美国国防部 (DoD) 零信任资产组合管理办公室 (ZT PfMO) 的成立是为了协调整个 DoD 范围内零信任的采用和执行。 2022 年 11 月,DoD ZT PfMO 发布了 DoD 零信任策略和路线图。
该策略和随附的执行计划概述了采用新的网络安全框架的途径,以促进基于风险的明智决策。 此模型通过消除传统外围和信任假设整合了零信任原则,从而实现了更高效的体系结构,增强了安全性、用户体验和任务性能。 零信任框架旨在最大限度地减少 DoD 攻击面,降低风险,实现有效的数据共享和协作,主动保护其技术资产并瓦解对抗性活动。
该策略有四个目标。
- 采用零信任文化 - 零信任安全框架和思维方式,用于指导跨 DoD 零信任生态系统设计、开发、集成和部署信息技术。
- 保障和维护国防部信息系统 - DoD 网络安全做法将整合并实施零信任,以实现 DoD 信息系统中的企业复原能力。
- 加速技术部署 - 零信任技术部署的速度应等于或超过行业技术进步,以应对不断变化的威胁环境。
- 执行零信任 - DoD 零信任的执行与 DoD 和组件级流程集成,可实现无缝且协调的零信任执行。
Microsoft 拥有一系列不断扩展的零信任功能,由统一标识平台和预集成的适合目的的安全工具提供支持。 它们为 DoD 零信任策略的七大支柱提供了可重复、全面的目标活动和高级活动。
支柱、功能和活动
DoD 零信任策略涵盖了代表零信任保护领域的七大支柱。 使用以下各链接,转到指导的各节。
支柱涵盖 45 个零信任功能。 可通过完成一项或多项实施活动来实现这些功能。 下表根据 DoD 定义的零信任阶段,使用 Target 或 Advanced 对活动进行了标记。 功能可能包括目标活动、高级活动或两者兼有。 请参见“表 1”。 总共有 152 个活动,其中目标活动有 92 个,高级活动有 60个。 DoD 零信任功能执行路线图设定了到 2027 年实现目标级别 ZT 和到 2032 年实现高级级别 ZT 的时间表。
零信任功能和活动执行路线图中概述了活动详细信息。 这些活动涵盖一系列技术和非技术任务。 技术任务用于部署、配置和采用安全工具。 非技术任务用于采购工具、制定策略和标准,并组建团队以实施零信任策略。
指南范围
本文档提供 45 项零信任功能的摘要指导以及使用 Microsoft 云服务完成 152 项零信任活动的规范性指导。 在每个表中,“Microsoft 指导和建议”列都有活动级指导,该指导基于活动父级功能上下文中的活动描述和结果。 通过活动级指南和功能摘要,了解 Microsoft 云服务如何与 DoD 零信任策略保持一致。 指导范围限定为 Microsoft 365 DoD 云和适用于美国政府云的 Azure 中的正式发布版 (GA) 或公共预览版功能。
重要
当活动有多个部分时,Microsoft 指导假定你已实现前面的部分。 例如,如果活动有三个部分,则依次完成 Pt1、Pt2 和 Pt3。
本文档按产品或功能领域确定建议的优先级,首先列出最重要的项。 当实现操作跨越不同 Microsoft 服务中的功能时,这些操作按所需的配置顺序排序。 活动级别指南列出了与每个活动相关的所有建议。 你的组织可以通过执行部分建议的配置或实施替代解决方案来完成活动。
DoD 零信任策略将活动分配到“目标”或“高级”阶段。 本指南指示活动标题中的 Target 和 Adanced。 完成所有目标活动可实现目标级 ZT。 完成所有高级活动可实现高级 ZT。 在开始高级活动之前,无需完成所有目标活动。 配置一项功能可能会同时完成目标和高级活动。 建议先实施关键保护,并遵循 Microsoft 零信任快速现代化计划。
后续步骤
为 DoD 零信任策略配置 Microsoft 云服务: