数据是新的安全边界。这一概念是美国行政部门一份关于各机构如何采用零信任网络安全实践的新文件的基础。
草案联邦零信任数据安全指南是一份 42 页的报告,告诉联邦机构如何定义和保护他们所持有的数据。超过 30 个联邦机构和部门参与了其开发。该指南附有 28 页的附录体积解决各机构如何在其业务中实施该指南的问题。
网络安全行政命令 14028引导向零信任的转变导致OMB M-22-09,关于“让美国政府走向零信任网络安全原则”。该备忘录要求联邦官员制定零信任数据安全指南。
该指南的发布恰逢 11 月 7 日联邦机构向国家网络主任办公室和管理和预算办公室提交零信任实施计划的最后期限之前。
新指南首先介绍了数据管理对零信任安全的重要性,并阐述了零信任数据安全原则。
指示联邦机构建立数据清单和数据目录。配套文档解释说,数据目录是一个独特的文档,可帮助用户查找特定的数据资产。
该指南还规定了基本的身份、凭证和访问管理 (ICAM) 实践,说明了持续监控、身份验证、身份联合和单点登录 (SSO) 系统的重要性。
基于用户的访问控制的重要性?解释了角色、属性和背景,并阐述了安全运营中心在漏洞监控和响应中的作用。
关于数据管理的部分尚未制定,并且是空白的。
ICAM 附录指出了 NIST 在 SP 800-63 中设置的身份保证级别 (IAL) 对于身份验证和确认的重要性。它还建议实施最小权限和行为分析以及自适应身份验证的原则。
由于担心代价高昂的数据泄露、深度造假和合成身份,零信任的采用正在加速,但是美国落后了根据 Ponemon 和 Entrust 今年早些时候发布的调查结果。
