Kto jest kim?

Systemy zarządzania tożsamością i autoryzacją dostępu staną się wkrótce podstawowym i standardowym elementem każdej infrastruktury teleinformatycznej.

Systemy zarządzania tożsamością i autoryzacją dostępu staną się wkrótce podstawowym i standardowym elementem każdej infrastruktury teleinformatycznej.

Do niedawna można było stosunkowo łatwo dokonać podziału na obiekty znajdujące się ściśle w obrębie firmy i do niej należące oraz na te drugie - nie związane z firmą. Granicą była firmowa zapora sieciowa, wszystko co znajdowało się wewnątrz niej stanowiło część infrastruktury teleinformatycznej w przedsiębiorstwie. W takich rozwiązaniach granulacja poziomów dostępu nie była w ogóle potrzebna. Przy obecnym poziomie skomplikowania obiektów oraz rozpływającej się granicy między nimi narzędzia służące do zarządzania dostępem zaczynają być nieodzowne.

Kartka przy monitorze

Gdy firma wdraża nowe systemy lub aplikacje, rzadko kiedy projekt zawiera integrację systemów uwierzytelnienia. W większości przypadków do każdej z nich obowiązuje osobna para login-hasło. Typowy zestaw to około osiem haseł (logowanie do komputera, firmowy intranet, poczta elektroniczna, aplikacja ERP, aplikacja komunikacyjna, aplikacja obsługująca pracę działu, dostęp do sieci za pomocą VPN lub terminala, PIN do telefonu). Pamiętanie takiej liczby haseł jest kłopotliwe i dlatego jest niemal pewne, że użytkownik zapisze je na kartce lub będzie się starał, by były identyczne. Gdy do tego dodać, że niektóre z nich można łatwo przechwycić - luka w bezpieczeństwie jest widoczna jak na dłoni. Dlatego też praktycznie w każdej firmie przydaje się system do zarządzania tożsamością, a należy zauważyć, że ma on znacznie więcej funkcji niż wymienione wyżej.

Na rynku od dawna są dostępne aplikacje do zarządzania tożsamością, ale większość z nich ma kilka wspólnych wad - względnie wysokie koszty, używanie zamkniętych, firmowych protokołów, trudności w integracji z obiektami infrastruktury oraz brak możliwości łatwej rozbudowy. Często podkreślanym rozwiązaniem tych problemów byłoby zastosowanie opartego na międzynarodowych standardach modelu uwierzytelnienia, gdzie różne rozwiązania wykorzystywałyby wspólny zestaw protokołów, interfejsów i algorytmów szyfrujących. Niestety wciąż jest to przyszłość.

Firma pod lupą

Wdrożenie systemu zarządzania tożsamością oprócz uproszczenia procedur dostępu udostępnia analitykom IT potężne narzędzie audytu, bo każde użycie przywileju powoduje odpowiedni wpis w logu. We wpisie znajduje się informacja kto dokonuje próby dostępu i kiedy, szczegółowe dane na temat obiektu, do którego był dostęp, a także o obiekcie z infrastruktury, za pomocą którego ten dostęp został lub miał być wykonany. Zebranie tych informacji innymi metodami jest możliwe, ale bardzo trudne, bo wymaga wbudowania odpowiednich sensorów w każdą aplikację i każdy używany w infrastrukturze obiekt.

Na przykład aplikacja ERP, która znajduje się poza systemem zarządzania tożsamością użytkowników, musiałaby, oprócz sensorów, posiadać bardzo rozbudowany system kontroli warunków pracy użytkownika. Taki pakiet oprogramowania byłby skomplikowany, trudny w zarządzaniu i dublowałby podobne sprawdzenia w innych modułach. Efektem zwielokrotnienia ustawień w różnych modułach jest bałagan. Możliwe są sprzeczne warunki, których najczęstszym skutkiem są trudne do zlokalizowania problemy. W takich przypadkach administratorzy albo redukują restrykcyjność ustawień, albo ustanawiają powiązanie wielu systemów za pomocą łańcucha zaufania. W praktyce najczęściej "luzuje" się zbyt "ciasne" reguły.

Wdrożenie systemu zarządzania tożsamością likwiduje te problemy, bowiem za uwierzytelnienie do wszystkich zasobów odpowiada osobny, dedykowany obiekt w infrastrukturze. Umożliwia to także stosunkowo łatwe wdrożenie silnego dwustopniowego uwierzytelnienia (token, karta inteligentna).

Same zapisy w logu to jednak tylko połowa powodzenia. Aby osiągnąć sukces, trzeba jeszcze mieć możliwość analizy tych wpisów, by otrzymać klarowny obraz bezpieczeństwa systemu. Wyniki analiz są potrzebne, by można było udzielić odpowiedzi na pytania:

  • kto miał dostęp do jakich danych

  • kiedy dostęp był wykorzystywany

  • z jakich komputerów

  • jakie przywileje zostały użyte

  • jakie dane zostały zmienione

  • co jeszcze mógł wykonać ten użytkownik.

    Podobne pytania są zadawane niemal zawsze, gdy dokonuje się analizy zmian w dokumentach i lokalizuje przyczyny poważnych zdarzeń wykraczających poza normalną pracę przedsiębiorstwa (kradzież danych czy nieuprawnione ich modyfikacje).

