美政府积极推进零信任身份改造,NIST将发布首份全面身份管理指南

admin 2022年8月3日22:59:11安全新闻评论3 views2017字阅读6分43秒阅读模式

关注我们

带你读懂网络安全

美政府积极推进零信任身份改造,NIST将发布首份全面身份管理指南


在一次研讨会上,联邦官员们表示,采购决策会带有主观因素,应重点关注实现“零信任”系统的通用基础要素,少纠结供应商或方案差异;


SolarWinds事件暴露出联合身份权限过大的问题,尤其是一些外包供应商权限已超过局长,其对政府系统的访问活动却无人监督;


NIST将更新身份和访问管理指南,对机构内、机构间、外包商、普通民众开展身份验证,实现全面身份管控化。


前情回顾·美国政府零信任战略
安全内参消息,为了避免类似SolarWinds的事件重演(恶意黑客利用IT管理外包商的访问权限与低下的身份管理水平,至少入侵了九个联邦部门)身份验证服务商越来越受到高度关注。不过日前一次研讨会上,负责相关工作的美国政府官员强调,具体实施还需要各方机构积极参与
技术专家杰里米•格兰特(Jeremy Grant)表示,“经历SolarWinds事件后,每一家行业领先的身份验证服务商都能感受到业务更好做了。”
格兰特目前是Venable律师事务所负责技术业务战略的常务董事。在美国国家标准与技术研究院(NIST)制定关键基础设施安全性改进路线图期间,他曾经提供了身份与认证管理方面的建议。
说起市面上的顶尖身份验证提供商,如Ping、Okta、Forgerock以及微软Active Directory Federation Services(ADFS)等,他认为“在关于到底该选择哪家提供商方面,之前的争议一直比较玄学,类似于可口可乐和百事可乐到底哪种更好喝。”
周二(8月2日),参加先进技术研究中心在线会议的联邦官员普遍认为,任何机构的决策都包含大量主观性因素。因此,他们将更多关注机构所必需的通用基础要素,对具体供应商或安全方法的选择不做关注,仅视为达成管理和预算办公室(OBM)发布的建立“零信任”系统指令的手段
网络安全和基础设施安全局(CISA)发布公告称,在SolarWinds事件曝光后,各机构纷纷开始寻求解决之道。SolarWinds事件中恶意黑客使用微软ADFS劫持了系统管理员的凭证,借此在目标网络上横向移动。第14028号总统行政令要求,各机构应优先建立以零信任为核心的身份和访问管理系统,根据特定角色(例如人力资源人员)和属性(例如所在位置)为其授予查看/编辑某些资产的相应权限。
网络安全和基础设施安全局的格兰•达舍(Grant Dasher)提到,“CISA在政府的身份空间中有望发挥更大作用。我们正努力提供更多指导,包括零信任成熟度模型和云安全参考架构。相信这一领域将很快出现更多解决方案。”
达舍表示,各机构最应该从SolarWinds事件中吸取的教训之一,就是“充分了解基础设施内的信任边界和接触面。”
他表示,“只要认真研究过特定架构的设计方式,就会意识到某些联合凭证虽然使用频繁,但却不一定该被纳入管理员账户。也许我们可以为云管理员账户设置一个单独的信任根,把它的权限范围收窄,这样才不会影响到原有(本地资产)的所有接触面。”
技术专家马特•托珀(Matt Topper)透露,NIST正在更新关于身份和访问管理的出版物文件,并将“发布有史以来第一份关于联邦指导的真实、专用文件。”这份文件不仅希望能在机构之间开展身份验证,还要求在机构及其外包商/普通民众间开展身份验证。托珀是联邦身份访问供应商Uberether的总裁,也是ATARC网络研讨会的小组成员。
外包供应商尤为重要,因为这些托管服务提供商已经成为高水平恶意黑客的切入点,而且很难搞清楚,到底该由谁监督外包商们对政府系统的访问活动。
托珀表示,“我总是开玩笑地说,那些已经为机构工作了很长时间的外包商,掌握的访问权限甚至比机构主管还要高。这是因为我们在重新认证外包商访问权限上做得不够好。当他们解约又签约之后,原有权限并没有被收回,所以随着时间推移访问范围也就越来越大。我们曾为国防部做过很多工作,大家可能想象不到,就连「谁负责管理外包商?」「外包商在访问网络时出了麻烦,该由谁担责?」这样的问题都很难有明确的答案。”
托珀也表示,“我们最终还是达到了CISA对主用户记录/主设备记录的管理能力要求……开始将这些信息整合起来,以确保数据是干净的。”
卫生与公民服务部首席信息官杰拉尔德·卡隆(Gerald Caron)在会议最后总结道,“无论是借助Ping、Okta或ADFS”,身份“都是一件好事……毕竟包括我自己在内,没人愿意硬记几十种应用程序上的用户名和密码。”


参考资料:nextgov.com



推荐阅读





点击下方卡片关注我们,
带你一起读懂网络安全 ↓


原文始发于微信公众号(安全内参):美政府积极推进零信任身份改造,NIST将发布首份全面身份管理指南

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月3日22:59:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  美政府积极推进零信任身份改造,NIST将发布首份全面身份管理指南 http://cn-sec.com/archives/1220228.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: