เมื่อเร็ว ๆ นี้ สำนักงานการจัดการและงบประมาณได้ประกาศร่างยุทธศาสตร์การไม่ไว้วางใจเป็นศูนย์ ซึ่งต่อยอดจากคำสั่งฝ่ายบริหารของประธานาธิบดีสำหรับการปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ ซึ่งเป็นการเปลี่ยนแปลงที่ครอบคลุมที่สุดในยุทธศาสตร์ระดับชาติสำหรับความปลอดภัยทางไซเบอร์ โดยสรุปแนวทางสู่ความทันสมัย EO และบันทึกข้อตกลง OMB ล่าสุดนี้เท่ากับการเปลี่ยนแปลงครั้งใหญ่ในแนวทางและบังคับให้หน่วยงานรัฐบาลกลางต้องปรับปรุงความปลอดภัยทางไซเบอร์
ให้ทันสมัย มีความท้าทายที่สำคัญบางประการและโอกาสที่ดี
สำหรับหน่วยงานในการปรับปรุงความปลอดภัยทางไซเบอร์ที่สำคัญเร็วกว่ากระบวนการจัดซื้อจัดจ้างและการดำเนินการแบบดั้งเดิม
มันคือทั้งหมดที่เกี่ยวกับตัวตน!
บันทึกข้อตกลง OMB ระบุข้อกำหนดขั้นต่ำที่จำเป็นสำหรับหน่วยงานของรัฐบาลกลางที่จะต้องปฏิบัติตามในความพยายามที่จะก้าวไปสู่แนวทางที่ไม่ไว้วางใจ
สิ่งนี้หมายความว่าการเข้าถึงแอปพลิเคชันและข้อมูล โดยทั่วไปจะรวมกันเป็น “ทรัพยากร” จะไม่ถูกกำหนดโดยการรับรองความถูกต้องและการเข้าถึงเครือข่ายหรือโดเมนเฉพาะอีกต่อไป VPN สำหรับการเข้าถึงระยะไกลจะไม่ใช่การเข้าถึงที่แพร่หลายอีกต่อไป มันจะถูกลบออกทั้งหมดหรือเพียงแค่ขั้นตอนแรกเพื่อเข้าถึงแอปพลิเคชันเฉพาะแบบไดนามิก แอปพลิเคชันเหล่านี้จะมองเห็นและเข้าถึงได้เฉพาะผู้ใช้ที่ได้รับการรับรองความถูกต้องและได้รับอนุญาตเท่านั้น และจะถูกแบ่งส่วนออกจากกันและเครือข่าย กระบวนการนี้ถูกบังคับอยู่แล้วเนื่องจากการเปลี่ยนแปลงตามธรรมชาติด้วยการย้ายไปยังทรัพยากรระบบคลาวด์ โดยเฉพาะแอปพลิเคชัน SaaS ที่ไม่ได้อยู่ในเครือข่ายของรัฐบาลกลางใดๆ
อย่างไรก็ตาม การเปลี่ยนจากเครือข่ายที่มีการป้องกันการเข้าถึงทุกสิ่งตามตำแหน่ง
ไปสู่การจัดสรรตามแอปพลิเคชันและการตัดสินใจเข้าถึงแบบไดนามิกนั้น ทำให้เกิดความท้าทายใหม่สำหรับหน่วยงานรัฐบาลกลาง เครือข่าย IaaS และแอปพลิเคชัน SaaS ที่มีอยู่แล้วไม่ได้เป็นส่วนหนึ่งของเครือข่ายหรือโดเมนหน่วยงานภายในองค์กร ทำให้การระบุตัวตนแบบรวมศูนย์สำหรับการเข้าถึงทรัพยากรทั้งหมดและการลงชื่อเพียงครั้งเดียว (SSO) สำหรับทรัพยากรทั้งหมดเป็นเรื่องท้าทาย
DoD Cloud Exchange ของ Federal News Network: จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
บันทึกข้อตกลงการไม่ไว้วางใจเป็นศูนย์ของ OMB ระบุถึงความพยายามของ SSO และการจัดการข้อมูลประจำตัวส่วนกลางโดยเฉพาะ ซึ่งตามที่กล่าวไว้ข้างต้น จะเป็นความท้าทายทางเทคโนโลยีที่สำคัญ ขึ้นอยู่กับกลุ่มเทคโนโลยีที่หน่วยงานเลือกใช้ บางอย่างเป็นไปได้แต่ใช้แรงงานมากด้วยเทคโนโลยีปัจจุบัน ในขณะที่บางอย่างต้องการการแนะนำเทคโนโลยี ICAM ใหม่ที่ทำให้โซลูชันง่ายขึ้นและคล่องตัว
องค์กรต่างๆ จะสร้างความเชี่ยวชาญภายในโดยใช้สถาปัตยกรรมแบบ Zero Trust ได้อย่างไร
เมื่อพูดถึงเรื่องความเชื่อถือเป็นศูนย์ ช่วงเวลา “aha” ที่ยิ่งใหญ่ครั้งแรกคือมันไม่ได้เกี่ยวกับเครื่องมือเฉพาะเจาะจง แต่เป็นวิธีการและแนวทางโดยรวมมากกว่า “aha” ที่สำคัญถัดไปสำหรับองค์กรคือพวกเขาไม่จำเป็นต้องซื้อผลิตภัณฑ์ใหม่จำนวนมากทันทีเพื่อปรับปรุงให้ทันสมัยและปรับปรุงความปลอดภัยทางไซเบอร์ สิ่งที่พวกเขาต้องการคือการตรวจสอบอีกครั้งถึงวิธีการใช้เครื่องมือเหล่านี้ วิธีการทำงานร่วมกัน และนโยบายและกระบวนการใดบ้างที่ต้องเปลี่ยนแปลง
ความท้าทายสำหรับหน่วยงานของรัฐบาลกลางไม่ใช่การสร้างสภาพแวดล้อมใหม่ทั้งหมด แต่เป็นการจินตนาการถึงสถาปัตยกรรมของพวกเขาใหม่
สิ่งที่อุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์ทั้งหมดต้องการคือการนำชิ้นส่วนทั้งหมดของสถาปัตยกรรมมาไว้ด้วยกัน ในลักษณะเดียวกับที่การเคลื่อนไหวของข้อมูลที่กำหนดโดยซอฟต์แวร์ในโครงสร้างพื้นฐานนำชิ้นส่วนทั้งหมดมารวมกัน ซึ่งนำไปสู่การปฏิวัติระบบคลาวด์ของ SaaS และ IaaS ในที่สุด สิ่งที่หลายคนไม่เข้าใจอย่างสมบูรณ์คือรากฐานของความไว้วางใจเป็นศูนย์นั้นสร้างขึ้นจากหลักการของการป้องกันความปลอดภัยทางไซเบอร์แบบบูรณาการและอัตโนมัติ
เพื่อให้การเปลี่ยนแปลงนี้ไม่ใช่การเปลี่ยนแปลงผลิตภัณฑ์ขายส่ง มันต้องการความคิดทางสถาปัตยกรรมที่แท้จริงที่สามารถ:
