Microsoft 大舉支援美國國防部零信任策略
美國國防部 (DoD) 在今天正式發表其零信任策略,針對在 2027 年實現全企業實作的目標奠定了重大里程碑。根據《2022 年 Microsoft 數位防禦報告》(Microsoft Digital Defense Report 2022),美國政府網路持續面臨近半數的全球民族國家層級攻擊事件1,而此一艱鉅情況,正是催生這項策略的一大主因。
對於 DoD 持續現代化和創新網路安全性方法之舉,Microsoft 深表贊同。在去年的美國白宮網路安全性行政命令要求 (White House Executive Order on Cybersecurity2) 公布後不久,DoD 隨即發表了初步的零信任參考架構,並於 2022 年 7 月快速推出 2.0 版3。最新更新提供了實作零信任策略的重要詳細資訊,包括 DoD 及其廠商針對 45 項個別功能和一共 152 個活動的明確指引。
儘管零信任計畫已推行多年,並橫跨眾多部門,但本次的更新策略力圖整合各方心力,以實現強大且經實證的防禦態勢,進而遏止敵人採用的策略。對業界而言,零信任協同合作向來為一大挑戰,畢竟,不同組織和技術堆疊中的零信任實作,大多難以相互比較。不過,DoD 策略的詳細程度,則提供了無需受限於廠商的通用方式,有助於透過 DoD 對網路空間作業的獨特深入解析,著手評估各種現行和已規劃實作的成熟度。
此外,DoD 也從以法務遵循和控制措施為基礎的方法,轉變為著重於結果的做法 (這表示只有在敵人停止活動,而不是採取控制措施之後,工作才算結束),而此舉也造就了在其他領域前所未聞的最佳做法。
共同打造安全的零信任基礎
Microsoft 致力於協助業界和公家機關發展強大的合作夥伴關係,正因如此,我們也應 DoD 的邀請,以探討其零信任定義該如何對應至嶄新及現有的運算環境。
Microsoft 既是領先業界的政府雲端服務提供者,也是安全性公司,可運用此一獨特定位,協助 DoD 大舉實現其零信任願景。Microsoft 在五個 Gartner® 魔術象限 (Magic Quadrant™) 報告4、5、6、7、8、9 和七個 Forrester Wave™ 類別10、11、12、13、14、15、16 中獲評為領導廠商。這些元件都已預先整合,可提供強大的基準和快速的捷徑,一舉涵蓋 DoD 在零信任方面的七大主軸和 45 項功能,同時實現目標活動和進階活動。
除了全方位對應 DoD 的最新功能需求之外,我們提供的強大基準還能透過開放式生態系統進一步增強,當中囊括 90 多個出自頂尖安全性公司之手的合作夥伴零信任解決方案,皆可直接整合至我們的平台中。舉例來說:
- Tenable 和 Microsoft 正攜手整合io、適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 解決方案,以支援混合式雲端工作負載的資訊安全風險評估作業。
- Yubico 和 Microsoft 近期推出了以憑證為基礎的驗證 (CBA),可透過名為 YubiKey 的硬體安全性金鑰,運用在 Windows、iOS 和 Android 等裝置上的 Microsoft Azure Active Directory 中,藉此抵禦網路釣魚攻擊。
- Conquest Cyber 發表了使用 Microsoft Sentinel 打造的 ARMED™ 平台,可協助政府機關設定和管理解決方案,透過對安全態勢的即時監控能力,以及法務遵循、成熟度和效益指引,來因應網路風險。
此外,Microsoft 也致力於提高網路彈性,並強化美國的網路防禦措施。為了善盡此一責任,我們不僅與美國國家標準與技術委員會 (NIST) 的國家網路安全卓越中心 (NCCoE) 攜手開發實用且可互通的零信任方法和架構,更持續參與美國網路安全暨基礎設施安全局 (CISA) 所創辦的聯合網路防禦協作機制。
透過實際試行和實作,帶動不間斷的學習和改善
鑑於零信任哲學已深植於各方的既有經驗中,DoD 持續透過研究及開發活動來加以試行及評估,以期推展這項技術。過去一年,Microsoft 與 DoD 的眾多部門通力合作,透過多項試行計畫和生產實作來加快零信任方法的採用速度,進而協助政府機關憑藉可預測的途徑來實現目標。
其中一個範例,就是美國海軍的創新疾速計畫 (Flank Speed Program),當中整合了關鍵的聯邦政府和 DoD 的心血結晶,能保護近 500,000 個身分識別和裝置,同時改善使用者體驗。美國海軍的大規模部署作業 (涵蓋眾多元件,包括持續授權、海量資料,以及合乎連線規範 (C2C)) 中,已採用 DoD 策略所構思的多個零信任活動。
深入了解
透過零信任實現主動式安全性。
如需更多部署資訊、工具和資源,以共同改善美國的網路安全性,請前往適用於政府的 Microsoft 網路安全性頁面。
如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。
1《2022 年 Microsoft 數位防禦報告》(Microsoft Digital Defense Report 2022),Microsoft,2022 年。
2<網路安全行政命令:聯邦機關的下一步>(The Cybersecurity Executive Order: What’s Next for Federal Agencies),Jason Payne,Microsoft,2021 年 6 月 17 日。
