安全内参消息，为了避免类似SolarWinds的事件重演（恶意黑客利用IT管理外包商的访问权限与低下的身份管理水平，至少入侵了九个联邦部门），身份验证服务商越来越受到高度关注。不过日前一次研讨会上，负责相关工作的美国政府官员强调，具体实施还需要各方机构积极参与。 技术专家杰里米•格兰特（Jeremy Grant）表示，“经历SolarWinds事件后，每一家行业领先的身份验证服务商都能感受到业务更好做了。” 格兰特目前是Venable律师事务所负责技术业务战略的常务董事。在美国国家标准与技术研究院（NIST）制定关键基础设施安全性改进路线图期间，他曾经提供了身份与认证管理方面的建议。 说起市面上的顶尖身份验证提供商，如Ping、Okta、Forgerock以及微软Active Directory Federation Services（ADFS）等，他认为“在关于到底该选择哪家提供商方面，之前的争议一直比较玄学，类似于可口可乐和百事可乐到底哪种更好喝。” 周二（8月2日），参加先进技术研究中心在线会议的联邦官员普遍认为，任何机构的决策都包含大量主观性因素。因此，他们将更多关注机构所必需的通用基础要素，对具体供应商或安全方法的选择不做关注，仅视为达成管理和预算办公室（OBM）发布的建立“零信任”系统指令的手段。 网络安全和基础设施安全局（CISA）发布公告称，在SolarWinds事件曝光后，各机构纷纷开始寻求解决之道。SolarWinds事件中，恶意黑客使用微软ADFS劫持了系统管理员的凭证，借此在目标网络上横向移动。第14028号总统行政令要求，各机构应优先建立以零信任为核心的身份和访问管理系统，根据特定角色（例如人力资源人员）和属性（例如所在位置）为其授予查看/编辑某些资产的相应权限。 网络安全和基础设施安全局的格兰•达舍（Grant Dasher）提到，“CISA在政府的身份空间中有望发挥更大作用。我们正努力提供更多指导，包括零信任成熟度模型和云安全参考架构。相信这一领域将很快出现更多解决方案。” 达舍表示，各机构最应该从SolarWinds事件中吸取的教训之一，就是“充分了解基础设施内的信任边界和接触面。” 他表示，“只要认真研究过特定架构的设计方式，就会意识到某些联合凭证虽然使用频繁，但却不一定该被纳入管理员账户。也许我们可以为云管理员账户设置一个单独的信任根，把它的权限范围收窄，这样才不会影响到原有（本地资产）的所有接触面。” 技术专家马特•托珀（Matt Topper）透露，NIST正在更新关于身份和访问管理的出版物文件，并将“发布有史以来第一份关于联邦指导的真实、专用文件。”这份文件不仅希望能在机构之间开展身份验证，还要求在机构及其外包商/普通民众间开展身份验证。托珀是联邦身份访问供应商Uberether的总裁，也是ATARC网络研讨会的小组成员。 外包供应商尤为重要，因为这些托管服务提供商已经成为高水平恶意黑客的切入点，而且很难搞清楚，到底该由谁监督外包商们对政府系统的访问活动。 托珀表示，“我总是开玩笑地说，那些已经为机构工作了很长时间的外包商，掌握的访问权限甚至比机构主管还要高。这是因为我们在重新认证外包商访问权限上做得不够好。当他们解约又签约之后，原有权限并没有被收回，所以随着时间推移访问范围也就越来越大。我们曾为国防部做过很多工作，大家可能想象不到，就连「谁负责管理外包商？」「外包商在访问网络时出了麻烦，该由谁担责？」这样的问题都很难有明确的答案。” 托珀也表示，“我们最终还是达到了CISA对主用户记录/主设备记录的管理能力要求……开始将这些信息整合起来，以确保数据是干净的。” 卫生与公民服务部首席信息官杰拉尔德·卡隆（Gerald Caron）在会议最后总结道，“无论是借助Ping、Okta或ADFS”，联合身份“都是一件好事……毕竟包括我自己在内，没人愿意硬记几十种应用程序上的用户名和密码。” 转自 安全内参，原文链接：https://www.secrss.com/articles/45404 封面来源于网络，如有侵权请联系删除