隨著美國聯(lián)邦各機(jī)構(gòu)在世界各地工作環(huán)境實現(xiàn)網(wǎng)絡(luò)現(xiàn)代化，必須淘汰傳統(tǒng)的本地“城堡+護(hù)城河”安全模式。因此，需要采用現(xiàn)代化的安全方法來保護(hù)混合及多云架構(gòu)，并保護(hù)現(xiàn)代網(wǎng)絡(luò)。

　　傳統(tǒng)上我們將網(wǎng)絡(luò)流量標(biāo)記為東西向或南北向，但隨著越來越多的政府用戶通過網(wǎng)絡(luò)邊界之外的設(shè)備進(jìn)行連接，這一做法已經(jīng)不再適用。沿用了長達(dá)20年之久的網(wǎng)絡(luò)流量流向概念已成過眼云煙。

　　為了轉(zhuǎn)向支持管理和保護(hù)任意方向的流量，TIC（可信互聯(lián)網(wǎng)接口）指南為各機(jī)構(gòu)提供了必要的靈活性，以使其從傳統(tǒng)的遠(yuǎn)程工作安全解決方案（如VPN），轉(zhuǎn)向支持復(fù)雜的混合或多云環(huán)境的可擴(kuò)展網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

　　當(dāng)美國聯(lián)邦I(lǐng)T和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)調(diào)整其網(wǎng)絡(luò)架構(gòu)時，應(yīng)遵循TIC 3.0指南，并重新調(diào)整其安全態(tài)勢，將重點放在保護(hù)任意地點的用戶和數(shù)據(jù)流量上，而不是僅僅保護(hù)某些特定的網(wǎng)絡(luò)位置。

　　安全性：使用零信任來緩解威脅

　　為了使員工在任意地點工作時基礎(chǔ)設(shè)施都能得到保護(hù)，機(jī)構(gòu)需要使用零信任模型。零信任意味著機(jī)構(gòu)根本不信任任何用戶。IT團(tuán)隊需要為處于任意位置、使用任意設(shè)備的用戶授予安全訪問權(quán)限。

　　“零信任不僅僅是一種架構(gòu)，這一點必須時刻牢記。零信任是一種哲學(xué)理念，也是一種需要整個組織接納的文化變革?！?Sean Connelly（TIC項目經(jīng)理兼高級網(wǎng)絡(luò)安全架構(gòu)師，CISA）在12月的一次活動中表示。

　　請注意，隨著時間的推移，信任會逐漸瓦解，必須通過算法和模型不斷對其進(jìn)行重新評估。為此，各機(jī)構(gòu)應(yīng)選用一個健壯的身份和訪問管理解決方案。然后，通過網(wǎng)絡(luò)分析、遙測以及外部情報來建立訪問控制。

　　在開發(fā)零信任用例時，各機(jī)構(gòu)應(yīng)繼續(xù)參考TIC 3.0和NIST零信任架構(gòu)指南。TIC 3.0指南可幫助各機(jī)構(gòu)建立可信區(qū)，以保護(hù)具有相似保護(hù)需求的網(wǎng)絡(luò)組件，例如：云容器、辦公位置、應(yīng)用程序、端點或用戶身份。

　　通過可信區(qū)，各機(jī)構(gòu)可以阻止橫向流量，同時零信任則用來保護(hù)同一可信區(qū)內(nèi)部以及多個可信區(qū)之間的訪問安全。這種組合對于各機(jī)構(gòu)來說都至關(guān)重要，它們可以在通過零信任授予訪問權(quán)限之前先驗證用戶身份，并減少可信區(qū)的大小以保護(hù)內(nèi)嵌計算資源的安全性，從而限制機(jī)構(gòu)的攻擊面。

