在一次研讨会上,联邦官员们表示,采购决策会带有主观因素,应重点关注实现“零信任”系统的通用基础要素,少纠结供应商或方案差异;
SolarWinds事件暴露出联合身份权限过大的问题,尤其是一些外包供应商权限已超过局长,其对政府系统的访问活动却无人监督;
NIST将更新身份和访问管理指南,对机构内、机构间、外包商、普通民众开展身份验证,实现全面身份管控化。
前情回顾·美国政府零信任战略
安全内参消息,为了避免类似SolarWinds的事件重演(恶意黑客利用IT管理外包商的访问权限与低下的身份管理水平,至少入侵了九个联邦部门),身份验证服务商越来越受到高度关注。不过日前一次研讨会上,负责相关工作的美国政府官员强调,具体实施还需要各方机构积极参与。
技术专家杰里米•格兰特(Jeremy Grant)表示,“经历SolarWinds事件后,每一家行业领先的身份验证服务商都能感受到业务更好做了。”
格兰特目前是Venable律师事务所负责技术业务战略的常务董事。在美国国家标准与技术研究院(NIST)制定关键基础设施安全性改进路线图期间,他曾经提供了身份与认证管理方面的建议。
说起市面上的顶尖身份验证提供商,如Ping、Okta、Forgerock以及微软Active Directory Federation Services(ADFS)等,他认为“在关于到底该选择哪家提供商方面,之前的争议一直比较玄学,类似于可口可乐和百事可乐到底哪种更好喝。”
周二(8月2日),参加先进技术研究中心在线会议的联邦官员普遍认为,任何机构的决策都包含大量主观性因素。因此,他们将更多关注机构所必需的通用基础要素,对具体供应商或安全方法的选择不做关注,仅视为达成管理和预算办公室(OBM)发布的建立“零信任”系统指令的手段。
网络安全和基础设施安全局(CISA)发布公告称,在SolarWinds事件曝光后,各机构纷纷开始寻求解决之道。SolarWinds事件中,恶意黑客使用微软ADFS劫持了系统管理员的凭证,借此在目标网络上横向移动。第14028号总统行政令要求,各机构应优先建立以零信任为核心的身份和访问管理系统,根据特定角色(例如人力资源人员)和属性(例如所在位置)为其授予查看/编辑某些资产的相应权限。
网络安全和基础设施安全局的格兰•达舍(Grant Dasher)提到,“CISA在政府的身份空间中有望发挥更大作用。我们正努力提供更多指导,包括零信任成熟度模型和云安全参考架构。相信这一领域将很快出现更多解决方案。”
达舍表示,各机构最应该从SolarWinds事件中吸取的教训之一,就是“充分了解基础设施内的信任边界和接触面。”
他表示,“只要认真研究过特定架构的设计方式,就会意识到某些联合凭证虽然使用频繁,但却不一定该被纳入管理员账户。也许我们可以为云管理员账户设置一个单独的信任根,把它的权限范围收窄,这样才不会影响到原有(本地资产)的所有接触面。”
技术专家马特•托珀(Matt Topper)透露,NIST正在更新关于身份和访问管理的出版物文件,并将“发布有史以来第一份关于联邦指导的真实、专用文件。”这份文件不仅希望能在机构之间开展身份验证,还要求在机构及其外包商/普通民众间开展身份验证。托珀是联邦身份访问供应商Uberether的总裁,也是ATARC网络研讨会的小组成员。
外包供应商尤为重要,因为这些托管服务提供商已经成为高水平恶意黑客的切入点,而且很难搞清楚,到底该由谁监督外包商们对政府系统的访问活动。
托珀表示,“我总是开玩笑地说,那些已经为机构工作了很长时间的外包商,掌握的访问权限甚至比机构主管还要高。这是因为我们在重新认证外包商访问权限上做得不够好。当他们解约又签约之后,原有权限并没有被收回,所以随着时间推移访问范围也就越来越大。我们曾为国防部做过很多工作,大家可能想象不到,就连「谁负责管理外包商?」「外包商在访问网络时出了麻烦,该由谁担责?」这样的问题都很难有明确的答案。”
托珀也表示,“我们最终还是达到了CISA对主用户记录/主设备记录的管理能力要求……开始将这些信息整合起来,以确保数据是干净的。”
卫生与公民服务部首席信息官杰拉尔德·卡隆(Gerald Caron)在会议最后总结道,“无论是借助Ping、Okta或ADFS”,联合身份“都是一件好事……毕竟包括我自己在内,没人愿意硬记几十种应用程序上的用户名和密码。”
参考资料:https://www.nextgov.com/cybersecurity/2022/08/nist-cisa-finalizing-guidance-identity-and-access-management-post-solarwinds/375279/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。