《美国国防部零信任战略》

近日，在美国国防部对《零信任战略》进行数月试点之后，正式发布了《国防部零信任战略》（登录www.milthink.com），该战略也是落实美国《国家国防战略》中关键的举措。该战略明确了到 2027 财年实现“目标零信任”所需采取的措施，以应对当前的威胁，包括来自中国等对手的威胁。

“零信任不仅仅是一种 IT 解决方案，”，“零信任可能包括某些产品，但不是可以购买的功能或设备。零信任要求所有国防部部门在其架构、系统以及预算和执行计划中采用和集成零信任功能、技术、解决方案和流程。最重要的是，还必须在人员配置、培训和专业发展流程中满足零信任要求。”

国防部信息体系，由一个完全实施的、全部门范围的零信任网络安全框架保护。

美国国防部设想了一个可扩展的、有弹性的、可审计的和可防御的环境，其中心是保护网络空间中的所有国防部数据自动化系统。

该战略确立了从2023财年到2027财年及以后的未来几年国防计划(FYDP)的五年规划范围内所需的ZT目标和目的。为了加快全套ZT功能的采用，该部门还在考虑几个行动方案(COAs ),以纳入商业和政府所有的基于云的企业服务。这些将采用提速计划，包括压缩或加速的执行时间表，将作为未来战略执行的一部分反复定义、开发和部署。

DoD IE，特别是DODIN的网络安全能力必须能够防止恶意行为者影响DoD在所有作战环境中探测、阻止、拒绝、防御和恢复恶意网络活动的能力。

目标级ZT是确保和保护国防部数据自动化系统以管理来自当前已知威胁的风险所必需的ZT能力结果和活动的最小集合。虽然国防部ZT框架将随着时间的推移而成熟和适应，但当前的战略环境要求立即将重点放在加快对ZT核心能力和技术的投资上。该部及其各部门必须尽快达到ZT的目标水平。

随着ZT达到目标水平，ZT PfMO将监测持续的合规性，并在国防部减轻当前风险时指导向先进ZT的转移。随着恶意行为者适应国防部改进的安全态势，基于继续向下一代安全架构发展和应对新威胁的需要，ZT PfMO也可能修改该战略如何定义目标级别ZT。使用分阶段方法实现所有目标ZT能力将使实现国防部零信任战略的愿景成为可能。

战略目标一：零信任文化采用

零信任安全框架和思维模式指导整个国防部零信任体系中信息技术的设计、开发、集成和部署。所有国防部人员都要了解、理解、培训并致力于零信任的心态和文化，并支持零信任的整合。

国防部网络安全实践纳入并实施对新旧系统的零信任，以实现国防部信息系统的弹性。

基于零信任的技术以等于或超过行业发展速度部署，以保持领先于不断变化的威胁环境。

国防部的零信任执行与部门级和部门级流程、政策和资金同步，从而实现无缝协同工作。

采用和加速国防部ZT框架的方法包括一套指导战略执行的关键假设和原则。该框架概述了DODIN企业NIPRNet和SIPRNet实现网络安全现代化的蓝图。该框架基于7个国防部零信任支柱（用户；设备; 网络和环境；应用程序和工作负载；数据; 可见性和分析；以及自动化和排列），描述了国防部将如何通过提供基础和方向来实现ZT，以帮助协调所有原则、组织、培训、物资、领导和教育、人员、设施和政策(DOTmLPF-P)的所有元素的当前和未来与ZT相关的努力、投资和倡议。该战略认识到，采用ZT将要求DOTmLPF-P不仅在整个部门，而且在其组成部门进行修改，这些将在他们的ZT执行计划中解决。

该战略将国防部在这些支柱上的预期进展分为“目标”和“高级”零信任级别。

未来几年的一些初始目标功能包括用户清单、联合身份凭证和访问管理解决方案、端点检测和响应工具以及软件定义网络。

该战略分为多种类型的零信任目标：“有针对性的”零信任，这是国防部及其组成部门需要在2027财年实现的最少活动集，以及“高级”零信任，它提供了最高级别的保护。该战略共定义了152 项“活动”，其中91 项活动达到目标零信任水平，61 项活动达到高级水平。

具体来说，该部门及其组成部门将计划并解决ZT DOTmLPF-P解决方案缺口的所有要素。将调整资源以缩小已确定的差距，并在整个部门形成符合国家战略指导、保护国家利益并减少恶意行为者的ZT框架。

通过ZT实现有效安全利益的途径是通过一个迭代过程，该过程必须随着国防部及其组成部分执行其行动计划的战略环境的演变以及联邦指导方针的演变而不断完善。该部将定期重新评估其战略的有效性，并根据需要进行调整。

ZT PfMO主任代表国防部网络委员会，通过适用的国防部主要责任办公室，并与各组成部分协调，协调总体战略的执行。PfMO将与组件密切合作，定义、开发和调整执行计划，以实现每个目标。

为了实现完全安全和防御的国防部工业工程(目标2 ),国防部及其组成部分必须达到下图所示的所有ZT能力。

国防部零信任能力路线图描述了国防部目前如何设想实现基于能力的成果和随时间顺序的活动，以实现国防部目标水平ZT和高级ZT.45该路线图概述了影响顺序和并行开发的依赖性和相互依赖性，并提供了按财年实现成果的计划表。

来源：占知智库