Cyberego na podglądzie

Zarządzanie tożsamością, aby być skuteczne musi wyjść poza sieci i przeniknąć wszystkie warstwy infrastruktury, co nie jest ani łatwe, ani tanie. Próby wciąż są ponawiane, a ich efekty - coraz bardziej interesujące.

Zarządzanie tożsamością, aby być skuteczne musi wyjść poza sieci i przeniknąć wszystkie warstwy infrastruktury, co nie jest ani łatwe, ani tanie. Próby wciąż są ponawiane, a ich efekty - coraz bardziej interesujące.

Termin "zarządzanie tożsamością" kojarzył się dotychczas z dostępem do sieci, ewentualnie aplikacji. W pierwszym przypadku ustalenie tożsamości, czyli uwierzytelnienie, potrzebne jest do tego, aby uniemożliwić dostęp do działających w sieci usług niepowołanym osobom, a także by uniemożliwić penetrację jej zasobów przez złośliwe oprogramowanie. Na poziomie aplikacyjnym tożsamość wiąże się z możliwością korzystania z określonych funkcji lub dostępu do określonych danych.

Kontrola tożsamości użytkownika na poziomie sieci i usług systemu operacyjnego to dziś standard, natomiast z kontrolą na poziomie aplikacji jest w praktyce bardzo różnie. W wielu firmach wszelka kontrola kończy się na logowaniu do kontrolera domeny, co trudno uznać za dobry wzór do naśladowania. Użytkownik zalogowany do domeny ma wprawdzie ograniczone pole manewru, jednak, jak pokazuje życie, nie na tyle, by nie móc niespostrzeżenie sięgać do danych, do których nie powinien.

Cyberego na podglądzie

Interfejs najnowszej wersji narz˘dzia Novell Identity Manager (3.0).

Zarządzanie tożsamością na poziomie aplikacji jest trudne z wielu powodów. Mnogość obiektów biznesowych, których istotność dla firmy rozumie jedynie wąskie grono osób, a także skomplikowane powiązania między nimi, to tylko jeden z czynników. Drugim jest bez wątpienia zmienność aplikacji. Ich cykl życia bywa znacznie krótszy, a zmiany w ich funkcjonalności wprowadzane są znacznie częściej, niż w przypadku platform sieciowych czy systemowych. Dostosowywanie systemów do zarządzania tożsamością do zmian zachodzących w aplikacjach to zajęcie dosyć karkołomne, acz technicznie możliwe do wykonania. Z pomocą przychodzą rozwiązania metakatalogowe, przechowujące centralnie informacje o tożsamości i uprawnieniach użytkowników. Nawet jednak i one nie sięgają sedna problemu, którym są... koszty integracji istniejących aplikacji z infrastrukturą LDAP.

Być może więc droga do podwyższenia bezpieczeństwa danych w rozsądnym czasie leży gdzie indziej... Tak sądzą firmy, które zarządzanie tożsamością i dostępem do danych chcą realizować łącznie - poza aplikacjami, ale też nie wyłącznie w oparciu o identyfikację na poziomie sieciowym. Remedium wydaje się traktowanie zarządzania tożsamością jako oddzielnej dziedziny przenikającej wszystkie warstwy infrastruktury, w tym systemów pamięci masowych, systemów udzielających dostępu do nich (bramki NAS, przełączniki Fibre Channel, karty HBA iSCSI), a także zarządzających samymi danymi.

A10 Networks

Nieduża firma A10 Networks proponuje model, w którym jedno rozwiązanie zarządza uprawnieniami do wszystkich zasobów na wszystkich poziomach. Podejście zbiorcze, reprezentowane przez rozwiązania typu SSO (Single Sign-On) zostało przez A10 Networks rozszerzone na wszystkie możliwe zasoby dostępne w sieciach i wszystkie możliwe sposoby kontroli tożsamości i uprawnień. Takie postawienie sprawy wydaje się radykalne, ale czyż właśnie nie pełnej kontroli nad wszystkim, co dzieje się w firmowym środowisku IT, żąda się od osób odpowiedzialnych za informatykę w firmach? A10 próbuje te ambitne założenia wprowadzić w życie, łącząc wiele funkcji w jednym spójnym rozwiązaniu.

Oferowany przez A10 Networks system zarządzania tożsamością IDSentrie 1000 to wielofunkcyjne rozwiązanie sprzętowo-programowe. Przede wszystkim, spełnia ono rolę bramy pośredniczącej w uwierzytelnieniu. Dostępne są w zasadzie wszystkie popularne schematy uwierzytelniania oparte na metodzie challenge-response, certyfikatach cyfrowych, włącznie z dialektami Microsoftu i Cisco. Standardowo dostępna jest także integracja z zewnętrznymi serwerami uwierzytelniającymi, m.in. RSA SecurID, serwerami zgodnymi z protokołami RADIUS i Kerberos.

