美國管理和預算辦公室

郝志超1，張依夢2 譯

（1.中國電子科技集團公司第三十研究所，四川 成都 610041；2.中國電子科技網(wǎng)絡信息安全有限公司，四川 成都 610041）

0 引 言

美國聯(lián)邦政府的安全現(xiàn)代化需要整個政府的共同努力。2021年5月，美國總統(tǒng)拜登簽署了第14028 號行政命令《關于改善國家網(wǎng)絡安全》，該行政命令旨在政府范圍內啟動一項確保安全實踐的全面計劃，要求將政府安全架構遷移至零信任架構，實現(xiàn)基于云的基礎設施安全優(yōu)勢，以此降低相關網(wǎng)絡風險。

為了落實該行政命令，美國管理和預算辦公室（Office of Management and Budget，OMB）于2022年1月26日發(fā)布《聯(lián)邦零信任戰(zhàn)略》以推動聯(lián)邦機構采用安全架構適應零信任原則。隨后發(fā)布M-22-09 號備忘錄《推動美國政府走向零信任網(wǎng)絡安全原則》，該備忘錄提出了聯(lián)邦零信任架構（Zero Trust Architecture，ZTA）戰(zhàn)略，要求各機構在2024年前達到特定的網(wǎng)絡安全標準和目標，以加強政府抵御日益復雜、持續(xù)的網(wǎng)絡威脅活動的能力。

1 行動措施

該備忘錄要求聯(lián)邦機構在2024年前實現(xiàn)基于美國網(wǎng)絡安全和基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA）零信任成熟度模型的安全目標，零信任模型描述了5個工作支柱（身份、設備、網(wǎng)絡、應用程序和工作任務，以及數(shù)據(jù)）及3 個主題（可見性和分析、自動化和協(xié)同，以及治理）。此備忘錄提出的戰(zhàn)略目標與CISA 的5 個工作支柱保持一致，包括：（1）身份。各機構工作人員使用內部體系管理的身份來訪問工作中使用的應用程序?；诙嘁蛩厣矸菡J證的防釣魚措施能有效保護工作人員免受復雜的在線攻擊。（2）設備。聯(lián)邦政府擁有其運營和授權使用所有設備的完整清單，并且可以預防、檢測和響應這些設備上可能發(fā)生的攻擊事件。（3）網(wǎng)絡。各機構對其環(huán)境中的所有域名解析系統(tǒng)（Domain Name System，DNS）請求和超文本傳輸協(xié)議（Hyper Text Transfer Protocol，HTTP）流量進行加密，并執(zhí)行計劃將其邊界進行分解，使其成為隔離環(huán)境。（4）應用程序和工作任務。各機構將所有應用程序接入互聯(lián)網(wǎng)，定期對其應用程序進行嚴格測試，并歡迎外部提供漏洞評估報告。（5）數(shù)據(jù)。各機構應清楚如何利用全面數(shù)據(jù)分類來部署保護。各機構正在利用基于云安全服務的優(yōu)勢來監(jiān)控對有關敏感數(shù)據(jù)的訪問，并實施全局日志記錄和信息共享。

第14028 號行政命令要求各聯(lián)邦機構制定自己的零信任架構實施計劃，在本備忘錄發(fā)布60日內，各機構需要將該備忘錄確定的附加要求增加到制定的零信任架構實施計劃中，并向OMB、CISA 提交2022—2024 財年實施計劃和2024 財年估定預算，供OMB、CISA 審核批準。同時，各機構需在2022—2023年以內部籌集或其他籌集的方式（例如周轉資金或技術現(xiàn)代化基金）籌集資金，實現(xiàn)優(yōu)先目標。

各機構應在本備忘錄發(fā)布30日內確定零信任戰(zhàn)略實施負責人。OMB 將通過負責人進行政府范圍內的協(xié)調，并參與各機構內部的規(guī)劃和實施工作。

