美国空军采用“零信任”简化作战环境的架构

零信任（Zero-Trust）代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，即“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。

美国空军最近几年持续引入零信任体系。

数字孪生战场实验室关注到，美国空军CIO劳伦.克瑙森伯格近期表示，零信任是允许空军简化其作战环境的框架。他说，“如果我们能够知道你是谁，数据被标记，可以获得多层次的安全性，将不会让像美国空军指挥官这样的人在五个不同的地方拥有 22 个不同的网络他们桌上的机器，我们可以更轻松地进行战斗。”

美国空军已经开始在 8 月 26 日发布的新临时战略草案中定义其未来六年的零信任愿景，旨在指导空军在 2028 财年将时间和重点放在哪里。

该服务旨在实施零信任架构，根据该策略“以一种有凝聚力的方式保护跨多个分类级别的数据”，包括基于敏感性管理用户、凭据和访问风险的基础身份 (ICAM) 元素受保护的资源。

一位美国国防部官员表示，五角大楼即将推出的新零信任战略将概述使国防部达到其所谓的“有针对性的”零信任所需的数十种能力，这与之前的框架有所不同。

负责网络安全的副首席信息官戴维.麦基翁在比灵顿网络安全峰会上表示，该战略可能会在本月某个时候发布，其中概述了“目标零信任级别的 90 项功能，这些功能已明确定义”。“我们已经定义了检查框并实现特定功能所需的条件。这 90 项能力将使我们达到我们所说的目标零信任。”

他补充说，该战略还定义了另外 62 项能力，这些能力将使五角大楼获得“更先进的零信任”，可用于国家安全系统或“非常、非常重要”的系统。

今年1月19日，拜登政府发布了一份关于改善国防部、情报界和国家安全系统网络安全的备忘录，为各机构采用零信任架构实施计划提出了具体指导方针。

在随后的 1 月 26 日备忘录中，白宫管理办公室制定了一项联邦零信任架构战略，要求各机构在 2024 财年末之前满足特定的网络安全标准。

零信任架构的一个关键原则是没有网络被隐含地认为是可信的，这一原则可能与一些机构当前保护网络和相关系统的方法不一致。根据备忘录，所有流量都必须尽快加密和验证。

美国国防部即将推出的战略与五角大楼之前的零信任框架不同，麦基翁称该框架定义了七个“支柱”以及它们将如何发展成熟度。

国防部首席信息官约翰.谢尔曼在 8 月表示，该战略将定义国防部在“主要控制”与最敏感系统之间实现零信任的方法。谢尔曼的目标之一是在未来五年内在大多数国防部企业系统中实施零信任架构，并表示“我们面临的对手能力让我们别无选择，只能以这种速度前进。”

麦基翁重申了谢尔曼的言论，并表示国防部正在为每个军事部门和国防部机构制定实施计划。该计划包括实现国防部目标零信任目标的三种方法，包括提升每项服务和机构的当前环境以满足 90 项能力，并在本地实施满足最高级别零信任的零信任云。

“然后我们一直在与许多云提供商合作，让他们检查他们当前的 FedRAMP 云产品，其中许多都非常先进，”麦基翁说，“一对夫妇在满足那些有针对性的零信任能力方面处于 90% 的水平。因此，我们对此感到非常兴奋，因为我们拥有这三种产品。我们指向云的事实延续了我们部门的整体战略，以提高我们的云利用率，它也推动了联邦政府提高云利用率的目标。”

如果读者熟悉工业4.0研究院院长胡权前一段时间所讲的“管理对手”策略，其本质跟“零信任”有一定的关系，甚至于可以把两者灵活关联在一起。

欢迎大家参与“数字空军开放课题”，请发送邮件（请写明姓名、单位及职务等，并介绍申请理由）到邮箱：

innobase@qq.com