Jest to druga część dwuczęściowej serii poświęconej najnowszym wytycznym NIST. Aby przeczytać część pierwszą, zapoznaj się z naszym wpisem na blogu tutaj.
W ciągu ostatnich sześciu miesięcy opublikowano trzy projekty wytycznych Narodowego Instytutu Standardów i Technologii (NIST), które zmienią sposób, w jaki agencje federalne zarządzają usługami tożsamości cyfrowej, uwierzytelnianiem użytkowników i rodzajami poświadczeń, które mogą być wydawane. Te projekty wytycznych obejmują:
- Projekt wytycznych NIST dotyczących tożsamości cyfrowej (NIST SP 800-63-4), rewizja mająca pomóc wzmocnić pewność i uwierzytelnianie tożsamości cyfrowej, uznaje zmiany zarówno w zakresie ryzyka, jak i pojawiających się modeli uwierzytelniania, takich jak passkey.
- Zmienione wytyczne dotyczące uwierzytelniania (800-63B-4) obejmują ponowne opracowanie poziomów pewności uwierzytelniania (AAL), przy czym każdy poziom opiera się na wymaganiach poprzedniego poziomu. AAL3 zapewnia bardzo wysoki poziom pewności, że wnioskodawca kontroluje jeden lub więcej uwierzytelniaczy powiązanych z kontem subskrybenta – mówiąc prostym językiem, że osoba uwierzytelniająca może, poprzez dowód posiadania, udowodnić, że jest tym, za kogo się podaje.
- Agencje rządowe, które są już związane standardem FIPS 140, mają czas do końca roku podatkowego 2024 na przyjęcie wyłącznego stosowania uwierzytelniania wieloskładnikowego (MFA) odpornego na phishing dla pracowników agencji, w celu zapewnienia zgodności z rozporządzeniem wykonawczym 14028 i memorandum M-22-09 Biura Zarządzania i Budżetu (OMB). Te dwa wymagania oznaczają, że agencje muszą szukać uwierzytelniaczy odpornych na phishing, które spełniają co najmniej standardy AAL2. Uwierzytelniacze, które wymagają ręcznego wprowadzania danych (np. SMS, powiadomienia push i OTP) nie spełniają standardów odporności na phishing.
Aktualizacje te rozszerzają wykorzystanie pochodnych poświadczeń PIV na nowe formaty, oparte na PKI i nie oparte na PKI, a także pomagają wspierać tożsamość PIV poza agencją macierzystą. Wytyczne pojawiają się w doskonałym momencie, wraz z ekscytującymi nowymi aplikacjami dla PIV na urządzeniach mobilnych i w usłudze Azure AD. NIST nie wprowadza tych zmian w próżni, a coraz częściej mówi się o tym, że protokoły odporne na phishing, takie jak FIDO2/WebAuthn, są dostępne, aby pomóc agencjom chronić środowiska i wspierać szerszy zakres nowoczesnych aplikacji i zabezpieczeń.
Aby porozmawiać o tym, co te nowe wytyczne oznaczają dla agencji federalnych i w jaki sposób mogą być zgodne z przepisami, David Treece z Yubico spotkał się z Joe Scalone, wiodącym współtwórcą standardu FIDO2 i starszym architektem rozwiązań w Yubico.
Jak ważne jest uwierzytelnianie FIDO dla agencji federalnych?
Nowe przepisy federalne, z ich silnym naciskiem na zerowe zaufanie, wymagają od agencji priorytetowego podejścia do bezpieczeństwa skoncentrowanego na tożsamości. Wiele agencji federalnych przechodzi na chmurę, aby pomóc w modernizacji infrastruktury; połączenie istniejących poświadczeń opartych na PKI i poświadczeń opartych na FIDO może pomóc w ułatwieniu tego przejścia, jednocześnie zapewniając silne uwierzytelnianie odporne na phishing.
Uwierzytelnianie oparte na FIDO może być również wykorzystywane w programach BYOAD, używanych dla użytkowników niekwalifikujących się do PIV i usług w chmurze, rozszerzając zakres uwierzytelniania o wysokiej pewności, a tym samym zwiększając poziom bezpieczeństwa cyfrowego całej agencji.
Które metody uwierzytelniania spełniają nowe wytyczne?
Zarówno uwierzytelnianie oparte na PKI (karty PIV/CAC), jak i uwierzytelnianie oparte na FIDO spełniają wymagania dotyczące uwierzytelniania odpornego na phishing na poziomie AAL3.
