全文约 4000 字 6 图表 阅读约 8 分钟
本文主要从 美国联邦 政府 (也包含 美国国防部 )的角度,看看 零信任 的进展。两份 2020年 的调查报告显示,近一半 的美国 联邦机构 决策者和 大中型企业 管理者,高度认同零信任的价值。而站在2021年的起点, 很容易得到一个结论: 零信任正在 席卷 美国 联邦政府 。
从积极的角度看 , 美国联邦政府 已经取得了显著的网络安全成果。通过 从 安全 合规 转变为 态势感知 ,其网络安全等级上升了一个台阶 (即FITARA记分卡的网络安全等级,在两年内提高了 一个字母 )。
从消极的角度看 , SolarWinds 复杂网络攻击事件仍表明, 美国联邦政府 的网络安全还有极大提升空间。显然,这又为美国联邦政府加速向 零信任 迈进,提供了足够理由。
简言之,对于 美国联邦政府网络安全 而言,如果说, 过去两年 的提升主要来自 态势感知 ,那么可以预计, 未来 两年 的提升将主要来自 零信任 。
如果这个逻辑成立的话,广义态势感知+零信任,或许能组合出比较完美的 安全大脑 。
1) 针对 联邦政府 的零信任调研报告
3)零信任 供应商
"近年来, 网络安全 无疑得到了改善。"
"当然,每个人都知道 对手 也在不断发展, 威胁 变得越来越复杂。"
"由于 CIO已从单纯的 合规性 转变为 态势感知 ,并且 零信任 安全架构已变得“ 实用 ” ,因此 FITARA记分卡的平均 网络 等级,在两年内已提高了超过整整一个字母 。"
FITARA( 联邦IT购置改革法案 ) 记分卡 :被美国 众议院监督和改革委员会 (House Oversight and Reform Committee)用于 衡量美国联邦机构 的 数字 卫生 和 IT 改革法律 的 合规性 。
评分范围
:被称为"首席财务官法案机构"的
24个
联邦
机构
。
评分等级 :评分按照字母顺序分为 5级:A/B/C/D/F (注意没有E) 。
评分频率 : 每半年 评估一次。
联邦机构的评分等级 总体 保持稳定 。
24个联邦机构 中,有16个保持原有等级,3个提高等级,5个降级。
没有一家机构达到A级。
图1-24个联邦机构的评分(2020年12月)
图2- FITARA七个关键领域之评分
机构CIO权威增强(增量开发);
透明度和风险管理(OMB的IT仪表板);
投资组合审查(PortfolioStat);
数据中心优化计划(DCOI);
软件许可(FITARA和MEGABYTE);
政府技术现代化(MGT法案);
网络空间(FISMA) 。
图3- FITARA历史评分
评分因素1(即图中第2列):各机构 督察长 ( IG ,Inspectors General)网络安全目标的评估;
评分因素2(即图中第3列): 跨机构优先权 ( CAP ,cross-agency priority)网络安全目标的评估;
FISMA评分 组合了上述两个因素,两个权重 各占一半 。
例如,如果一个机构的平均IG评估是5分之2.4(48%评级为F),同时该机构满足所有10个CAP目标指标(100%评级为A)。则A和F的平均值为C。
当然一方面是因为其 FISMA评分 被记为0,拉低了整体 FITARA评分 ;
另一方面也客观反映了 国防部IT问题的严重程度 ,所以也 解释了为什么国防部要大张旗鼓地搞 IT现代化 ,甚至推动 DMS (数字现代化战略) 。
我们看看2020年以来,零信任对
美国联邦政府
和
大中型企业
的影响力。两份调查报告显示,在2020年,
48%
的美国联邦机构决策者和
49%
的大中型企业管理者,高度认同零信任的价值。
2020年1月 ,FedScoop发布调研报告 《无边界安全: 政府 向以身份为中心的访问的转变》 。改报告对171位经过资格预审的 政府和行业IT决策者 进行了调查。主要 调查结论 是:
联邦机构 正在拥抱 采用零信任安全模式。
联邦机构在采用零信任方法方面取得的 进展参差不齐 。
大约一半( 48% ) 的联邦政府IT决策者表示,他们的机构正在逐步采取 以身份为中心 的方法,来保护对机构资源的访问。
而 十分之三 的政府答复者表示,他们的机构仍然严重依赖 传统边界防御 工具或策略。
接近半数 的企业依然处于零信任 调研或试点阶段 。
接受调查的参与者中有 49% (15%极度重要+34%非常重要) 认为零信任对其所在组织安全模型非常重要;
只有2%明确表示不重要。
图5-零信任对组织安全模型的重要程度
下面是
2019年8月
Forrester按照其
零信任扩展生态之七大支柱
而罗列的供应商:
图6-零信任扩展生态供应商一览(2019年8月)
ATARC目前有 两个零信任工作组 :联邦机构零信任工作组+供应商零信任工作组。
正在开发零信任 用例 :联邦机构零信任工作组 已经开发了一个 零信任架构 ,并正在使用该架构来定义 零信任用例 。
计划零信任工作组 合并 :一旦确定了零信任用例,ATARC则计划 将这两个零信任工作组进行合并。合并后的零信任工作组,将变得更加强大。
工作组合并之后的工作 :参与合作的超过 15家联邦机构 和 15家供应商 ,将可以开始零信任的 组织、构建、概念验证(POC) 等工作。