编者按:美国防信息系统局正在创新和现代化美军身份、凭证和访问管理(ICAM)解决方案,目标是实现美军内部的联合ICAM,同时将联合ICAM扩展到国际盟友和合作伙伴。
美国防部零信任网络安全框架要求所有连接到网络的用户和设备在通过网络时都必须获得持续授权,而ICAM 是该框架的重要组成部分。ICAM是一种执行持续检查以确保用户能够访问目标信息的做法,通常由一套IT政策、系统和安全工具组成,用于验证用户是否拥有访问网络特定部分的正确凭证。虽然美国防部各部门都在努力开发自身的ICAM功能,但美国防部一直在寻求创建和实施整体解决方案,以简化美国防部信息网络以及与国际盟友和合作伙伴的信息共享。联合ICAM将允许一个机构接受另一机构的身份流程和程序,以便在现有平台上实现数据互访。美国防信息系统局认为联合ICAM对于美国防部在2027财年末实现零信任“目标水平”的目标至关重要,目前已经实施了自动化账户配置以取代了授予用户系统访问权限的手动流程,可以通过主用户记录来跟踪用户访问和活动并在必要时删除访问权限。
美国防信息系统局认为联合ICAM既是美军内部跨部门信息共享的重要组成部分也是与任务伙伴合作的方式,正在美军内部以及国际盟友和合作伙伴两侧同时推进联合ICAM工作。在美军内部方面,该机构于2024年底成立了一个联合中心,以整合美国防部现有的ICAM实现,计划分别于3月底、6月底和9月底在陆军、海军和空军的非机密网络上实现联合ICAM连接;在完成军种联合工作后,将首先帮助国防人力数据中心实现联合ICAM,然后推广到美国防部的其他部门;未来还计划在机密网络上开展ICAM联合工作。在国际盟友和合作伙伴方面,美国防部2024年12月宣布,在联合试点项目中实现了与加拿大武装部队的联合ICAM连接,下一步是将这一能力扩展到所有北约国家和其他盟国,希望将联合ICAM工作从数月降低至数天,从而能够支持联合作战。
奇安网情局编译有关情况,供读者参考。
美国国防信息系统局(DISA)正在对美国国防部的身份、凭证和访问管理(ICAM)进行创新和现代化,计划在2025财年结束(即9月30日)前在所有军种的非机密网络上实现联合ICAM连接。
1►
ICAM是零信任的重要支柱
ICAM是一种执行持续检查以确保用户被允许访问其试图访问的信息的做法,通常由一套IT政策、系统和安全工具组成,用于验证用户是否拥有访问网络特定部分的正确凭证。虽然美国防部各部门都在努力开发自己的ICAM功能,但美国防部一直在寻求创建和实施整体解决方案,以简化美国防部信息网络以及与国际盟友和合作伙伴的信息共享。ICAM对于美国防部更大的零信任“永不信任,始终验证”理念至关重要,该理念在网络始终受到侵害的假设下运作。
联合ICAM允许一个机构接受另一机构的身份流程和程序,以便在现有平台上访问彼此的数据。美国防信息系统局正在通过创建单一身份提供点来推进其工作,允许用户无需复杂的身份验证过程即可访问多个部门应用程序。
美国防信息系统局(DISA)网络项目执行办公室项目执行官布莱恩·赫尔曼2月21日表示,美国防信息系统局已经实施了自动化账户配置,取代了授予用户系统访问权限的手动流程,并且主用户记录可以跟踪用户访问和活动并在必要时删除访问权限。
布莱恩·赫尔曼表示,目前,只有少数获得许可的个人可以访问主用户记录,最终他们可以利用这些权限来监控和检测内部威胁;目前,活动监控最好由了解其任务并能轻松发现差异的机构单独评估,而不是在整个体系范围内进行广泛评估。
总体而言,ICAM 是美国防部在零信任网络安全框架下运作的关键部分,该框架要求所有连接到网络的用户和设备在通过网络时都必须获得持续授权。布莱恩·赫尔曼强调,DISA的联合ICAM活动对于美国防部在2027财年末实现零信任“目标水平”的目标至关重要。
2►
先统一美军各军种
布莱恩·赫尔曼表示,2024年底,DISA建立了一个联合中心,开始整合美国防部现有的ICAM实例,首先是美国陆军的实例。他表示,该中心为美国防信息系统局提供了所有用户可以访问的信息的“全貌”,并确保该机构能够消除他们可能在部门其他系统中扮演的角色冲突。
布莱恩·赫尔曼预计美国陆军的ICAM联合解决方案将在3月底完成。布莱恩·赫尔曼称,“然后大约3个月后,海军将完成这项工作,然后在本财年结束前完成空军的这项工作。我们将利用从各军种中吸取的经验教训,继续推进美国防部内所有其他ICAM解决方案的联合工作。” 到目前为止,美国防信息系统局在过渡过程中没有遇到任何技术问题。
