统一全军身份验证和访问，美国防部深化部署零信任架构

安全内参2月27日消息，美国国防部IT部门计划今年内统一美军用于身份验证和访问非机密网络系统的数字工具，首个试点部门为陆军，预计将在下个月完成。

无论是在办公桌前，还是在战场上，美国国防组织通常使用不同的工具来登录或访问特定的网络、系统或数字环境。国防信息系统局（DISA）希望将这些工具统一为单个解决方案。

2月21日，DISA网络项目执行官Brian Hermann在接受记者采访时表示：“DISA在国防部ICAM（身份、凭证和访问管理）的角色是提供企业级身份认证、凭证和访问管理功能，这意味着国防部的每个人都可以使用这一服务。在某些情况下，尤其是在战术应用中，军种本身需要符合其特定需求的解决方案。”

身份、凭证和访问管理解决方案有助于确保用户仅能访问他们被授权查看的数据和系统。它也是五角大楼零信任网络安全战略的重要组成部分，零信任假设黑客已经渗透进网络内部。

Hermann表示：“它为我们提供了整个部门的全局视野……也是我们与盟友和联合伙伴连接的基础。我们预计在本财政年度结束前完成所有军种的联合身份认证工作。”

自去年10月以来，DISA已经开始将陆军的ICAM解决方案与其自有系统进行对接，这一整合过程被称为“联合认证”（federation），最终计划在国防部内部全面实现这一整合。该机构还计划根据需要将这一解决方案扩展至加密网络。

Hermann透露：“我们预计将在下个月结束前完成陆军的工作，实际上是到3月底；然后大约三个月后完成海军的工作，接着是空军，预计在财政年度结束前完成所有军种的部署。”他还指出，所有军种的ICAM联合认证工作应在10月前完成。在各军种部署完成后，DISA将与国防人力数据中心以及其他国防部组件合作，进一步推动实施。DISA还在使用国家安全局的工具，允许数据所有者标记“属性”，例如位置和安全级别，以便精确管理访问权限。

Hermann表示：“基于属性的访问控制使数据所有者能够设定访问政策执行点。例如，‘任何拥有秘密安全许可的人可以访问这些数据’，或‘任何是美国公民且是国防部雇员的人，且使用我们信任的设备’都可以获得访问权限。因此，现在我们不仅仅是获取身份信息，还包括设备的位置信息及其补丁状态，这些也成为了获得访问权限的前提条件。”

然而，这一数据标记过程复杂且依据不同的环境要求有所不同。

Hermann指出：“在非机密网络中，这一挑战尤为突出。虽然一些现代工具能够在像SharePoint和Office365这样的环境中实现这一功能，但在其他一些数据环境中实现起来就更加困难，这些环境在整个部门中都存在。”

他补充道：“这是我们正在努力解决的一个挑战，目标是提供有效的访问控制能力。目前，我们正在进行一些更广泛的试点，应用零信任模型来测试哪些技术最适合用于制定访问控制规则。”他们正在考虑使用自动化技术来筛查数据并推荐最合适的访问控制策略。