1.1 身份

（1）聯(lián)邦機構必須使用集中式身份管理系統(tǒng)，并將此系統(tǒng)整合至應用程序和通用平臺中。

聯(lián)邦政府必須改進其身份管理系統(tǒng)和訪問控制。各機構通過采用新的基礎設施和應用程序，確保用戶訪問信息的目的、時間的準確性，以全面了解用戶責任及權限，并通過用戶訪問系統(tǒng)時驗證其身份。這些基本要素將有利于機構建立基于風險的訪問系統(tǒng)，同時在機構內部實施強有力的認證，并將認證方式盡量融入至機構管理的身份認證系統(tǒng)中。

使用集中式身份管理系統(tǒng)提供身份認證和訪問管理服務，可以減少工作人員管理用戶賬戶和憑證的負擔，還提高了機構對用戶活動的了解，使各機構能夠更統(tǒng)一地執(zhí)行限制訪問的安全策略，并在需要時快速檢測出異常行為并對其采取行動。因此，各聯(lián)邦機構都應該支持設計良好的集中式身份管理系統(tǒng)，并將其整合到盡可能多的應用程序中。

機構身份管理系統(tǒng)必須與常見的應用程序和通用平臺兼容。同時，各機構身份管理系統(tǒng)應使用現(xiàn)代化、開放式的標準，以促進各機構與商用云服務的整合。為促進一致性和可審計性的身份管理，機構身份管理系統(tǒng)還應該支持通過非圖形用戶界面（如腳本和命令行工具）進行人工身份認證。

（2）聯(lián)邦機構必須使用多因素身份認證。

強有力的身份認證是零信任架構的必要組成部分，而多因素認證（Multi-Factor Authentication，MFA）是聯(lián)邦政府關鍵安全基線的重要組成部分。

各機構必須在涉及其工作人員、承包商和合作伙伴通過使用身份驗證訪問系統(tǒng)的應用程序中集成和執(zhí)行MFA。

MFA 應在應用層（例如身份認證服務）進行集成，而不是通過網(wǎng)絡層進行身份認證（例如虛擬專用網(wǎng)絡）。在成熟的零信任部署中，用戶只需要對應用程序進行嚴格認證，而不是對整個基礎網(wǎng)絡。

各機構必須要求用戶使用抗網(wǎng)絡釣魚攻擊的方法訪問托管賬戶，同時停止通過無法抵御網(wǎng)絡釣魚攻擊的認證方法（例如短信或語音通話注冊電話號碼、提供一次性代碼或接收推送通知）來進行日常自助訪問。對于多數(shù)機構，聯(lián)邦政府的個人身份驗證（Personal Identity Verification，PIV）將是支持抗網(wǎng)絡釣魚攻擊MFA 要求的最簡單方式之一，同時也是OMB 發(fā)布M-19-17 號備忘錄要求的聯(lián)邦信息系統(tǒng)的主要認證方式。在身份管理系統(tǒng)中，各機構應盡最大可能對非PIV 認證器提供支持，以便集中管理這些認證器并與機構建立身份認證連接。

美國國家標準技術研究院（National Institute of Standards and Technology，NIST）發(fā)布了SP 800-63B 號備忘錄《數(shù)字身份指南：身份驗證和生命周期管理》。文件指出，在本備忘錄發(fā)布后一年內，各聯(lián)邦機構必須刪除所有系統(tǒng)中的特殊字符及定期更換密碼的管理要求。

面向公眾服務的政府系統(tǒng)需要為用戶提供更多的認證選項。為此，支持MFA 面向公眾服務的機構系統(tǒng)必須在本備忘錄發(fā)布后的一年內為用戶提供使用防網(wǎng)絡釣魚攻擊身份驗證的選項。滿足公眾的這一要求將意味著為基于Web身份驗證的方法提供支持，例如安全密鑰。各機構還可以為以個人身份訪問面向公眾服務的政府系統(tǒng)的機構工作人員和承包商提供使用PIV和訪問卡（Common Access Card，CAC）進行身份認證驗證的支持。

（3）在授權用戶正常訪問全局資源時，機構認證系統(tǒng)必須將至少一個設備級信號與授權訪問用戶的身份信息相結合。

授權是授予經(jīng)過身份驗證的實體訪問資源的過程，決定用戶是否有權執(zhí)行操作。目前，聯(lián)邦政府的多數(shù)授權模式側重基于角色的訪問控制（Role-Based Access Control，RBAC），依賴于分配給用戶并確定其在組織內的靜態(tài)預定義角色權限，零信任架構應包含更細化和動態(tài)定義的權限，例如基于屬性的訪問控制（Attribute Based Access Control，ABAC）。