布莱恩·赫尔曼表示,美国各军种按此顺序实现联合ICAM的原因是各军种正在进行的其他“活动”存在“时间冲突”,而不是说陆军的技术解决方案比其他任何方案都更先进或更成熟。
布莱恩·赫尔曼称,“ICAM是美国防部所有人都可以使用的东西,特别是在战术情况下,军事部门本身需要有解决方案来满足他们的需求。”他表示,如果战术位置与体系ICAM断开连接,军事部门仍将拥有本地身份提供机构功能与体系间最新的数据同步。
3►
推进到整个美国防部
一旦美军各军种实现了联合ICAM连接,下一步就是与国防人力数据中心(美国防部人员和人力信息的存储库)合作,帮助其实现联合ICAM,随后是美国防部的其他部门。美国防信息系统局未来还计划在机密网络上开展ICAM联合工作。
虽然目标是拥有一个联合点,但美国防信息系统局认识到并非所有组成机构都能与整体ICAM有效协作,而实际上,关键在于找到正确数量的ICAM实例。例如,美国防信息系统局拥有200到300个需要采用ICAM的应用程序,而整个美国防部可能有近10000个不同的应用程序。决定哪些应用程序应该与整体ICAM联合也有助于清除可以放弃的过时应用程序。
虽然布莱恩·赫尔曼无法提供美国防部需要联合的应用程序的确切数量,但他表示这个数字比最初预期的要多。他指出,联合工作还让不同部门了解了哪些系统可以现代化、哪些系统将来必须更换。他称,“这有助于确定某些东西是否需要现代化并转移到ICAM,或者是否可能需要消失并停止存在。我认为在这个过程中,整个部门进行了大量应用程序合理化,这可能是一次很好的内部清理工作。”
布莱恩·赫尔曼表示,在开展联合过程的过程中,美国防信息系统局正在与国防部各部门合作,以确定整体ICAM解决方案是否能够满足各部门特定需求,并避免整个部门出现过多的实例。他称,“我们真的想证明,在创建新的ICAM前,现有ICAM无法支持某些功能,因为这样做成本不低。我们应该有真正强大的动力来支持更多ICAM。我坚信体系,我想尽可能地让它发挥作用。当我们这样做时,我们对联合的要求就会减少,因为整体解决方案将服务于更多的用户。”
尽管如此,布莱恩·赫尔曼强调了找到可用ICAM解决方案的正确平衡点的重要性,因为可用的解决方案太少会给美国防部带来“瓶颈”。为此,他表示,允许各军种拥有自己的ICAM解决方案有助于美国防信息系统局更快地采用。他称,“我真诚地希望在未来的某个时候,我们能够开展某种程度的整合,但通过拥有一些单独的ICAM实例,可以让每个人都快速实施和采用ICAM。目前,这是采用ICAM的帐篷中最长的支柱——确保应用程序所有者能够与他们的ICAM提供商合作并连接他们的应用程序。”
4►
扩展到盟友和合作伙伴
在此过程中,美国防信息系统局还将开始与盟友和合作伙伴共同努力实现联合ICAM。美国防部和加拿大武装部队2024年12月宣布,双方在联合试点项目中实现了两军间的 联合ICAM连接。美国防部代理首席信息官莱斯利·比弗斯当时表示,下一步是将这一能力扩展到所有北约国家和其他盟国。莱斯利·比弗斯称,“我们从美国和加拿大开始,规模很小。我们正在制定方案、策略、技术和政策。然后,我们将尝试将其扩展到32个国家,然后再扩展到其他盟友和合作伙伴,但我们需要所有人的帮助。我只想请大家把注意力集中在平凡的事情上,让我们解决这个问题,这将释放北约的力量。”
布莱恩·赫尔曼表示,联合ICAM是信息共享的重要组成部分。他称,“ICAM是我们跨部门工作的方式,也是我们与任务伙伴合作的方式。为了与盟国和联盟伙伴合作,我们必须与联盟中的合作伙伴建立一定的联系,并了解我们与之合作的对象,以确保我们了解他们的访问权限并授予他们访问国防部资源的权限。”
布莱恩·赫尔曼表示,在美国防部开始与其他国家广泛建立联ICAM访问前,赫尔曼表示需要加快联合进程,这将通过从各军种吸取的经验教训成为可能。
目前,联合过程需要数月时间,而布莱恩·赫尔曼的目标是将这一时间缩短至几天。为了实现这一目标,布莱恩·赫尔曼强调了改进联盟过程中使用的流程和工具、利用自动化和简化工作流程的重要性。他称,“当我们开始与外部伙伴、盟友……可能与我们并肩作战的临时联盟联合时,我们必须能够迅速采取行动,以确保我们能够继续与这些任务伙伴合作。我认为,如果我们要为提供作战支持发挥支持作用,速度必须缩短到几天,而不是几个月,这是我的观察。”
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
