Federal kurumlar çok önemli bir siber güvenlik sorunuyla karşı karşıyadır: yetkili federal çalışanlara ve yüklenicilere doğrulanmış ihtiyaçla orantılı erişim izni verirken, yetkisiz kuruluşların sistem ve tesislere erişmesini engellemek. İki faktör bu hedefi karmaşık hale getiriyor: (1) giderek daha karmaşık hale gelen siber suçluların aralıksız çabaları ve (2) çoğu, modası geçmiş savunma mekanizmalarına dayanan, kötü tanımlanmış arayüzlerle modası geçmiş sayısız teşkilat sistemi.
Dijital modernizasyon ve buluta geçiş önemli yanıtlardan oluşuyor. Ek olarak, federal kimlik, kimlik bilgisi ve erişim yönetimi (ICAM) standartları ve yönergeleriyle birleştirilen teknolojik gelişmeler, federal kurumlara güçlü kimlik yönetimi araçları sunar.
ICAM Sıfır Güvenle Buluşuyor
Geleneksel federal kimlik doğrulama ve erişim kontrolü mekanizmaları çevre tabanlı güvene dayanıyordu. Burada kullanıcılar ağ giriş noktasında kimliklerini doğrularlar. Daha sonra bu kimliğe atanan roller daha fazla erişimi yönetir.
Yönetim ve Bütçe Ofisi M-22-09 Memorandumu, ABD Hükümetini Sıfır Güven Siber Güvenlik İlkelerine Doğru Taşıyor, sıfır güven mimarisine (ZTA) geçişin açılışını yaptı. Burada, güvenlik çemberinin içinde veya dışında hiçbir kişiye, kişi dışı varlığa, sisteme veya ağa güven verilmez. ZTA, özellikle kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama olmak üzere kurumsal düzeydeki kontrolleri vurgular.
Sonuç, doğru standart ve politika karışımıyla tamamlanan güçlü ICAM çözümlerine olan taleptir. Standartlar ve yenilik, NextGen yolculuğumuzun parolalarıdır.
Federal Uygulamalara Yön Veren Temel Kimlik Standartları
Federal kurumun benimsenmesine yönelik en önemli üç kimlik yönetimi standardı şunlardır:
- NIST Özel Yayını 800-63. Dört ciltlik yayın olan Dijital Kimlik Yönergeleri, federal kimlik yönetiminin temel taşını oluşturur. Federal kurumlarda dijital kimliğin uygulanmasına yönelik teknik gereklilikleri belirler ve risk değerlendirmesi, güvence düzeyi seçimi ve uygun kontroller için süreçler sunar.
Bu belge, kamu ve özel bilgi güvenliği profesyonellerinin en iyi düşüncelerini birleştirir ve her iki dünyaya da dijital kimlik yönetimi için risk temelli bir yaklaşım sunar. Önemli iyileştirmeler arasında güncellenmiş bir dijital kimlik modelinin eklenmesi, risk yönetiminde daha fazla süreç yönelimi ve revize edilmiş bir güvence seviyesi seçim metodolojisi yer almaktadır.
- Federal Bilgi İşleme Standartları 201. FIPS 201, federal çalışanların ve yüklenicilerin Kişisel Kimlik Doğrulamasına (PIV) ilişkin İç Güvenlik Başkanlık Direktifi 12’nin gerekliliklerini uygular. Akıllı kart tabanlı kimlik bilgilerine özel olarak odaklanarak mantıksal ve fiziksel erişim uygulamalarını ele alır.
NIST tarafından yayınlanan bu zorunlu standart, federal tesislere ve bilgi sistemlerine erişim için kullanılan akıllı kartları da içeren PIV kimlik bilgilerinin oluşturulması, yayınlanması ve yönetilmesine ilişkin teknik özellikleri ve operasyonel gereksinimleri tanımlar.
- X.509v3. X.509v3, PKI kimlik bilgilerini vermeye ve yönetmeye yönelik uluslararası standarttır. PKI, dijital sertifikalar ve kriptografik anahtar çiftleri kullanarak bilgilerin güvenli elektronik aktarımını kolaylaştırır.
Asimetrik kriptografiye dayalı dijital sertifikalar ve anahtar çiftlerinin birleşimi, ZTA’nın ihtiyaç duyduğu güveni (gönderenin (kullanıcı ve cihaz) kimlik doğrulaması, içerik kimlik doğrulaması (güvenli veri iletimi) ve inkar edilmemesini) sağlar.