Warstwa uwierzytelniająca IDSentrie 1000 komunikuje się z katalogami LDAP wszystkich ważniejszych producentów, w tym Microsoft Active Directory, Novell eDirectory czy Solaris Directory Server. Zapisy w nich dokonywane mogą być opisywane uniwersalnymi politykami, obejmującymi atrybuty użytkowników, kont, haseł, domyślnych ustawień konfiguracyjnych, w tym także zasad dostępu uwzględniających czas (np. godziny, w których możliwe jest logowanie się użytkowników należących do pewnych grup do określonych aplikacji). Co istotne, IDSentrie 1000 definiuje polityki dostępu do usług serwerów plików oraz oczywiście dostęp do konkretnych urządzeń.

Powyższą funkcjonalność IDSentrie 1000 uzupełniają zawarte w nim mechanizmy kolekcji logów z urządzeń sieciowych i systemów zabezpieczeń, w tym wiodących zapór sieciowych (m.in. Check Point, Cisco, Juniper i firewalle linuxowe), a także informacji o sesjach. Kolekcji danych towarzyszą narzędzia do analizy i raportowania obejmujące wszystkie dotychczas opisane warstwy usług. IDSentrie 1000 zapewnia także narzędzia do zarządzania. Ich funkcjonalność obejmuje m.in. tworzenie kont, przypisywanie im zasobów i definiowanie uprawnień do nich, scentralizowane zarządzanie wymaganiami odnośnie do tworzenia i zmiany haseł, synchronizację kont i atrybutów, mechanizmy samoobsługowe dla użytkowników itp.

Infoblox

Ciekawą koncepcję zarządzania tożsamością w sieciach i usługach prezentuje firma Infoblox. Filozofia jej rozwiązania o nazwie IDeal IP opiera się na wydajnym zarządzaniu dostępem do wszelkich zasobów na poziomie infrastruktury IP. Platforma sprzętowa zawiera akcelerator dla usług DNS i DHCP, a uzyskiwana dzięki niemu wydajność tych usług pozwala w czasie rzeczywistym zarządzać dostępem do usług i urządzeń poprzez przydzielanie lub pozbawianie klienta sieci adresu IP. To proste i skuteczne - bez adresu IP komunikacja w sieci IP nie jest możliwa.

Oczywiście, "starzy hakerzy" mają swoje sposoby na tak zorganizowane mechanizmy uwierzytelniania i kontroli dostępu. Jednym z nich jest podłączanie do sieci własnego serwera DHCP i DNS oraz sztuczki z protokołem ARP. To jednak wymaga doświadczenia, a często także fizycznego dostępu do kluczowych segmentów sieci. Zastosowanie odpowiednio skonfigurowanej bramy VPN i kwarantanny połączeń może przy tym znacząco utrudnić prowadzenie takich działań.

Strategię podobną do tej, która przyświeca Infoblox, przyjęło Cisco, oferując opisywany przez nas system ochrony sieci nazywany CS-MARS, przejęty pod koniec 2004 r. wraz z niewielką firmą Protego Networks. O ile jednak CS-MARS służy do wczesnego wykrywania włamań i naruszeń bezpieczeństwa sieci, IDeal IP jest ukierunkowany na bieżącą realizację reguł polityki bezpieczeństwa w odniesieniu do uwierzytelniania i kontroli dostępu. Trzeba również powiedzieć, że Cisco obstawia równocześnie wiele architektur badając, co rynek uzna za najlepszy pomysł.

Niezależnie od zarządzania dostępem w warstwie IP, rozwiązanie Infoblox IDeal IP spełnia rolę platformy do zarządzania adresami, użytkownikami i powiązanymi z nimi uprawnieniami. Możliwe są śledzenie historii przydzielania adresu IP użytkownikowi, badanie historii połączeń, tworzenie list dostępowych dla urządzeń, adresów IP, portów TCP itd., kojarzenia parametrów QoS i wiele innych. Zarządzanie tożsamością z perspektywy infrastruktury IP okazuje się całkiem naturalne, bowiem temu właśnie adresy IP pierwotnie służyły. W połączeniu z nowszymi technikami uwierzytelniania i kontroli dostępu powstaje więc wydajna i bezpieczna architektura.

Microsoft

Integracja zarządzania tożsamością w sieciach i na wyższych poziomach abstrakcji jest myślą przewodnią działań Microsoftu. Opisywane przez nas w bieżącym numerze w dziale Technologie udoskonalenia platformy Windows Server 2003/Windows Storage Server 2003 w ramach odświeżonej wersji R2 dają wiele do myślenia. Microsoft ma ambicje, a obecnie również technologiczne możliwości, by stworzyć rozwiązanie do zarządzania tożsamością przenikającą całą infrastrukturę.

Umiejętnie rozbudowywane usługi Active Directory potrafią już nie tylko kompleksowo zarządzać dostępem do usług systemu operacyjnego, ale także aplikacji działających w środowisku wykonawczym .Net. Integracja Active Directory z usługami rozproszonego systemu plików tworzy podstawy do efektywnego zarządzania dostępem do zasobów NAS, zaś pojawienie się narzędzi Storage Manager for SANs pozwala myśleć o spójnym zarządzaniu całym środowiskiem sieciowym, w tm sieciami SAN.