　　對于可信區(qū)和零信任，并不存在適合所有機(jī)構(gòu)、放之四海而皆準(zhǔn)的解決方案，但聯(lián)邦I(lǐng)T領(lǐng)導(dǎo)應(yīng)該綜合考慮他們的可信區(qū)規(guī)模、數(shù)量、分類、組成和通信，以開發(fā)一個定制化的安全方案來滿足機(jī)構(gòu)的使命需要。

　　靈活性：適應(yīng)復(fù)雜架構(gòu)的現(xiàn)代安全性

　　為了向機(jī)構(gòu)提供必要的靈活性，之前版本的TIC依賴額外的企業(yè)級防火墻、Web代理、檢測傳感器和其他邊界防御機(jī)制?，F(xiàn)如今，由于員工在遠(yuǎn)程或混合環(huán)境中工作，且各機(jī)構(gòu)都遵循現(xiàn)代化的TIC 3.0指南，可以將安全防護(hù)手段放置在更接近資源本身的地方，使一切都匯集于一個接入點上。

　　此外，由于數(shù)據(jù)在云中產(chǎn)生，除非將其從初始位置移出，否則數(shù)據(jù)會逐漸積累質(zhì)量和重力。為確保接入點的安全，并適應(yīng)這種“數(shù)據(jù)重力”（Data Gravity），各機(jī)構(gòu)應(yīng)采用安全訪問服務(wù)邊緣（SASE）安全模型。

　　遵循SASE模型，各機(jī)構(gòu)可以減少數(shù)據(jù)重力并顛覆傳統(tǒng)安全模式，將必要的安全功能轉(zhuǎn)移到云端，以便用戶可以從任何地點訪問數(shù)據(jù)和網(wǎng)絡(luò)，同時將安全功能盡可能地靠近用戶/設(shè)備/數(shù)據(jù)所在的位置。通過SASE模型，CISA顛覆了諸多服務(wù)，例如“持續(xù)診斷和緩解”項目，該項目在數(shù)據(jù)產(chǎn)生的位置進(jìn)行保護(hù)，此外美國聯(lián)邦總務(wù)署也以這種方式調(diào)整了其企業(yè)基礎(chǔ)架構(gòu)解決方案的模型。

　　展望未來

　　今年，CISA計劃發(fā)布更多的用例--包括美國行政管理和預(yù)算局M-19-26文件指定的云、分支機(jī)構(gòu)、遠(yuǎn)程辦公用例，以及關(guān)于零信任、物聯(lián)網(wǎng)、合作伙伴網(wǎng)絡(luò)和美國聯(lián)邦總務(wù)署（GSA）的企業(yè)基礎(chǔ)設(shè)施解決方案（EIS）等潛在的用例。此外，還包括關(guān)于Web應(yīng)用程序接口（API）的指南。

　　展望未來，政府網(wǎng)絡(luò)管理者應(yīng)繼續(xù)將安全性與用戶和數(shù)據(jù)結(jié)合起來。為了推陳布新，取得實質(zhì)性進(jìn)展，各機(jī)構(gòu)需要開展試點項目并獲得資金支持。

　　隨著每次攻擊的發(fā)生，敵方會變得越來越聰明，也越來越狡猾。針對 SolarWinds IT 管理軟件漏洞的供應(yīng)鏈攻擊已影響超過18000個公共和私營機(jī)構(gòu)組織，這凸顯了依賴傳統(tǒng)安全方法部署現(xiàn)代數(shù)字服務(wù)時可能會帶來的相關(guān)風(fēng)險。唯一可行的保護(hù)方法是縱深防御，包括零信任、安全訪問服務(wù)邊緣和云工作負(fù)載保護(hù)。確保您的合作伙伴具有靈活性，可以即時做出反應(yīng)并采取對策，在需要時提高多層安全平臺的覆蓋范圍。

　　作為一個社區(qū)，如果我們想為未來可能會發(fā)生的事情做好準(zhǔn)備，那么第一要務(wù)便是關(guān)注現(xiàn)代化這個需求。