授權可以在多個級別執(zhí)行。例如，粗粒度授權（確定擁有應用程序初始訪問權限的用戶）可以由基于ABAC 方法的工具執(zhí)行；細粒度授權（確定對特定數(shù)據(jù)訪問權限）可以在應用程序本身中執(zhí)行，以根據(jù)RBAC 授予用戶不同級別的訪問權限。ABAC 和RBAC 通過對用戶身份、訪問資源屬性以及訪問環(huán)境強制執(zhí)行檢查，從而允許或拒絕對其訪問。

1.2 設備

（1）聯(lián)邦機構必須通過參與CISA 的持續(xù)診斷和緩解（Continuous Diagnostics and Mitigation，CDM）項目創(chuàng)建可靠的資產(chǎn)清單。

任一機構內的零信任架構基礎是對內部設備、用戶和系統(tǒng)的全面了解。CISA 的CDM計劃可提供一套針對機構資產(chǎn)的檢測和監(jiān)控服務能力，旨在幫助各機構實現(xiàn)對自身資產(chǎn)的基本認知。

第14028 號行政命令指出，參與CDM 計劃的聯(lián)邦政府文職機構必須與美國國土安全部（United States Department of Homeland Security，DHS）簽訂協(xié)議，各機構必須建立持續(xù)、可靠和完整的資產(chǎn)清單。同時，該計劃在具有豐富、細化和動態(tài)權限系統(tǒng)的云環(huán)境中尤其實用。因此，CISA 將致力于發(fā)展更好的支持面向云的聯(lián)邦架構的CDM 計劃。

（2）聯(lián)邦機構必須廣泛部署端點檢測和響應（Endpoint Detection and Response，EDR）工具，建立信息共享能力。

第14028 號行政命令強調了主動檢測網(wǎng)絡安全事件的重要性，以及在處理事故響應過程中聯(lián)邦政府“追捕”能力的必要性。為支持該行政命令，OMB 發(fā)布了M-22-01 號備忘錄，旨在通過EDR 改進對聯(lián)邦政府系統(tǒng)中網(wǎng)絡安全漏洞和事件的檢測。

為實現(xiàn)EDR 在聯(lián)邦政府范圍內的全面使用，各機構必須確保其EDR 工具符合CISA 的技術要求，并在其機構中部署運行。為實現(xiàn)聯(lián)邦政府范圍內的事件響應，各機構必須按照M-22-01號備忘錄要求，與CISA 合作確定實施差距，協(xié)調EDR 工具部署，建立信息共享能力。

總的來說，該方式的目的是在整個聯(lián)邦政府范圍內保持不同EDR 工具的多樣性，可支持不同技術環(huán)境下的機構，確保對聯(lián)邦文職機構的活動具備基本了解。

1.3 網(wǎng)絡

（1）聯(lián)邦機構必須使用加密DNS 解析請求。

機構可以通過指定的DNS 解析器訪問、識別和記錄加密DNS 請求的信息內容。各機構在零信任遷移計劃中，要求說明確定缺乏加密DNS 的技術支持情況，以更新操作系統(tǒng)或以其他方式確保在2024年前支持整個機構加密DNS。

預計在2024年前，各機構被要求通過CISA運營的基礎設施處理DNS 請求。為支持安全的機構DNS 流量，CISA 的保護性DNS 產(chǎn)品將支持加密DNS 通信，并將擴展以適應云基礎設施和移動終端的使用。

（2）聯(lián)邦機構必須對所有的Web 和應用程序接口（Application Program Interface，API）流量強制使用超文本傳輸安全協(xié)議（Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS）。

OMB 發(fā)布的M-15-13 號備忘錄和DHS 發(fā)布的《約束性操作指令18-01》（BOD 18-01）都旨在要求各機構在所有互聯(lián)網(wǎng)訪問的網(wǎng)絡服務和API 中使用HTTPS。為滿足這一要求，同時滿足零信任戰(zhàn)略對所有HTTP 流量的加密要求，并強化聯(lián)邦政府域名的頂級地位，各機構必須與CISA 的DotGov 計劃合作，使機構擁有的聯(lián)邦政府域名在網(wǎng)絡瀏覽器中成為HTTPS專用。

