几个月以来，美国国土安全部(DHS)下属机构网络安全和基础设施安全局(CISA)直在向其可信互联网连接3.0（TIC3.0）政策的下一阶段迈进。TIC3.0试图保护美国联邦数据和网络，并提供更好的机构流量可见性，其中包括云平台中的流量。由于冠状病毒疫情的影响流行导致的远程工作激增，意味着可能拖延TIC3.0的进展；事实上，网络安全和基础设施安全局(CISA)在今年4月8日发布了临时远程工作指南，以应对远程工作的急剧增加。
　　
　　当工作人员是从相对安全的政府安全平台之外执行任务，最终用户的体验和安全性对于运营完整性至关重要。然而，负担过重的远程访问解决方案带来了更多的安全性和生产率问题。
　　
　　在维持运营中，人们对TIC3.0的就绪状态似乎有一些误解。维持任务肯定是紧迫的，但是在这种情况下，必须采用一种可以使政府机构为短期快速解决和长期成功做准备的方法，这一点很重要。
　　
　　在采用适当的解决方案时，需要考虑以下这三个关键问题。
　　
　　1.解决方案能否快速安全地扩展？
　　
　　了解解决方案将为特定机构的需求分配哪些云计算资源非常重要。解决方案是基于单租户架构还是多租户架构？如果是多租户架构，其他机构甚至商业客户可能会在需要额外容量时争夺资源。为了满足快速增长的需求，解决方案应可跨云平台进行扩展。如果在需要扩展容量时必须将更多设备添加到私有云环境中，这将花费一些时间，并限制最需要时的快速响应。
　　
　　另外，在设置时，将为代理提供唯一的IP地址，还是共享这些地址？共享地址的意外黑名单可能会影响到广泛的客户。经得起未来考验的解决方案应该具有足够的广度来增加机构的足迹，而不必投资于可能造成预算短缺的更多基础设施。
　　
　　2.安全性与灵活性是否平衡以满足机构的独特需求？
　　
　　TIC3.0战略计划的目标是采用一种灵活的、基于风险的方法。其指导是描述性的，而不是规定性的，并且实现框架促进了动态用例和适应IT现代化计划的安全功能。TIC3.0远程用户用例和临时远程工作指导建议各部门和机构根据其处理的数据的敏感性和对所访问资产的控制级别来保护信任区的流量。尽管传统的TIC用例仍然有效，但是对远程用户应用相同的高级控件可能会有效地重新创建TIC3.0设计用来解决的相同挑战。
　　
　　解决方案的安全性还必须与灵活性保持平衡，以适应机构不断变化的情况，例如当前远程工作的激增。例如，如果需要容纳快速突发的网络流量，是否可以保证额外需要的带宽？解决方案在设定的定价安排下是否灵活，还是会额外收费？如果是这样，该如何收费？服务级别协议是否涵盖所有必需的安全功能？它可执行吗？如果是这样，如何监控服务等级协议（SLA）？
　　
　　性能是另一个主要考虑因素。只需询问必须进行远程工作的政府最终用户即可。由于工作人员遍布全球，各机构需要随时访问云计算解决方案提供商的服务点。该访问权限不应限于最初为其配置机构的特定云基础设施。这样做只会降低性能并使用户沮丧。
　　
　　最后，这种解决方案应该是灵活的，不仅能够解决各种风险状况和相关的安全功能，还能够适应当前和预期的TIC3.0用例。尽管过去几个月中发布的当前事件和TIC指南已使远程用户成为焦点，但TIC3.0远程办公解决方案需要与零信任指南、，物联网和DevOps（持续集成/连续交付）的采用保持一致
　　
　　3.该解决方案能否与其他基础设施投资一起更好地工作？
　　
　　许多分支机构分布在不同的地理位置，缺乏全职的IT人员，这使得部署、管理、更改控制和硬件更新变得困难。任何新的安全解决方案都应该能够使用一个政府机构已有的基础设施（如路由器和防火墙）连接这些远程网络。另一个选择是采用软件定义的广域网（SD-WAN）方法，使用零接触供应连接远程分支机构。
　　
　　此外，大多数机构并在单个云平台上运行；他们依靠多云部署。安全解决方案必须在与该现实相匹配的多云环境中运行并支持它，这一点至关重要。
　　
　　当然，添加到解决方案中的组件越多，管理系统的管理就越好。应用能够在整个机构运行的云平台、虚拟和物理环境中实现单一管理控制平台的解决方案，将简化跨平台管理以适应增长，同时允许安全性和策略控制的通用性。
　　
　　现在有很多事情需要政府机构IT主管来处理，在而冠状病毒这个前所未有的中断时期可能会通过疫情之前不同的动态解决。尽管激增的远程工作量最终将缓解，但包括劳动力越来越分散的新模式将可能持续存在。
　　
　　在这种新的环境中，甚至比在过去几年中看到的还要多，那些提供技术上最简单和最方便的用户体验的机构将吸引和留住最优秀的人才，更好地完成他们的使命。当机构寻求提供符合TIC3.0标准的现代、高效和安全环境时，在这一独特的机会时刻保持安全将缓解当前的风险，并长期为政府机构提供良好的服务。
　　
　　编辑：Harris