Czy klucze FIDO Passkeys spełniają nowe wytyczne?
Passkeys to nowy termin opisujący poświadczenia FIDO. Jednak różnice w implementacji określają odpowiedni poziom AAL. Wszystkie klucze Passkeys zapewniają uwierzytelnianie odporne na phishing, ale tylko klucze sprzętowe, takie jak YubiKey, mogą spełnić wymóg AAL3, zapewniając, że klucz prywatny nie może zostać wyeksportowany z urządzenia sprzętowego. Klucze synchroniczne, które umożliwiają synchronizację poświadczeń FIDO między urządzeniami, mogą spełniać wymagania AAL2 z kodem PIN urządzenia lub danymi biometrycznymi używanymi jako drugi czynnik.
Czy istnieją inne korzyści dla agencji wynikające z wykorzystania FIDO?
FIDO daje agencjom możliwość wdrażania silnych uwierzytelniaczy dla użytkowników niekwalifikujących się do PIV i pozwala na rozwój samoobsługowych, internetowych procesów rejestracji. FIDO pozwala na szybszą integrację z aplikacjami ze względu na zależność od protokołu WebAuthn. Ponadto prostota projektu FIDO oznacza niższe koszty ogólne, zarówno pod względem finansowym, jak i ludzkim.
Jakie są najlepsze praktyki wdrażania FIDO w ekosystemie kart inteligentnych?
Wspólne korzystanie z PKI i FIDO pozwala agencjom na wykorzystanie najlepszych z obu metod silnego uwierzytelniania. Agencje mogą strategicznie wdrażać rozwiązania FIDO w aplikacjach chmurowych i mobilnych, jednocześnie nadal wykorzystując istniejące inwestycje PKI w tradycyjnych sieciach. Z czasem agencje mogą rozszerzyć zasięg FIDO o inne przypadki użycia, takie jak logowanie do aplikacji, logowanie do komputera i logowanie zdalne.
Jakie inwestycje są potrzebne do obsługi FIDO?
Uwierzytelnianie FIDO jest istotną częścią większej, elastycznej, odpornej na phishing platformy tożsamości Zero Trust. Rząd federalny ma okazję współpracować z przemysłem i opracować nowoczesną, skalowalną i możliwą do obrony infrastrukturę tożsamości, która może stać się atutem bezpieczeństwa na wiele lat. Agencje muszą zbadać i zrozumieć, w jaki sposób rozwiązania FIDO i PKI wzajemnie się uzupełniają, aby zapewnić kompleksowe uwierzytelnianie odporne na phishing.
Jakie znaczenie dla agencji rządowych i przedsiębiorstw mają poziomy uwierzytelniania AAL3 w porównaniu z AAL2?
NIST wymaga użycia sprzętowego urządzenia uwierzytelniającego, takiego jak YubiKey, aby spełnić wymagania AAL3 dotyczące dowodu posiadania klucza za pośrednictwem protokołu kryptograficznego w celu zapewnienia, że klucz prywatny nie może zostać eksfiltrowany. Dodatkowo, AAL3 wymaga użycia uwierzytelniania odpornego na phishing. AAL2 pozwala na szeroki zakres podejść MFA i nie wymaga stosowania rozwiązań odpornych na phishing. Uwierzytelnianie MFA odporne na phishing w AAL2 jest zalecane, ale nie wymagane.
Ważne jest, aby podkreślić, że chociaż NIST definiuje standardy poziomu uwierzytelniania, agencje są odpowiedzialne za podjęcie decyzji, który poziom uwierzytelniania muszą spełnić w oparciu o ocenę ryzyka. EO14028 i OMB M-22-09 wymagają, aby wszystkie agencje miały co najmniej AAL2 do użytku rządowego. OMB M-22-09 wymaga w szczególności stosowania uwierzytelniania odpornego na phishing. Uwierzytelniacze AAL3 spełniają wytyczne dotyczące bezpieczeństwa o wysokim wpływie z oceny ryzyka NIST 800-53 przeprowadzonej przez wszystkie agencje federalne i wykonawców rządowych. Ponadto, aby osiągnąć FedRAMP High dla rozwiązań chmurowych, wymagane są uwierzytelniacze AAL3.
Oryginalny tekst ukazał się na blogu naszego partnera, firmy Yubico.