Budou identity v cloudu?

SecurityWorld 4/2017 - S narůstajícím trendem přesunu aplikací a služeb do prostředí cloudu (označováno pojmem SaaS, IaaS nebo PaaS) je stále aktuálnější otázka vyřešení vhodného způsobu zajištění přístupu uživatelů v rámci distribuovaného prostředí. Článek Davida Čečelského, technického ředitele NEWPS.CZ s.r.o.

Výzvám čelí zejména IT oddělení, neboť jde především o bezpečnost uložení firemních dat do cloudu a zajištění autorizovaného a bezpečného přístupu k těmto datům. Provoz části IT prostředí v cloudu totiž ze své podstaty může vést ke snaze uživatelů obcházet některé firemní bezpečnostní zásady. Uživatelé si prostě vytvoří své vlastní účty v rámci cloudových služeb a a na takto sdílená úložiště si mohou libovolně přesouvat jakákoli firemní data. Další aspektem tohoto chování je i fakt, že uživatelé čím dál častěji využívají k práci vlastní mobilní zařízení (smartphone, tablet, …) a tím se problematika bezpečnosti dále zesložiťuje. Firmy většinou uživatelům využívání těchto zařízení umožní v rámci principu BYOD (Bring Your Own Device), ale zároveň IT oddělení musí čelit potenciálním bezpečnostním hrozbám.

Pokud již firma buduje distribuované prostředí s využitím cloudových služeb, pak mezi tradiční služby jako Software as a Service, Infrastructure as a Service, přibývá další služba, a to IDaaS – tedy Identity as a Service. Jedná se o službu, která zajišťuje bezpečný přístup ke zdrojům, umístěným v cloudových službách. Je potřeba zajistit, aby byli uživatelé do cloudu identifikováni (může jít např. o delegovanou nebo federovanou autentizaci) a byla ověřována jejich přístupová práva. Dále je potřeba řešit např. správu klíčů a šifrování komunikace mezi uživatelem a cloudovou službou, monitorování, auditní služby atd. Typickým příkladem může být například využívání kancelářského software Microsoft Office 365 v cloudu Microsoft Azure.

Na využívání cloudových služeb lze pohlížet ze dvou hledisek. Jeden přístup je takový, kdy si firma kompletně provozuje řešení v cloudu a nedisponuje žádným vlastními interními systémy. O bezpečnosti datových center v cloudu už dnes po důkladné evangelizaci asi mnoho nepochybujeme, problém však nastane až v tzv. hybridním modelu nastavení cloudových služeb. Hybridní cloud je ideálním řešením pro takové zákazníky, kteří mají vybudovanou vlastní infrastrukturu a pouze určitou část (vybrané aplikace a systémy) provozují v cloudu. V tomto případě je samozřejmě cílem, aby z pohledu uživatele systémy a aplikaci fungovali zcela transparentně, ale zároveň aby byla dodržena end-to-end bezpečnost.

Z pohledu identit musíme řešit poněkud složitější problém, a to je zajištění komfortu jednotného přihlašování (Single Sign On) do všech provozovaných systémů v rámci hybridního cloudu. Komplexnost řešení bude samozřejmě větší s nárůstem aplikací, provozovaných právě v datovém centru. Různé aplikace totiž mohou mít odlišné požadavky na přihlašování uživatelů, na tvar přihlašovacích jmen, kombinace hesel se silnějšími metodami autentizace apod. Přístuk k některým aplikacím můžeme zajistit pomocí externího poskytovatele identit s využitím speciálních rozhraní typu OAuth, OpenID, SCIM apod. (Google, Facebook, Twitter apod.). U nás je známá podobná služba centralizované identity pro webové aplikace pod názvem MojeID. Dále může být požadavek integrovat do cloudu nějakou proprietární aplikaci s těžkým klientem, kdy pro zajištění přihlašování a autorizace uživatelů musíme vyvinou nebo použít zcela specializované API. Pokud již zajistíme sjednocení účtů v cloudu federativním nebo jiným způsobem, stále musíme mít na paměti, že takto centralizovaný identitní systém je poměrně zajímavým cílem pro různé hackerské útoky, protože zneužití takového účtu znamená obvykle přístup do řady systémů, které jsou s daným účtem v cloudu svázané.

