หนึ่งในหลักการที่ได้รับการยกย่องอย่างกว้างขวางที่สุดของคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ล่าสุดของประธานาธิบดีโจ ไบเดนคือการรับรองแนวทางการรักษาความปลอดภัยทางไซเบอร์แบบไม่มีความไว้วางใจอย่างชัดเจน มันกำหนดเส้นตายที่รวดเร็ว หลายอย่าง สำหรับหน่วยงานในการทำงานเพื่อนำท่าทางการไว้วางใจเป็นศูนย์มาใช้เพื่อรักษาความปลอดภัยของรัฐบาลกลางโดยทั่วไป
แต่นั่นไม่ได้หมายความว่าเอเจนซี่ต้องทำสิ่งนี้ให้สำเร็จด้วยตัวเอง
Jason Payne ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี
ของ Microsoft Federal กล่าวว่า “เราต้องการเป็นพันธมิตรกับเอเจนซีเพื่อให้แน่ใจว่าพวกเขามีเครื่องมือและทรัพยากรทั้งหมดที่จำเป็นเพื่อให้บรรลุตามกำหนดส่งที่ทันกำหนดและที่กำลังจะมีขึ้นในอีกไม่กี่เดือนข้างหน้า” . “เรากำลังร่วมมืออย่างลึกซึ้งเพื่อมอบความเชี่ยวชาญทางเทคนิคทั้งหมดของเราเกี่ยวกับแนวทางการไว้วางใจศูนย์และสถาปัตยกรรมอ้างอิง เรามีชุดข้อมูลเหล่านี้ที่ได้รับการเผยแพร่ ซึ่งจะช่วยให้เอเจนซี่นำรูปแบบและแนวทางปฏิบัติมาตรฐานไปใช้ได้ ตั้งแต่การรักษาความปลอดภัยแอปพลิเคชันเดิมไปจนถึงแอปพลิเคชันที่ทำงานในระบบคลาวด์หรือเกิดในระบบคลาวด์ ผ่านโปรแกรม Fast Track ของเราMicrosoft กำลังจัดหาทรัพยากรผ่านองค์กรด้านวิศวกรรมของเราเพื่อช่วยเหลือเอเจนซีในการเดินทางนั้น เนื่องจากพวกเขาจำเป็นต้องนำการควบคุมเหล่านี้ไปใช้และสถาปัตยกรรมแบบ Zero trust ภายในกำหนดเวลาที่ระบุใน EO”
การเป็นพันธมิตรกับภาคอุตสาหกรรมเปิดโอกาสให้หน่วยงานของรัฐบาลกลางได้ใช้ประโยชน์จากประสบการณ์อันกว้างขวางในการเสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัยผ่านความไว้วางใจที่ไร้ศูนย์ซึ่งผู้จำหน่ายอย่าง Microsoft ได้ลงทุนเพื่อพัฒนา
“เราใช้ Zero Trust มาหลายปีแล้ว” Steve Faehl หัวหน้าเจ้าหน้าที่
เทคโนโลยีด้านความปลอดภัยของ Microsoft Federal กล่าว “ในขณะที่ Microsoft เคยอยู่บนเส้นทางนี้มาก่อน เรามอบโอกาสในการวางแผนที่เชื่อถือได้ ทรัพยากรที่เชื่อถือได้ ซึ่งเราสามารถทำงานร่วมกับหน่วยงานต่างๆ และช่วยพวกเขาพัฒนากลยุทธ์ที่ให้ความสำคัญกับความเสี่ยง และมีประสิทธิภาพมากในการปรับปรุงกลยุทธ์การรักษาความปลอดภัยให้ทันสมัย และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ”
Microsoft มีแผนสามเฟสง่ายๆ อยู่แล้วเพื่อช่วยให้เอเจนซี่นำสถาปัตยกรรมแบบ Zero Trust มาใช้ ระยะแรกมุ่งเน้นไปที่การระบุและการตรวจสอบ ซึ่งรวมถึงการเปิดใช้งานการลงชื่อเข้าระบบเพียงครั้งเดียวสำหรับแอปพลิเคชัน การตั้งค่าการเข้าถึงแบบมีเงื่อนไข การเชื่อมต่อโครงสร้างพื้นฐานในองค์กรกับระบบคลาวด์ การกำหนดตัวตนของแอปภาระงาน และการตรวจสอบสถานะความปลอดภัยของระบบคลาวด์ เหนือสิ่งอื่นใด
