦用户接入網絡，通常可以訪問網絡上的大部分內容，即使這些內容與其工作無關。零信任架構是另一個安全概念，其中心思想是不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入系統的人/事/物進行驗證。零信任架構要求在應用或服務對用户及其設備進行身份驗證，目標在於確保用户只能訪問其真正需要的東西。隨着網絡攻擊日益複雜和激烈，傳統的基於邊界的安全已遠遠不夠，不再適應現有網絡安全形勢。而零信任網絡意味着“網絡內部沒有信任”，“網絡將被攻破”。這意味着用户或設備試圖訪問信息時，都要經過信息訪問權限驗證，這也要求對靜態和傳輸中的數據進行加密。

三、零信任架構的實施

零信任架構包括三個基本步驟（適用於網絡中的應用和服務層）：一是驗證用户（身份驗證）；二是驗證設備（設備認證）；三是驗證訪問權限（授權）。白皮書指出，國防部已準備實施零信任架構，雖然國防機構孤立的網絡系統可能會導致許多現代化問題，但仍能夠保證零信任架構的實施。零信任方案可以在單個組織或跨組織應用中啓用，並要求與該組織或應用交互的所有用户和設備達到安全合規性，並進行身份驗證和授權。

來源 ：美國聯邦政府科技新聞網站fedscoop/圖片來自互聯網

軍事科學院軍事科學信息研究中心  吳海

本文經授權轉發自軍事科學院旗下“國防科技要聞”微信公眾號，供參考借鑑，不代表戰略學人觀點****。****