Při provozování firemních systémů a aplikací v cloudu je nutné se zaměřit na silnější metody autentizace uživatelů̊ (multifaktorová autentizace na bázi jednorázového hesla, využití certifikátů), případně „risk-based“ autentizaci založenou na chování uživatele, kontextu a dalších faktorech. Vhodnou kombinací těchto metod lze zajistit požadovanou bezpečnost. Dále je potřeba se zaměřit na granularitu autorizace a řízení přístupu k firemním informacím. V rámci interních IDM (tzv. on-premise řešení) se tato problematika řeší obvykle pomocí role-based (RBAC) principu. Uživatelé jsou zařazeni do určitých rolí, např. dle svého zařazení v rámci organizační struktury a na základě těchto zařazení pak získávají přístup k jednotlivým aplikacím. Obdobný princip lze uplatnit i v přístupu ke zdrojům, umístěným v cloudu. Už ale poněkud obtížněji se tato problematika řeší v hybridním prostředí, kdy je nutné používat synchronizační nástroje a prostředí se stává poněkud komplexnější a těžkopádné z pohledu administrace. O něco složitější je také zavedení bezpečnostních principů Privileged Identity Management – tedy zajištění kontroly nad administrátorskými účty. Pro on-premise řešení na to existují nástroje, které lze v rámci IDM systémů poměrně jednoduše implementovat, v hybridním modelu je to na straně cloudu výrazně obtížnější. Pokud budeme pokračovat ve výčtu dalších bežných funkcí, které dnešní on-premise IDM systémy poskytují, tak i jejich adopce do prostředí cloudu přináší vyšší implementační složitost. Jedná se například o zavedení schvalovacího workflow, certifikování přístupu, analýza chování identit a monitoring a audit, samoobslužné funkce pro uživatele (reset hesla, požádání si o zřízení přístupu/roli).

Výrazné implementační rozdíly funkcionalit jsou i v zajištění Single Sign on v lokálním IT prostředí a v případě hybridního cloudu. Zatímco interně v lokálním IT se lze s implementaci IDM řešení vypořádat i z různorodými aplikacemi, využívající různá úložiště uživatelů (LDAP, AD, DB, soubor …) a můžeme využívat některé bezpečnostní protokoly a API – kerberos, SPNEGO, v cloudovém prostředí pak v spíše spoléháme na federované mechanismy a stadardy nad protokolem SAML, nebo REST API (OpenID, SCIM nebo OAuth).

V zásadě je možné říct, že je celá řada přístupů a řešení problematiky správy identit a její rozšíření do hybridního cloudu. Mimo již zmiňované řešení od společnosti Microsoft je celá řada dalších dodavatelů, kteří poskytují produkty nebo služby, které splňují mnoho z výše uvedených požadavků (Oracle, Okta, Ping Identity , Centrify, OneLogin a další). Před zásadním rozhodnutím pak bude nejspíše nutné vyhodnocení potřeb společnosti, svojí úlohu bude hrát i dostatečné technické zajištění. Pro implementaci a správu takového komplexního prostředí je totiž nezbytné disponovat odborníky, kteří toto řešení budou spravovat a udržovat v chodu.

 

Ing. David Čečelský
NEWPS.CZ s.r.o.

Zpět na výpis novinek

NEWPS.CZ
Máte dotaz?
Zavolejte nám!

Naše webová stránka používá cookies

Data o tom, co vás na našem webu zajímá, sdílíme s našimi partnery pro sociální média, inzerci a analýzy.
Partneři tyto údaje mohou použít s dalšími informacemi, které jste jim poskytli nebo které získali v důsledku toho, že používáte jejich služby.

OK

Druhy cookies

1. Nutné cookies pomáhají základním funkcím této stránky, jako je navigace stránky a přístup k zabezpečeným sekcím webové stránky. Webová stránka nemůže správně fungovat bez těchto cookies.

2. Preferenční cookies umožňují, aby si webová stránka zapamatovala vaše preference. Je to například preferovaný jazyk nebo region, kde se nacházíte.

3. Statistické cookies nám pomáhají porozumět tomu, jak návštěvníci používají webové stránky. Statistické cookies anonymně sbírají informace.

4. Marketingové cookies používáme pro sledování návštěvníků na našich stránkách. Záměrem je zobrazit vám reklamu, která je pro vás relevantní a neobtěžuje vás.

5. Neklasifikované cookies máme v procesu klasifikování společně s poskytovateli jednotlivých cookies.

Co jsou cookies?

Cookies jsou malé textové soubory, které mohou být používány webovými stránkami, aby učinily uživatelský zážitek více efektivní.

Podle zákona můžeme ukládat cookies na vašem zařízení, pokud jsou nezbytně nutné pro provoz této stránky. Pro všechny ostatní typy cookies potřebujeme vaše povolení.

Tato stránka používá různé typy cookies. Některé cookies jsou umístěny službami třetích stran, které se objevují na našich stránkách.