聯(lián)邦政府域名最終將整個域名空間預裝為HTTPS 專用區(qū)，這一變化將改善各級政府機構的安全和零信任態(tài)勢。

（3）CISA 將與聯(lián)邦風險和授權管理計劃（FedRAMP）合作評估政府范圍內的加密郵件解決方案。

CISA 將評估現(xiàn)行開放標準作為政府在傳輸加密電子郵件解決方案的可行性，并向OMB提出建議。作為評估的一部分，CISA 應該與FedRAMP 合作，召集云服務提供商和電子郵件生態(tài)系統(tǒng)的其他參與者進行協(xié)商。

（4）聯(lián)邦機構必須制定零信任架構方案，明確環(huán)境隔離方法。

本備忘錄要求各機構與CISA 協(xié)商，制定一個零信任架構路線圖，并將其納入零信任全面實施和計劃中。該路線圖描述機構如何隔離應用程序和環(huán)境，闡述機構范圍內可能的網(wǎng)絡運營和安全目標。此外，機構應該構思如何將云基礎設施融入零信任架構中，使得機構安全、魯棒地使用云基礎設施。

1.4 應用程序和工作任務

（1）聯(lián)邦機構必須進行專門的應用程序安全測試。

為使應用程序能夠抵御復雜的探測和攻擊，各聯(lián)邦機構必須分析部署的軟件及其功能。各機構已創(chuàng)建安全評估報告（Security Assessment Report，SAR）作為授權信息系統(tǒng)的部分內容，這些SAR 不僅包含由自動化工具收集用于漏洞掃描和定制開發(fā)軟件代碼分析的信息，還包括更耗時、專業(yè)和特定的應用程序作為分析方法。

機構系統(tǒng)授權過程必須同時結合自動分析工具和人工專家分析。為了解機構在授權前對應用程序執(zhí)行的深度安全分析，OMB 可以隨時要求機構提供應用程序的最新安全評估。隨著應用程序、依賴項、組件和基礎設施的發(fā)展，機構預計將向持續(xù)監(jiān)控和持續(xù)授權發(fā)展，同時采用定期手動安全評估。機構必須優(yōu)先考慮并解決在SAR 中發(fā)現(xiàn)的漏洞。

根據(jù)第14028 號行政命令要求，NIST 制定了軟件開發(fā)人員驗證指南，該指南為機構戰(zhàn)略、方法和應用程序測試提供標準流程。

（2）聯(lián)邦機構必須通過專業(yè)安全公司進行第三方安全評估。

在本備忘錄發(fā)布一年內，CISA 和美國總務管理局（General Services Administration，GSA）將合作建立一個可快速獲得應用程序安全測試能力的采購團隊，使機構可以在一個月內完成大部分安全工作（緊急情況下幾日即可完成）。

（3）聯(lián)邦機構必須為互聯(lián)網(wǎng)系統(tǒng)創(chuàng)建公共漏洞披露計劃。

為確保聯(lián)邦機構能夠從公眾接收漏洞信息，OMB 發(fā)布的M-20-32 號備忘錄和CISA 發(fā)布的《約束性操作指令20-01》（BOD 20-01），都要求機構發(fā)布安全聯(lián)系方式，明確接受漏洞披露政策（Vulnerability Disclosure Policy，VDP）。

根據(jù)上述要求，各機構必須于2022年9月前接受外部的互聯(lián)網(wǎng)系統(tǒng)漏洞報告，并創(chuàng)建報告渠道，使系統(tǒng)所有者能夠直接、實時地獲取漏洞報告。為了提高內部安全，避免公開披露未修補漏洞，各機構應集中精力，以負責任的方式驗證和解決外部報告的漏洞。

（4）聯(lián)邦機構必須保障由聯(lián)邦信息安全管理法案（Federal Information Security Management Act，F(xiàn)ISMA）定義的FISMA 模式系統(tǒng)的安全、全面運行。

