美政府积极推进零信任身份改造，NIST将发布首份全面身份管理指南

• 在一次研讨会上，联邦官员们表示，采购决策会带有主观因素，应重点关注实现“零信任”系统的通用基础要素，少纠结供应商或方案差异；

• SolarWinds事件暴露出联合身份权限过大的问题，尤其是一些外包供应商权限已超过局长，其对政府系统的访问活动却无人监督；

• NIST将更新身份和访问管理指南，对机构内、机构间、外包商、普通民众开展身份验证，实现全面身份管控化。

前情回顾·美国政府零信任战略

• 迈向“零信任”！美国白宫计划开发实时信任评分系统

• 美国司法部制定零信任发展路线图：要在三年内落地

• 美国政府零信任战略正式发布，将落地首个国家级零信任架构

安全内参消息，为了避免类似SolarWinds的事件重演（恶意黑客利用IT管理外包商的访问权限与低下的身份管理水平，至少入侵了九个联邦部门），身份验证服务商越来越受到高度关注。不过日前一次研讨会上，负责相关工作的美国政府官员强调，具体实施还需要各方机构积极参与。

技术专家杰里米•格兰特（Jeremy Grant）表示，“经历SolarWinds事件后，每一家行业领先的身份验证服务商都能感受到业务更好做了。”

格兰特目前是Venable律师事务所负责技术业务战略的常务董事。在美国国家标准与技术研究院（NIST）制定关键基础设施安全性改进路线图期间，他曾经提供了身份与认证管理方面的建议。

说起市面上的顶尖身份验证提供商，如Ping、Okta、Forgerock以及微软Active Directory Federation Services（ADFS）等，他认为“在关于到底该选择哪家提供商方面，之前的争议一直比较玄学，类似于可口可乐和百事可乐到底哪种更好喝。”

周二（8月2日），参加先进技术研究中心在线会议的联邦官员普遍认为，任何机构的决策都包含大量主观性因素。因此，他们将更多关注机构所必需的通用基础要素，对具体供应商或安全方法的选择不做关注，仅视为达成管理和预算办公室（OBM）发布的建立“零信任”系统指令的手段。

网络安全和基础设施安全局（CISA）发布公告称，在SolarWinds事件曝光后，各机构纷纷开始寻求解决之道。SolarWinds事件中，恶意黑客使用微软ADFS劫持了系统管理员的凭证，借此在目标网络上横向移动。第14028号总统行政令要求，各机构应优先建立以零信任为核心的身份和访问管理系统，根据特定角色（例如人力资源人员）和属性（例如所在位置）为其授予查看/编辑某些资产的相应权限。

网络安全和基础设施安全局的格兰•达舍（Grant Dasher）提到，“CISA在政府的身份空间中有望发挥更大作用。我们正努力提供更多指导，包括零信任成熟度模型和云安全参考架构。相信这一领域将很快出现更多解决方案。”

达舍表示，各机构最应该从SolarWinds事件中吸取的教训之一，就是“充分了解基础设施内的信任边界和接触面。”

他表示，“只要认真研究过特定架构的设计方式，就会意识到某些联合凭证虽然使用频繁，但却不一定该被纳入管理员账户。也许我们可以为云管理员账户设置一个单独的信任根，把它的权限范围收窄，这样才不会影响到原有（本地资产）的所有接触面。”

技术专家马特•托珀（Matt Topper）透露，NIST正在更新关于身份和访问管理的出版物文件，并将“发布有史以来第一份关于联邦指导的真实、专用文件。”这份文件不仅希望能在机构之间开展身份验证，还要求在机构及其外包商/普通民众间开展身份验证。托珀是联邦身份访问供应商Uberether的总裁，也是ATARC网络研讨会的小组成员。

外包供应商尤为重要，因为这些托管服务提供商已经成为高水平恶意黑客的切入点，而且很难搞清楚，到底该由谁监督外包商们对政府系统的访问活动。

托珀表示，“我总是开玩笑地说，那些已经为机构工作了很长时间的外包商，掌握的访问权限甚至比机构主管还要高。这是因为我们在重新认证外包商访问权限上做得不够好。当他们解约又签约之后，原有权限并没有被收回，所以随着时间推移访问范围也就越来越大。我们曾为国防部做过很多工作，大家可能想象不到，就连「谁负责管理外包商？」「外包商在访问网络时出了麻烦，该由谁担责？」这样的问题都很难有明确的答案。”

托珀也表示，“我们最终还是达到了CISA对主用户记录/主设备记录的管理能力要求……开始将这些信息整合起来，以确保数据是干净的。”

卫生与公民服务部首席信息官杰拉尔德·卡隆（Gerald Caron）在会议最后总结道，“无论是借助Ping、Okta或ADFS”，联合身份“都是一件好事……毕竟包括我自己在内，没人愿意硬记几十种应用程序上的用户名和密码。”

参考资料：https://www.nextgov.com/cybersecurity/2022/08/nist-cisa-finalizing-guidance-identity-and-access-management-post-solarwinds/375279/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。