迈向“真·零信任”！美国白宫计划开发实时信任评分系统

从用户的某项服务中发现了零日漏洞，那对方的信任度就应被下调一定的百分比；

一旦用户因得分过低而无法获取访问权限，系统将为其提供一份提高信任分的清单——例如重新认证或者输入个人身份验证卡。

安全内参7月11日消息，据美国白宫管理和预算办公室（OMB）首席信息安全官丹·钱德勒（Dan Chandler）介绍，该部门正在开发一套系统，旨在为用户生成信任评分，据此判断对方是否有权访问其网络或应用程序。

在上周四（7月7日）的ATARC网络研讨会上，钱德勒表示，此举希望利用该办公室掌握的所有网络信息做出安全评判。新系统将在用户评分不高时实时发出提醒，而不是简单粗暴的拒绝用户的请求。

拜登总统2021年5月发布的“网络安全行政令”加快了各级机构实施零信任安全架构的进度，但目前的资金和专业知识储备，尚不足以支撑起管理和预算办公室的安全构想。

钱德勒坦言，“「系统」这个词可能说得有点过，我们目前才刚刚形成初步想法。”

美国联邦政府CIO克莱尔·马托拉纳（Clare Martorana）在上个月的采访中表示，管理和预算办公室希望推动新的信任措施，以改善安全水平与客户体验。

各级机构目前正在使用Google Authenticator或AWS和微软Azure的其他工具对用户进行身份验证。然而，用户的受信任水平会根据事态发展而有所变化。钱德勒说，比如从用户的某项服务中发现了零日漏洞，那对方的信任度就应被下调一定的百分比。

如果项目成功实施，管理和预算办公室将能够把当前会话的信任得分与功能的信任分要求进行比较。一旦用户因得分过低而无法获取访问权限，系统还可以为其提供一份提高信任分的清单——例如重新认证或者输入个人身份验证卡。

各联邦机构进度不一

美国商务部也对评估用户及设备信任度抱有兴趣，但其零信任架构目前还没有将网络因素纳入考量。

商务部副首席信息官劳伦斯·安德森（Lawrence Anderson）解释称，“投资尚未到位，我们还没有走到那一步。但未来，我们肯定需要某些先进的工具，真正将零信任提升到符合需求的更高水平。”

与此同时，美国联邦总务署则在研究另外一种身份验证解决方案，预计其成本将略低于Login.gov（联邦政府的统一单点登录服务）。

多年以来，管理和预算办公室一直运行MAX.gov系统，其中使用个人身份验证（PIV）卡进行身份验证。目前已经有多家政府机构在预算系统及其他用例中使用MAX.gov。

钱德勒表示，“MAX.gov正逐步过渡给联邦总务署。预计到明年年底，总务署将提出一套替代性解决方案。而且据我所知，新方案应该会以Azure Active Directory为基础。”

参考资料：fedscoop.com