邁向“真·零信任”！美國白宮計劃開發實時信任評分系統

從用戶的某項服務中發現了零日漏洞，那對方的信任度就應被下調一定的百分比；

一旦用戶因得分過低而無法獲取訪問權限，系統將為其提供一份提高信任分的清單——例如重新認證或者輸入個人身份驗證卡。

安全內參7月11日消息，據美國白宮管理和預算辦公室（OMB）首席信息安全官丹·錢德勒（Dan Chandler）介紹，該部門正在開發一套系統，旨在為用戶生成信任評分，據此判斷對方是否有權訪問其網絡或應用程序。

在上周四（7月7日）的ATARC網絡研討會上，錢德勒表示，此舉希望利用該辦公室掌握的所有網絡信息做出安全評判。新系統將在用戶評分不高時實時發出提醒，而不是簡單粗暴的拒絕用戶的請求。

拜登總統2021年5月發布的“網絡安全行政令”加快了各級機構實施零信任安全架構的進度，但目前的資金和專業知識儲備，尚不足以支撐起管理和預算辦公室的安全構想。

錢德勒坦言，“「系統」這個詞可能說得有點過，我們目前才剛剛形成初步想法。”

美國聯邦政府CIO克萊爾·馬托拉納（Clare Martorana）在上個月的采訪中表示，管理和預算辦公室希望推動新的信任措施，以改善安全水平與客戶體驗。

各級機構目前正在使用Google Authenticator或AWS和微軟Azure的其他工具對用戶進行身份驗證。然而，用戶的受信任水平會根據事態發展而有所變化。錢德勒說，比如從用戶的某項服務中發現了零日漏洞，那對方的信任度就應被下調一定的百分比。

如果項目成功實施，管理和預算辦公室將能夠把當前會話的信任得分與功能的信任分要求進行比較。一旦用戶因得分過低而無法獲取訪問權限，系統還可以為其提供一份提高信任分的清單——例如重新認證或者輸入個人身份驗證卡。

各聯邦機構進度不一

美國商務部也對評估用戶及設備信任度抱有興趣，但其零信任架構目前還沒有將網絡因素納入考量。

商務部副首席信息官勞倫斯·安德森（Lawrence Anderson）解釋稱，“投資尚未到位，我們還沒有走到那一步。但未來，我們肯定需要某些先進的工具，真正將零信任提升到符合需求的更高水平。”

與此同時，美國聯邦總務署則在研究另外一種身份驗證解決方案，預計其成本將略低于Login.gov（聯邦政府的統一單點登錄服務）。

多年以來，管理和預算辦公室一直運行MAX.gov系統，其中使用個人身份驗證（PIV）卡進行身份驗證。目前已經有多家政府機構在預算系統及其他用例中使用MAX.gov。

錢德勒表示，“MAX.gov正逐步過渡給聯邦總務署。預計到明年年底，總務署將提出一套替代性解決方案。而且據我所知，新方案應該會以Azure Active Directory為基礎。”

參考資料：fedscoop.com