    Zebranie danych, które po analizie dadzą odpowiedź na powyższe pytania, jest tak trudne bez systemu zarządzania tożsamością, że w wielu przypadkach koszt ich uzyskiwania jest wyższy od sumarycznego kosztu wdrożenia i utrzymania takiego systemu.

    Nie ma róży bez kolców

    Rzadko kiedy materiały marketingowe odzwierciedlają rzeczywisty przebieg wdrożenia i pracy z systemem zarządzania tożsamością. Każde wdrożenie różni się też od innych, ponieważ nie ma dwóch identycznych firm w Polsce. Najpoważniejszym problemem są starsze wersje aplikacji, które nie mogą korzystać z funkcji nowoczesnych systemów, a mimo swoich wad wciąż przydają się w firmie. Oprócz tego hamulcami wdrożeń mogą być zbyt wysokie koszty, kłopoty z dostosowaniem do współpracy z aplikacjami oraz różnice wynikające z odmiennych przepisów polskiego prawa. Szczególnie dobrze widać to w wypadku aplikacji HR lub dedykowanych pakietów oprogramowania do obsługi wąskiego zakresu działalności firm, np. spedycji morskiej, kolejowej lub lotniczej. W takich przypadkach z reguły nie można posłużyć się gotowym programem sprawdzonym za granicą. Bez zmiany kodu się nie obejdzie, a to znacząco podwyższa koszty wdrożenia.

    Nowoczesne systemy zarządzania tożsamością umożliwiają bardzo precyzyjne określenie praw dostępu. Starsze aplikacje najczęściej nie mają takich opcji, oferując jedynie dwupoziomowy podział - dostęp lub jego brak. Gdy mamy do czynienia z takim przypadkiem, sprawa jest bardzo trudna, gdyż ewentualne modyfikacje programu są najczęściej nieopłacalne.

    Innym problemem jest kojarzenie masowej liczby identyfikatorów i ról z różnych systemów. Gdy w firmie wykorzystuje się kilkanaście aplikacji, a każda ma kilkadziesiąt możliwych wariantów dostępu, liczba kombinacji ogromnie wzrasta. A przy wdrażaniu aplikacji do zarządzania tożsamością wszystkie należy uwzględnić, co zasadniczo zwiększa pracochłonność projektowania i wdrażania systemu. Co gorsza, w tym samym systemie może pojawić się wiele identyfikatorów użytkowników. Jeśli w jednym oddziale firmy do obsługi pracy grupowej wykorzystuje się Microsoft Exchange, w drugim aplikacje Lotus, a w trzecim HP, wdrożenie spójnego systemu obejmującego firmę staje się poważnym wyzwaniem. Wszystkie możliwe kombinacje ról, obiektów, uprawnień oraz identyfikatorów lokalnych i zdalnych powodują, że system staje się wyjątkowo skomplikowany.

    <hr>Nowy gracz na rynku zarządzania tożsamością

    Gdy mowa o systemach zarządzania tożsamością, typowy specjalista wymieniłby jednym tchem listę: Novell, CA, IBMi HP. Obecnie jest jeszcze jeden rywal w tym współzawodnictwie - firma Oracle, która wprowadziła do oferty pakiet eSSO (Oracle Enterprise Single Sign-On Suite) współpracujący ze wszystkimi jej produktami, bazami danych, programami e-business i aplikacjami Siebel i PeopleSoft (firm przejętych przez Oracle).

    Szczególnie mocną stroną eSSO jest WebServices Manager, który daje możliwość zarządzania dostępem do istniejących serwisów webowych. Zatem stosunkowo prosta do wdrożenia aplikacja webowa może posiadać dodatkowe zabezpieczenia, możliwości audytu itd. Technicznie jest to realizowane za pomocą bramki, która pośredniczy między klientami a serwerami świadczącymi usługi. Na serwerze są instalowani agenci, zaś do bramki i agentów spływają odpowiednie polisy przygotowane za pomocą menedżera. Informacje zwrotne zawierają zestawy stosownych wpisów do logu oraz informacje o pracy poszczególnych systemów,a także komunikaty alarmowe. Ze względu na ustawiczne problemy użytkowników z zapomnianymi (lub zablokowanymi) hasłami logowania do systemów Windows, Oracle przygotował także odpowiedni pakiet własnego oprogramowania przeznaczonego do odzyskiwania haseł. Użytkownik, który zapomniał hasła, może ustanowić nowe hasło za pomocą odpowiednich zestawów pytanie-odpowiedź. W odróżnieniu od konkurencji w systemie eSSO Password Reset nie stosuje się typowego podejścia wymagającego napisania odpowiedzi dokładnie jak w ankiecie, gdy jedna literówka powoduje odrzucenie żądania. Dzięki temu możliwe jest skorygowanie drobnych pomyłek przy zachowaniu wymaganego poziomu bezpieczeństwa.

    Jeśli przedsiębiorstwo korzysta z baz danych lub innych aplikacji Oracle, pakiet zarządzania tożsamością tej firmy jest naturalnym wyborem, bo jego integracja z systemem jest łatwa.


  • TOP 200