CISA发布云安全技术参考架构和零信任成熟度模型公开征求意见

发布时间：2021-09-10 12:16:29来源：E安全

前情提要

9月7日，美国管理与预算办公室发布了《联邦零信任战略》，网络安全与基础设施安全局发布了《零信任成熟度模型》、《云安全技术参考架构》公开征集意见；

这些文件共同组成联邦各级机构的网络安全架构路线图，要求在2024财年末完全部署到位。

具体内容

网络安全和基础设施安全局(CISA)发布了云安全技术参考架构(TRA)和零信任成熟度模型以征询公众意见。随着联邦政府继续扩展到传统网络边界之外，机构围绕云安全和零信任实施数据保护措施至关重要。

TRA旨在通过解释共享服务、云迁移和云安全状态管理的注意事项来指导机构安全迁移到云。CISA的零信任成熟度模型可帮助机构制定零信任战略和实施计划，并展示各种CISA服务可以支持跨机构零信任解决方案的方式。

根据第14028号行政命令“改善国家网络安全”，CISA与美国数字服务(USDS)和联邦风险和授权管理计划(FedRAMP)合作开发了云安全TRA。CISA正在发布该文件以征询公众意见，以收集来自机构、行业和学术界的重要反馈，以扩大这种合作，以确保该指南完全解决安全云迁移的注意事项。

CISA于6月起草了零信任成熟度模型，以协助机构遵守行政命令。该机构表示，虽然最初分发仅限于机构，但CISA很高兴发布成熟度模型以征求公众意见。

“拜登总统的网络行政命令概述了保护联邦政府网络安全所需的关键步骤，而CISA则专注于完成所需的任务等，”CISA网络安全执行助理主任埃里克·戈德斯坦(EricGoldstein)说。“为了满足机构的需求，我们与USDS和FedRAMP协调起草了零信任成熟度模型和云安全TRA。我们现在正在征求公众意见，以确保我们推荐的云技术现代化和零信任工作分别实现最佳可见性、灵活性和安全性。”

CISA将与利益相关者合作，评估宝贵的反馈意见，并在意见征询期结束后制作每份指导文件的新版本。

该办公室在文件中要求，各级机构在2024年9月底之前实现五大“具体零信任安全目标”，并确保将这些目标添加至机构实施计划当中：

身份：机构工作人员应使用内部身份访问自己在工作中使用的应用程序。反网络钓鱼多因素验证则可保护这些雇员免受复杂在线攻击的影响。

设备：联邦政府拥有其运营并授权供各级部门使用的每台设备的完整清单，可随时检测并响应设备上发生的安全事件。

网络：各级机构应在环境中加密所有DNS请求与HTTP流量，并围绕应用程序进行网络分段。联邦政府确定办公室了可用于电子邮件传输加密的方案选项。

应用：机构将一切应用程序视为接入互联网的应用程序，定期对应用进行严格测试，并欢迎各类外部漏洞评估报告。

数据：各机构在对数据进行彻底分类并加以保护方面采取统一的清晰、共享路径。各级机构应使用云安全服务以监控对自身敏感数据的访问，并实现业务范围之内的日志记录与信息共享。

公众意见征询期从今天开始，定于2021年10月1日星期五结束。在意见征询期内，公众可以通过电子邮件提供意见和反馈。审稿人可以向tic@cisa.dhs.gov提交他们的意见和反馈。

E起赢福利

推荐阅读：

注：本文由E安全编译报道。