“หนึ่งในขั้นตอนแรกที่เอเจนซีสามารถทำได้คือการสร้างความสามารถที่มีอยู่เกี่ยวกับการรวมข้อมูลประจำตัว โดยใช้ข้อมูลประจำตัวเป็นเสาหลักแรกโดยไม่ไว้วางใจเป็นศูนย์ โดยเฉพาะอย่างยิ่งกับขั้นตอนที่จะย้ายไปยังระบบคลาวด์ที่ปลอดภัยเป็นตัวเร่งสำหรับการปรับปรุงให้ทันสมัย” Faehl กล่าว . “การมีข้อมูลระบุตัวตนนั้นจะช่วยให้คุณมาตรวัดระยะไกลได้ดีขึ้น รวมถึงให้บริบทเพิ่มเติมสำหรับกิจกรรมการตอบสนองต่อเหตุการณ์ นอกจากนี้ เอเจนซีหลายแห่งได้ดำเนินการอย่างก้าวกระโดดเพื่อความไว้วางใจเป็นศูนย์และการรับรองข้อมูลประจำตัวเพิ่มเติม เช่น การรับรองความถูกต้องแบบหลายปัจจัย สำหรับ Microsoft 365 และสำหรับ Azure คุณสามารถสร้างกลยุทธ์ข้อมูลประจำตัวนั้นเพื่อใช้ทั่วทั้งสภาพแวดล้อมของคุณ แม้แต่สำหรับแอปพลิเคชันรุ่นเก่าและสำหรับ สถานการณ์บนคลาวด์ที่หลากหลาย”
กลยุทธ์การระบุตัวตนนั้นเป็นกุญแจสำคัญในการทำให้ความไว้วางใจเป็นศูนย์ เพราะการให้สิทธิ์การเข้าถึงขั้นต่ำที่จำเป็นแก่ผู้ใช้เพื่อให้บรรลุภารกิจทำให้สามารถกักกันอุปกรณ์ที่ถูกบุกรุกได้ง่าย ซึ่งเป็นเรื่องที่น่ากังวลมากขึ้นเมื่อพนักงานระยะไกลเพิ่มจุดสิ้นสุดนอกขอบเขตแบบดั้งเดิม
เมื่อหน่วยงานดำเนินการตามขั้นตอนแรก Microsoft สามารถช่วยให้พวกเขาเข้าถึงวัชพืชได้มากขึ้นด้วยเครื่องมือและการควบคุมเฉพาะที่จะช่วยให้หน่วยงานลดความเสี่ยงและเพิ่มการป้องกัน นอกจากนี้ Microsoft ยังจัดเตรียมการกำหนดค่าที่แตกต่างกันสำหรับสถานการณ์การไม่ไว้วางใจเป็นศูนย์ที่แตกต่างกันตามลักษณะของสภาพแวดล้อมของหน่วยงานและภัยคุกคามที่พวกเขาน่าจะเผชิญFaehl กล่าวว่า “สิ่งที่ดีที่สุดอย่างหนึ่งสำหรับ Zero Trust คือการมองจากเลนส์ตามสถานการณ์ แทนที่จะเน้นทุกอย่างที่เกี่ยวข้องกับ Zero Trust เพราะมันเป็นหัวข้อที่ค่อนข้างใหญ่” “ถ้าคุณสามารถพิจารณาแต่ละสถานการณ์ได้ ให้หาว่าจุดไหนคือความเสี่ยงสูงสุดของฉัน? ฉันต้องแก้ไขสถานการณ์ใดบ้าง แล้วสร้างมันขึ้นมาด้วยกันเหมือนสร้างบล็อกโดยรู้ว่าขั้นตอนก่อนหน้านี้จะลดความพยายามที่ต้องใช้เพื่อให้ได้ผลลัพธ์ที่ตามมาจริงๆ”
สิ่งอื่นที่ต้องพิจารณาคือเมื่อผู้คนพูดถึงการไม่ไว้วางใจศูนย์ มักจะเกี่ยวกับลักษณะทางเทคนิค แต่ส่วนที่ยากคือการกำหนดกระบวนการที่จะตัดสินว่าใครจะได้รับการเข้าถึงและเมื่อใด โดยเฉพาะอย่างยิ่งในรูปแบบการทำงานแบบผสมผสานแบบใหม่ที่รัฐบาลกลางกำลังมุ่งไปสู่เป้าหมายเป็นส่วนใหญ่ เนื่องจากกาแบ่งส่วนย่อยเป็นส่วนใหญ่ของการไม่ไว้วางใจเป็นศูนย์ และการกำหนดวิธีการสื่อสารที่จะเกิดขึ้นระหว่างสมาชิกขององค์กรเป็นสิ่งที่จำเป็นก่อนที่ใครจะเริ่มต้นกำหนดได้ กฎระเบียบที่เกี่ยวข้องกับการสื่อสารนั้น
