《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 美國聯(lián)邦政府如何構建現(xiàn)代化網(wǎng)絡安全防護體系?

美國聯(lián)邦政府如何構建現(xiàn)代化網(wǎng)絡安全防護體系?

2021-03-18
來源: 互聯(lián)網(wǎng)安全內參

  隨著美國聯(lián)邦各機構在世界各地工作環(huán)境實現(xiàn)網(wǎng)絡現(xiàn)代化,必須淘汰傳統(tǒng)的本地“城堡+護城河”安全模式。因此,需要采用現(xiàn)代化的安全方法來保護混合及多云架構,并保護現(xiàn)代網(wǎng)絡。

  傳統(tǒng)上我們將網(wǎng)絡流量標記為東西向或南北向,但隨著越來越多的政府用戶通過網(wǎng)絡邊界之外的設備進行連接,這一做法已經(jīng)不再適用。沿用了長達20年之久的網(wǎng)絡流量流向概念已成過眼云煙。

  為了轉向支持管理和保護任意方向的流量,TIC(可信互聯(lián)網(wǎng)接口)指南為各機構提供了必要的靈活性,以使其從傳統(tǒng)的遠程工作安全解決方案(如VPN),轉向支持復雜的混合或多云環(huán)境的可擴展網(wǎng)絡基礎設施。

  當美國聯(lián)邦IT和網(wǎng)絡安全領導調整其網(wǎng)絡架構時,應遵循TIC 3.0指南,并重新調整其安全態(tài)勢,將重點放在保護任意地點的用戶和數(shù)據(jù)流量上,而不是僅僅保護某些特定的網(wǎng)絡位置。

  安全性:使用零信任來緩解威脅

  為了使員工在任意地點工作時基礎設施都能得到保護,機構需要使用零信任模型。零信任意味著機構根本不信任任何用戶。IT團隊需要為處于任意位置、使用任意設備的用戶授予安全訪問權限。

  “零信任不僅僅是一種架構,這一點必須時刻牢記。零信任是一種哲學理念,也是一種需要整個組織接納的文化變革?!?Sean Connelly(TIC項目經(jīng)理兼高級網(wǎng)絡安全架構師,CISA)在12月的一次活動中表示。

  請注意,隨著時間的推移,信任會逐漸瓦解,必須通過算法和模型不斷對其進行重新評估。為此,各機構應選用一個健壯的身份和訪問管理解決方案。然后,通過網(wǎng)絡分析、遙測以及外部情報來建立訪問控制。

  在開發(fā)零信任用例時,各機構應繼續(xù)參考TIC 3.0和NIST零信任架構指南。TIC 3.0指南可幫助各機構建立可信區(qū),以保護具有相似保護需求的網(wǎng)絡組件,例如:云容器、辦公位置、應用程序、端點或用戶身份。

  通過可信區(qū),各機構可以阻止橫向流量,同時零信任則用來保護同一可信區(qū)內部以及多個可信區(qū)之間的訪問安全。這種組合對于各機構來說都至關重要,它們可以在通過零信任授予訪問權限之前先驗證用戶身份,并減少可信區(qū)的大小以保護內嵌計算資源的安全性,從而限制機構的攻擊面。

  對于可信區(qū)和零信任,并不存在適合所有機構、放之四海而皆準的解決方案,但聯(lián)邦IT領導應該綜合考慮他們的可信區(qū)規(guī)模、數(shù)量、分類、組成和通信,以開發(fā)一個定制化的安全方案來滿足機構的使命需要。

  靈活性:適應復雜架構的現(xiàn)代安全性

  為了向機構提供必要的靈活性,之前版本的TIC依賴額外的企業(yè)級防火墻、Web代理、檢測傳感器和其他邊界防御機制?,F(xiàn)如今,由于員工在遠程或混合環(huán)境中工作,且各機構都遵循現(xiàn)代化的TIC 3.0指南,可以將安全防護手段放置在更接近資源本身的地方,使一切都匯集于一個接入點上。

  此外,由于數(shù)據(jù)在云中產生,除非將其從初始位置移出,否則數(shù)據(jù)會逐漸積累質量和重力。為確保接入點的安全,并適應這種“數(shù)據(jù)重力”(Data Gravity),各機構應采用安全訪問服務邊緣(SASE)安全模型。

  遵循SASE模型,各機構可以減少數(shù)據(jù)重力并顛覆傳統(tǒng)安全模式,將必要的安全功能轉移到云端,以便用戶可以從任何地點訪問數(shù)據(jù)和網(wǎng)絡,同時將安全功能盡可能地靠近用戶/設備/數(shù)據(jù)所在的位置。通過SASE模型,CISA顛覆了諸多服務,例如“持續(xù)診斷和緩解”項目,該項目在數(shù)據(jù)產生的位置進行保護,此外美國聯(lián)邦總務署也以這種方式調整了其企業(yè)基礎架構解決方案的模型。

  展望未來

  今年,CISA計劃發(fā)布更多的用例--包括美國行政管理和預算局M-19-26文件指定的云、分支機構、遠程辦公用例,以及關于零信任、物聯(lián)網(wǎng)、合作伙伴網(wǎng)絡和美國聯(lián)邦總務署(GSA)的企業(yè)基礎設施解決方案(EIS)等潛在的用例。此外,還包括關于Web應用程序接口(API)的指南。

  展望未來,政府網(wǎng)絡管理者應繼續(xù)將安全性與用戶和數(shù)據(jù)結合起來。為了推陳布新,取得實質性進展,各機構需要開展試點項目并獲得資金支持。

  隨著每次攻擊的發(fā)生,敵方會變得越來越聰明,也越來越狡猾。針對 SolarWinds IT 管理軟件漏洞的供應鏈攻擊已影響超過18000個公共和私營機構組織,這凸顯了依賴傳統(tǒng)安全方法部署現(xiàn)代數(shù)字服務時可能會帶來的相關風險。唯一可行的保護方法是縱深防御,包括零信任、安全訪問服務邊緣和云工作負載保護。確保您的合作伙伴具有靈活性,可以即時做出反應并采取對策,在需要時提高多層安全平臺的覆蓋范圍。

  作為一個社區(qū),如果我們想為未來可能會發(fā)生的事情做好準備,那么第一要務便是關注現(xiàn)代化這個需求。


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。