To oczywiście dopiero początek zamachu Microsoftu na konkurencję, która skupiła się na integrowaniu zarządzania infrastrukturą z warstwą middleware (IBM, Oracle, HP, EMC). Integracja z portalem SharePoint uzmysławia, że kontrola odbywać się może także na poziomie dokumentów. Jeśli prawdą jest, że w systemie Longhorn Server zintegrowany zostanie Windows Rights Management Server, Microsoft może osiągnąć w dziedzinie zarządzania tożsamością i ochrony dostępu do informacji znaczącą przewagę nad konkurentami.

Novell

Owa przewaga nie jest Microsoftowi w żaden sposób gwarantowana, albowiem dotychczasowi gracze ani myślą spocząć na laurach. Weteran rynku zarządzania tożsamością, wręcz jego twórca, czyli Novell, wprowadził właśnie do oferty kolejną wersję pakietu do zarządzania tożsamością - Novell Identity Manager 3. To, do czego dążą dziś konkurenci, Novell - w większości przypadków - oferował już kilka lat temu, trafnie przewidując rozwój potrzeb klientów i rynku. Złoża technologicznego dorobku Novella w dziedzinie zarządzania tożsamością - w związku z osłabieniem jego pozycji na rynku systemów operacyjnych - wciąż pozostają dla wielu firm całkowicie nieznane. A szkoda.

Jeśli chodzi o koncepcję zarządzania tożsamością, a także jej realizację w formie produktu - zarówno pod względem funkcjonalności, jak i zakresu możliwych zastosowań, otwartości i skalowalności - Novell eDirectory jest przodownikiem. Technologiczna doskonałość nie zapewnia jednak bezpieczeństwa - to mogą zrobić jedynie ludzie. Novell Identity Manager 3 jest narzędziem, które ma im to zadanie ułatwić. Bezpieczeństwo rozumiane jako przejrzystość, łatwość konfiguracji i możliwość jej inspekcji nie tylko przez inżynierów, ale także przez osoby odpowiadające za aplikacje i biznes - to wizja lansowana obecnie przez Novella.

Przejrzystość i łatwość audytu w dziedzinie zarządzania tożsamością ma zapewnić klientom możliwość graficznego przypisywania użytkowników do kont, zasobów i nadawanie im uprawnień. Zainicjowana kilka lat temu inicjatywa tworzenia sterowników DirXML dla systemów i aplikacji zaowocowała tym, że obecnie podłączenie użytkownika do obiektów systemu czy aplikacji może się odbyć od początku do końca za pomocą mechanizmów przeciągnij i upuść. Graficzne środowisko pozwala testować konfiguracje, symulować skomplikowane środowiska i badanie ich "szczelności" zanim ustawienia zostaną zatwierdzone.

Integracja

Zebranie w ramach jednego, spójnego rozwiązania wszystkich istotnych narzędzi do zarządzania tożsamością (uwierzytelniania i kontroli dostępu, zarządzania kontami, użytkownikami, uprawnieniami, urządzeniami i usługami) to może nie przełom, ale zasługuje na uwagę. Jeśli bowiem administratorzy narzekają, że zarządzanie tożsamością i kontrolowanie dostępu do zasobów jest problemem, to w dużej mierze dlatego, że większość spośród powyższych obszarów musi być zarządzane oddzielnie. Przede wszystkim jednak całościowe spojrzenie umożliwia śledzenie działań użytkowników na każdym etapie, w każdej warstwie, na każdym urządzeniu i we wszystkich popularnych protokołach.

Z punktu widzenia bezpieczeństwa danych kompleksowość ochrony i jej przejrzystość jest znacznie ważniejsza, niż doskonała, lecz rozproszona i nieskoordynowana kontrola punktowa. Bezpieczeństwa bazy danych, zbioru plików czy dowolnych innych zasobów przechowywanych w sieci nie można rozpatrywać bez właściwego dla nich szerszego kontekstu. Spełnienie warunku polegającego na podaniu loginu i hasła było dobre kilka lat temu, ale nie dziś, gdy dane kradzione są niemal codziennie - w dużym odsetku przypadków właśnie przez osoby uprawnione do dostępu do nich.

Identity Networks

Firma Identity Engines, która podobnie jak A10 Networks rozwijała dotychczas narzędzia do zarządzania tożsamością w sieciach, wprowadziła do oferty rozwiązanie o nazwie IDeal IP, które ma połączyć zarządzanie dostępem do sieci i jej usług z zarządzaniem dostępem do danych. Podobnie jak A10 Networks nie skacze na głęboką wodę, czyli w kierunku sieci SAN opartych na Fibre Channel, lecz rozszerza kompetencje o dostęp do rozwiązań NAS oraz protokół oparty na IP, czyli iSCSI. Tak jak A10 Networks, Identity Engines oferuje swoje rozwiązanie w formie zintegrowanego rozwiązania sprzętowo-programowego. Jego zakres funkcjonalny nie jest tak bogaty, jak IDSentrie 1000, ale mimo to zasługuje na uwagę. Więcej informacji można znaleźć w Internecie pod adresem:http://www.identitynetworks.com/ .


TOP 200