Gelişen Yenilikler
Sürekli yenilik, kimlik yönetimi alanının bir özelliğidir. Ele alınacak çok fazla ilerleme olsa da her federal ICAM liderinin bu teknolojilerden haberdar olması gerekir:
- Yapay zeka, insan müdahalesi olmadan bir dizi kritik görevi yerine getirerek kimlik ve erişim yönetiminde zaten rol oynuyor. Tüm tahminlere göre, gelecekteki uygulamalar (özellikle üretken yapay zeka ve makine öğrenimine dayananlar) kimlik ve erişim yönetimi dünyasını dönüştürecek.
Yapay zeka birçok fayda sunuyor. Örneğin, daha hızlı model tanıma, otomatik ağ koruma önlemlerini hızlı bir şekilde tetikleyebilir. Öte yandan, yapay zeka yanlış ellerde veya kötü niyetle kullanıldığında hayal gücünün ötesinde tehditler yaratabilir.
- Hızlı Kimlik Çevrimiçi (FIDO). FIDO Alliance tarafından geliştirilen FIDO, popüler işletim sistemi platformları ve tarayıcılarda kullanılabilen güçlü, kullanımı kolay asimetrik şifreleme tabanlı kimlik bilgilerine yönelik bir endüstri standardıdır.
Türetilmiş PIV Geçiş Anahtarları (DPP’ler) – FIPS 201 ve NIST Özel Yayını 800-157r1’e uygun olarak türetilmiş PIV kimlik bilgileri olarak uygulanan FIDO2 kimlik bilgileri – federal kurumsal kullanıcılar tarafından kullanılabilen kullanıcı dostu, çok faktörlü ve kimlik avına karşı dayanıklı kimlik doğrulayıcılardır. Yakın zamanda federal çevrimiçi hizmetlerde kimlik doğrulaması için DPP’leri kullanan bir kimlik doğrulama modeli önerdim. Bu, modern kimlik doğrulamaya doğru bir sıçramayı temsil edebilir.
- Öznitelik tabanlı erişim kontrolü. ABAC, erişimi dinamik olarak yönetmek için çok yönlü bir yaklaşımdır. Erişim kararları, gerçek zamanlı nitelikleri kullanıcıya, kaynağa ve çevreye atananlarla ve bunları yöneten dijital politikalarla karşılaştırır.
ABAC ve rol tabanlı erişim kontrol modelleri söz konusu olduğunda pek çok kişi ya ya ya ya ya ya ya ya ya ya ya ya ya ya da ikisi’ gibi bir öneriyi öne sürüyor ki. OMB M-22-09 ile aynı fikirdeyim; bu, ikisini birlikte kullanmanın, her iki modelin ayrı ayrı kullanılmasından daha fazla güvence sunduğunu öne sürüyor.
- Kimlik yönetişimi ve yönetimi (IGA) araçları. Dijital kimlikleri yaşam döngüleri boyunca yöneten ve veri toplama ve korelasyon yoluyla dijital ekosistemdeki kullanıcı erişimini kontrol eden kurumsal düzeyde araçlar.
Karmaşık dijital ekosistemler (yerinde, bulut ve hibrit), birden fazla kullanıcının, cihazın etkinliklerinin ve farklı ortamlardaki erişim gereksinimlerinin izlenmesini ve raporlanmasını manuel bir kabus haline getirir. IGA araçları, risk yönetimini ve mevzuat uyumluluğunu yönetilebilir hale getirmek için otomasyonu uygular.
ZTA uygulamasına sınırsız olanaklar katılıyor. Federal kimliğin, kimlik bilgilerinin ve erişim yönetimi ortamının bir parçası olmak için ne kadar heyecan verici bir zaman!
Yazar Hakkında
Sarbari Gupta, Electrosoft Services, Inc.’in Kurucusu ve CEO’sudur. Siber güvenlik, sıfır güven, fidye yazılımı, ICAM, FIDO geçiş anahtarları, OSCAL ve daha fazlası konusunda tanınmış bir düşünce lideri ve konuşmacıdır. Aktif bir NIST işbirlikçisi ve ortak yazarıdır ve federal siber dayanıklılığı artırmak için siber güvenlik standartlarının ve yönergelerinin şekillendirilmesine yardımcı olmaktadır. 2022, rekor gelir ve yıllık %25 büyüme ile Electrosoft için başarılı bir yıldı ve şirket 2023’te %60 büyüme yolunda ilerliyor. Dr. Gupta, STEM eğitimi konusunda tutkulu ve kadınları STEM alanlarını benimsemeye ve bu alanlarda kalmaya teşvik ediyor. . Teknolojide Kadınlar (WIT) için mentor olarak hizmet vermektedir ve Maryland Üniversitesi Mühendislikte Kadınlar (WIE) danışma kurulu üyesidir ve mühendislik alanına giren kadınlara destek ve mentorluk sağlamaktadır.
Dr. Gupta’ya çevrimiçi olarak LinkedIn üzerinden ve şirketimizin web sitesi https://electrosoft-inc.com/ adresinden ulaşılabilir.