對多數(shù)機構來講，在不依賴虛擬專用網(wǎng)絡（Virtual Private Network VPN）或其他網(wǎng)絡通道的情況下，使應用程序安全訪問互聯(lián)網(wǎng)，是需要付出巨大努力的。為了推動該工作，每個機構必須選擇至少一個需要認證且目前無法通過互聯(lián)網(wǎng)訪問的FISMA 安全系統(tǒng)，然后在本備忘錄發(fā)布一年內，采取必要行動確保FISMA 模式系統(tǒng)安全、全面運行。

對此，各機構需建立最低限度的可監(jiān)控基礎設施、拒絕服務保護措施和強制訪問控制策略。在實施過程中，機構應將面向互聯(lián)網(wǎng)的系統(tǒng)整合至企業(yè)身份管理系統(tǒng)中。機構率先在FISMA 低級系統(tǒng)上進行控制及流程的轉變，可極大地增強該工作的完成信心。

（5）CISA 和GSA 協(xié)作為聯(lián)邦機構提供在線應用和其他資產(chǎn)的數(shù)據(jù)。

為有效實施零信任架構，機構必須全面了解其可訪問的互聯(lián)網(wǎng)資產(chǎn)清單，以便應用一致性的安全策略，充分定義、適應用戶工作流程。但除內部記錄外，還要依靠從互聯(lián)網(wǎng)對其基礎設施進行外部掃描。

為全面了解聯(lián)邦域名的使用情況，在本備忘錄發(fā)布后的60 天內，各機構必須向CISA和GSA 提供其互聯(lián)網(wǎng)可訪問信息系統(tǒng)使用的任何非聯(lián)邦政府域名。CISA 也將與GSA 合作，為非聯(lián)邦政府域名和相關數(shù)據(jù)的編目定義一個簡化且雙方認可的流程，以最大限度地減少人工工作。

（6）聯(lián)邦機構在部署服務尤其是部署云基礎設施時要使用不可篡改的工作負載。

成熟的云基礎設施通常為完全自動化的部署策略提供優(yōu)化技術接口，同時能夠支持部署和中止實踐，從根本上提高了安全性能。自動化、不可篡改的部署通過允許顯著改進的最小權限架構支持機構的零信任目標。當應用程序部署不再需要手動訪問和干預時，對服務器和其他資源的個人訪問會受到極大限制，更容易集中管理和審核。

各機構在部署服務時應盡量使用不可篡改的工作負載，特別是云基礎設施。在現(xiàn)代軟件開發(fā)全生命周期實踐中，以持續(xù)集成/連續(xù)部署和基礎設施作為代碼，有助于創(chuàng)建基于不可篡改工作負載的可靠、可預測和可伸縮的應用程序。

各機構應使用CISA 發(fā)布的《云安全技術參考架構》作為指導，將第三方服務從內部托管遷移到云基礎設施供應商。

1.5 數(shù)據(jù)

（1）成立提供零信任數(shù)據(jù)安全指南的聯(lián)合工作組。

在本備忘錄發(fā)布后的90 天內，美國聯(lián)邦首席數(shù)據(jù)官（Chief Data Office，CDO）委員會和美國聯(lián)邦首席信息安全官（Chief Information Security Office，CISO）委員會將共同成立零信任數(shù)據(jù)安全聯(lián)合工作組，為各機構制定一份數(shù)據(jù)安全指南，解決安全背景下的聯(lián)邦信息分類計劃中的數(shù)據(jù)分類問題，還將支持開發(fā)現(xiàn)有聯(lián)邦信息分類中未涉及的特定數(shù)據(jù)類別。

該工作組將指定某一機構或內部成員牽頭，構建一個可協(xié)助各機構處理重點領域的團隊。工作組將與機構間統(tǒng)計政策理事會密切合作，并與其他聯(lián)邦委員會、利益相關者共同編寫安全指南。由于支持全局范圍內數(shù)據(jù)分類的技術市場處于成熟階段，工作組還將確定并支持各機構的新方法試點工作。

（2）聯(lián)邦機構必須實現(xiàn)初步自動化數(shù)據(jù)分類和安全響應，解決敏感文檔的標記和訪問管理。

機構應根據(jù)實際需要完整地抓取整個系統(tǒng)和云基礎設施中的來自自動化安全監(jiān)控和執(zhí)行中的安全事件，這種能力通常為安全編排、自動化和響應（Security Orchestration, Automation, and Response，SOAR）。此功能將需要豐富的數(shù)據(jù)（包括受保護的數(shù)據(jù)類型以及訪問數(shù)據(jù)的人員）通知系統(tǒng)進行編排和權限管理。機構應盡量采用基于機器學習的方法對收集的數(shù)據(jù)進行分類，并在整個機構中盡可能實時地部署提供對異常行為的早期預警或監(jiān)測的流程。

在本備忘錄發(fā)布后的120 天內，COD 必須與主要相關方合作，為機構內部敏感電子文件制定一套初步分類方法，用于自動監(jiān)測并限制文件共享。分類方法預計由人工手動制定，無需完整但要求覆蓋廣，以便發(fā)揮作用，同時要求具體，以便更可靠、更準確。例如，對采購敏感文件使用標準模版的機構可能會嘗試檢測其使用時間。

（3）聯(lián)邦機構必須對商業(yè)云基礎設施中所有加密數(shù)據(jù)訪問進行審計。

第14028 號行政命令要求各機構使用加密技術保護靜態(tài)數(shù)據(jù)。靜態(tài)加密可以保護靜態(tài)復制的數(shù)據(jù)，但不能阻止脆弱的系統(tǒng)組件訪問解密的數(shù)據(jù)。云基礎設施提供商可以通過云管理的加解密操作及相關日志活動幫助檢測。通過云基礎設施，機構可以管理密鑰、訪問解密操作，從而實施安全約束、構建零信任架構。當機構對云靜態(tài)數(shù)據(jù)進行加密時，機構必須使用密鑰管理工具創(chuàng)建審計日志，記錄數(shù)據(jù)訪問嘗試。

成熟度較高階段，機構應將審計日志與其他事件數(shù)據(jù)源相結合，以采用更復雜的安全監(jiān)控方法。例如，機構可以將數(shù)據(jù)訪問的時間與用戶發(fā)起事件的時間進行比較，以確定是否為正常應用程序活動引起的數(shù)據(jù)庫訪問。

（4）聯(lián)邦機構必須與CISA 協(xié)作實現(xiàn)綜合日志及信息共享。

第14028 號行政命令呼吁采取行動提高政府調查和恢復事件及漏洞的能力。同時根據(jù)CISA的建議，OMB 發(fā)布M-21-31 號備忘錄《提高聯(lián)邦政府對網(wǎng)絡安全事件的調查和補救能力》，旨在建立云托管和代理運營環(huán)境以保留和管理日志，確保每個機構最高安全運營中心（Security Operations Center，SOC）的集中訪問和可見性，以加強機構間的信息共享，加快事件響應和調查工作。

為幫助各機構確定其工作的優(yōu)先次序，該備忘錄建立了一個分層成熟度模型，旨在幫助機構在實施日志分類、改進SOC 操作和集中訪問等各種要求實施間取得平衡。同時按照要求，各機構必須于2022年8月27日前達到第一個事件日志成熟度級別（E1-1），并率先完成完整性措施，限制對日志的訪問并允許對其加密驗證，以及記錄在整個環(huán)境中發(fā)出的DNS 請求。

2 結 語

作為OMB 于2021年9月發(fā)布的《零信任戰(zhàn)略草案》的正式版本，本備忘錄增加了身份、網(wǎng)絡等工作支柱的部分內容，并特意增加了任務矩陣（Task Matrix），高度濃縮了聯(lián)邦政府對零信任的5 個支柱的具體要求，做出了明確的時間進度安排，具有強力的推動作用。

新戰(zhàn)略是美國政府為保護聯(lián)邦網(wǎng)絡開展的最重要工作之一，也是在SolarWinds 網(wǎng)絡攻擊、Microsoft Exchange 黑客攻擊及Log4j 安全漏洞危機等安全事件下的重要應對措施，標志著美國政府保護基礎設施、網(wǎng)絡和數(shù)據(jù)的重大范式轉變。

（此報告翻譯方式為編譯，原文鏈接：https://zerotrust.cyber.gov/federal-zero-truststrategy/）