Zarządzanie tożsamością i dostępem
- Jarosław Badurek,
- 17.12.2014
Przeciwdziałanie problemom wynikającym z trendów „weź do pracy swój komputer” (BYOD, Bring Your Own Device) lub „wybierz sobie indywidualnie sprzęt” (CYOD, Choose Your Own Device) wymaga zdefiniowania dostępowych reguł kontekstowych:
- dostęp w zależności od pory doby/dnia tygodnia;
- dostęp w zależności od miejsca (parametry IP, geopozycja);
- szyfrowanie danych w zależności od ich kategorii;
- blokady internetowe w zależności od aplikacji;
- porównywanie stanu sprzętu z firmowymi referencjami.
Klucz z człowieka
W tym miejscu zauważamy, że każdy z nas również musi zarządzać własną tożsamością. W przeciwieństwie do jednej tożsamości fizycznej posiadamy wiele tożsamości elektronicznych. Przy wielości aplikacji software’owych, w wymiarze służbowym i prywatnym, stawiamy sobie pytanie: kim jestem w określonym systemie informatycznym? I nie chodzi tu o budowanie fałszywych profilów na portalach społecznościowych, ale o udokumentowanie tożsamości. Można podzielić je na trzy grupy:
1) autoryzacja pamięcią, tj. udokumentowanie tożsamości za pomocą określonych informacji (w typowym przypadku poprzez posiadanie loginu, czyli kombinacji użytkownik/hasło);
2) autoryzacja przedmiotami, tj. dokumentowanie tożsamości np. za pomocą specjalnych kart czy kluczy (smartkey);
Zobacz również:
- Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
- Czy smartfony potrzebują oprogramowania antywirusowego
- Microsoft zaatakowany przez Rosjan - celem kluczowe systemy
3) autoryzacja biometryczna, która wykorzystuje specyficzne cechy człowieka z uwzględnieniem wiedzy statystycznej.
W ostatnim przypadku mówimy o dziedzinie z ponad stuletnią tradycją – w roku 1892 przyrodnik Galton opublikował przełomową dla kryminalistyki pracę dotyczącą daktyloskopii pod wymownym tytułem: „Fingerprints”. W sferze IT pole zastosowań biometrii to technologie identyfikacji osób na podstawie:
- odcisków palców (np. Touch-ID/iPhone);
- głosu (np. aplikacje VoiceVault);
- twarzy (np. BIOID) lub kształtu ucha;
- oczu (skanowanie tęczówki dla biatlonistów stosowano na olimpiadzie w Nagano, 1998 r.);
- geometrii dłoni (możliwość łączenia z odciskami palców) czy wzorów żył;
- motoryki (zarówno poruszania się, jak i pisania, np., dynamiki i nacisku na klawiaturę, podpisu na tablecie);
- termogramów (np. twarzy);
- genów (obecnie nie ma szybkich i tanich metod dla zastosowań dostępowych);
- zapachu (faza eksperymentalna).
Praktyka pokazuje, że dobrym rozwiązaniem jest stosowanie kombinacji dwóch
rodzajów autentyfikacji, podanych w punktach: 1, 2, 3.
- Ustalenie osoby odpowiedzialnej za projekt – CISO (Chief Information Security Officer).
- Założenie i pielęgnowanie bazy danych dla identyfikacji (użytkownicy, systemy, metody dostępu, ich kontekstowość).
- Zdefinowanie profilów dla grup użytkowników czy aplikacji (np. system ról SAP).
- Przyporządkowanie profilów (ról) użytkownikom i autoryzacje dla sprzętu (np. uprawnione adresy hardwarowe MAC).
- Systematyczna kontrola procedur IAM (specjalistyczne oprogramowanie, raporty).
- SonicWALL Aventail/Endpoint Control (Dell, kontrola bezpieczeństwa sprzętu, np. jailbreak)
- Stonesoft Firewalls NG (Next Generation, grupa McAfee), m.in. kontrola dostępu w zależności od parametrów geopozycyjnych (IP/GPS)
- BWSS (Barracuda Web Security Service), możliwość blokad kontekstowych czasowo
- Control Point (Hewlett Packard), kategoryzacja danych i ich kontekstowe szyfrowanie