隨著美國聯(lián)邦各機構(gòu)在世界各地工作環(huán)境實現(xiàn)網(wǎng)絡現(xiàn)代化，必須淘汰傳統(tǒng)的本地“城堡+護城河”安全模式。因此，需要采用現(xiàn)代化的安全方法來保護混合及多云架構(gòu)，并保護現(xiàn)代網(wǎng)絡。

　　傳統(tǒng)上我們將網(wǎng)絡流量標記為東西向或南北向，但隨著越來越多的政府用戶通過網(wǎng)絡邊界之外的設(shè)備進行連接，這一做法已經(jīng)不再適用。沿用了長達20年之久的網(wǎng)絡流量流向概念已成過眼云煙。

　　為了轉(zhuǎn)向支持管理和保護任意方向的流量，TIC（可信互聯(lián)網(wǎng)接口）指南為各機構(gòu)提供了必要的靈活性，以使其從傳統(tǒng)的遠程工作安全解決方案（如VPN），轉(zhuǎn)向支持復雜的混合或多云環(huán)境的可擴展網(wǎng)絡基礎(chǔ)設(shè)施。

　　當美國聯(lián)邦I(lǐng)T和網(wǎng)絡安全領(lǐng)導調(diào)整其網(wǎng)絡架構(gòu)時，應遵循TIC 3.0指南，并重新調(diào)整其安全態(tài)勢，將重點放在保護任意地點的用戶和數(shù)據(jù)流量上，而不是僅僅保護某些特定的網(wǎng)絡位置。

　　安全性：使用零信任來緩解威脅

　　為了使員工在任意地點工作時基礎(chǔ)設(shè)施都能得到保護，機構(gòu)需要使用零信任模型。零信任意味著機構(gòu)根本不信任任何用戶。IT團隊需要為處于任意位置、使用任意設(shè)備的用戶授予安全訪問權(quán)限。

　　“零信任不僅僅是一種架構(gòu)，這一點必須時刻牢記。零信任是一種哲學理念，也是一種需要整個組織接納的文化變革。” Sean Connelly（TIC項目經(jīng)理兼高級網(wǎng)絡安全架構(gòu)師，CISA）在12月的一次活動中表示。

　　請注意，隨著時間的推移，信任會逐漸瓦解，必須通過算法和模型不斷對其進行重新評估。為此，各機構(gòu)應選用一個健壯的身份和訪問管理解決方案。然后，通過網(wǎng)絡分析、遙測以及外部情報來建立訪問控制。

　　在開發(fā)零信任用例時，各機構(gòu)應繼續(xù)參考TIC 3.0和NIST零信任架構(gòu)指南。TIC 3.0指南可幫助各機構(gòu)建立可信區(qū)，以保護具有相似保護需求的網(wǎng)絡組件，例如：云容器、辦公位置、應用程序、端點或用戶身份。

　　通過可信區(qū)，各機構(gòu)可以阻止橫向流量，同時零信任則用來保護同一可信區(qū)內(nèi)部以及多個可信區(qū)之間的訪問安全。這種組合對于各機構(gòu)來說都至關(guān)重要，它們可以在通過零信任授予訪問權(quán)限之前先驗證用戶身份，并減少可信區(qū)的大小以保護內(nèi)嵌計算資源的安全性，從而限制機構(gòu)的攻擊面。

　　對于可信區(qū)和零信任，并不存在適合所有機構(gòu)、放之四海而皆準的解決方案，但聯(lián)邦I(lǐng)T領(lǐng)導應該綜合考慮他們的可信區(qū)規(guī)模、數(shù)量、分類、組成和通信，以開發(fā)一個定制化的安全方案來滿足機構(gòu)的使命需要。

　　靈活性：適應復雜架構(gòu)的現(xiàn)代安全性

　　為了向機構(gòu)提供必要的靈活性，之前版本的TIC依賴額外的企業(yè)級防火墻、Web代理、檢測傳感器和其他邊界防御機制。現(xiàn)如今，由于員工在遠程或混合環(huán)境中工作，且各機構(gòu)都遵循現(xiàn)代化的TIC 3.0指南，可以將安全防護手段放置在更接近資源本身的地方，使一切都匯集于一個接入點上。

　　此外，由于數(shù)據(jù)在云中產(chǎn)生，除非將其從初始位置移出，否則數(shù)據(jù)會逐漸積累質(zhì)量和重力。為確保接入點的安全，并適應這種“數(shù)據(jù)重力”（Data Gravity），各機構(gòu)應采用安全訪問服務邊緣（SASE）安全模型。

　　遵循SASE模型，各機構(gòu)可以減少數(shù)據(jù)重力并顛覆傳統(tǒng)安全模式，將必要的安全功能轉(zhuǎn)移到云端，以便用戶可以從任何地點訪問數(shù)據(jù)和網(wǎng)絡，同時將安全功能盡可能地靠近用戶/設(shè)備/數(shù)據(jù)所在的位置。通過SASE模型，CISA顛覆了諸多服務，例如“持續(xù)診斷和緩解”項目，該項目在數(shù)據(jù)產(chǎn)生的位置進行保護，此外美國聯(lián)邦總務署也以這種方式調(diào)整了其企業(yè)基礎(chǔ)架構(gòu)解決方案的模型。

　　展望未來

　　今年，CISA計劃發(fā)布更多的用例--包括美國行政管理和預算局M-19-26文件指定的云、分支機構(gòu)、遠程辦公用例，以及關(guān)于零信任、物聯(lián)網(wǎng)、合作伙伴網(wǎng)絡和美國聯(lián)邦總務署（GSA）的企業(yè)基礎(chǔ)設(shè)施解決方案（EIS）等潛在的用例。此外，還包括關(guān)于Web應用程序接口（API）的指南。

　　展望未來，政府網(wǎng)絡管理者應繼續(xù)將安全性與用戶和數(shù)據(jù)結(jié)合起來。為了推陳布新，取得實質(zhì)性進展，各機構(gòu)需要開展試點項目并獲得資金支持。

　　隨著每次攻擊的發(fā)生，敵方會變得越來越聰明，也越來越狡猾。針對 SolarWinds IT 管理軟件漏洞的供應鏈攻擊已影響超過18000個公共和私營機構(gòu)組織，這凸顯了依賴傳統(tǒng)安全方法部署現(xiàn)代數(shù)字服務時可能會帶來的相關(guān)風險。唯一可行的保護方法是縱深防御，包括零信任、安全訪問服務邊緣和云工作負載保護。確保您的合作伙伴具有靈活性，可以即時做出反應并采取對策，在需要時提高多層安全平臺的覆蓋范圍。

　　作為一個社區(qū)，如果我們想為未來可能會發(fā)生的事情做好準備，那么第一要務便是關(guān)注現(xiàn)代化這個需求。