3《美國國防部 (DoD) 零信任參考架構 2.0 版》(Department of Defense (DoD) Zero Trust Reference Architecture Version 2.0),美國國防資訊系統局 (DISA),美國國家安全局 (NSA) 零信任工程團隊,2022 年 7 月。
4 Gartner 不會為其研究出版物中所述的任何廠商、產品或服務背書,也不會建議技術使用者僅選取評比最高或帶有其他頭銜的廠商。Gartner 研究發行文件包含 Gartner 研究機構的意見,不應視為事實的陳述。Gartner 在此聲明不提供在此研究方面的任何明示或默示的瑕疵責任擔保,其中包括適售性或適合特定用途之任何責任擔保。GARTNER 與 Magic Quadrant 是 Gartner, Inc. 及/或其關係企業在美國和國際間的註冊商標和服務標記,在此處已獲得使用許可。著作權所有,並保留一切權利。
5《Gartner 安全性資訊和事件管理魔術象限》(Gartner Magic Quadrant for Security Information and Event Management),Pete Shoard、Andrew Davies 和 Mitchell Schneider,2022 年 10 月 10 日。
6《Gartner 存取管理魔術象限》(Gartner Magic Quadrant for Access Management),Henrique Teixeira、Abhyuday Data、Michael Kelly、James Hoover 和 Brian Guthrie,2022 年 11 月 1 日。
7《Gartner 企業資訊封存魔術象限》(Gartner Magic Quadrant for Enterprise Information Archiving),Michael Hoeff 和 Jeff Vogel,2022 年 1 月 24 日。
8《Gartner 端點保護平台魔術象限》(Gartner Magic Quadrant for Endpoint Protection Platforms),Peter Firstbrook、Dionisio Zumerle、Prateek Bhajanka、Lawrence Pingree 和 Paul Webber,2021 年 5 月 5 日。
9《Gartner 統一端點管理工具魔術象限》(Gartner Magic Quadrant for Unified Endpoint Management Tools),Tom Cipolla、Dan Wilson、Chris Silva 和 Craig Fisler,2022 年 8 月 1 日。
10《Forrester Wave™:2022 年第 2 季端點偵測與回應提供者》(The Forrester Wave™: Endpoint Detection And Response Providers, Q2 2022),Allie Mellen,2022 年 4 月。
11《Forrester Wave™:2021 年第 4 季延伸偵測與回應 (XDR)》(The Forrester Wave™: Extended Detection And Response (XDR), Q4 2021),Allie Mellen,2021 年 10 月。
12《Forrester Wave™:2020 年第 4 季安全性分析平台》(The Forrester Wave™: Security Analytics Platforms, Q4 2020),Joseph Blankenship 和 Claire O’Malley,2020 年 12 月。
13《Forrester Wave™:2021 年第 2 季企業電子郵件安全性》(The Forrester Wave™: Enterprise Email Security, Q2 2021),Joseph Blankenship、Claire O’Malley、Stephanie Balaouras、Allie Mellen、Shannon Fish 和 Peggy Dostie,2021 年 5 月。
14《Forrester Wave™:2021 年第 2 季端點安全性軟體即服務》(The Forrester Wave™: Endpoint Security Software As A Service, Q2 2021),Chris Sherman、Merritt Maxim、Allie Mellen、Shannon Fish 和 Peggy Dostie,2021 年 5 月。
15《Forrester Wave™:2021 年第 2 季非結構化資料安全性平台》(The Forrester Wave™: Unstructured Data Security Platforms, Q2 2021),Heidi Shey,2021 年 5 月。
16《Forrester Wave™:2021 年第 2 季雲端安全性閘道》(The Forrester Wave™: Cloud Security Gateways, Q2 2021),Andras Cser,2021 年 5 月。
文章所屬類別:
