Tożsamość i zarządzanie dostępem
-
- Józef Muszyński,
- 01.05.2005
Standaryzacja tożsamości pozwala na tworzenie prostszego, opartego na rolach i polityce, systemu bezpieczeństwa. Definiując precyzyjnie, kto jest aprobowanym użytkownikiem i jaka jest jego rola w organizacji oraz jaką ma odpowiedzialność, pozwala na lepszą ochronę danych.
Sterowanie dostępem można stosować do tożsamości użytkowników zarówno wewnętrznych, jak i zewnętrznych. Sterowanie dostępem użytkowników zewnętrznych może dopuszczać ich do specyficznych sekcji baz danych, pozwalając na samoobsługową kontrolę zamówień, stanu dostaw itp.
Reguły polityki mogą być także stosowane do wymuszania prywatności i eksponowania istotnych danych tylko tym użytkownikom, którym są niezbędne.
Inną zaletą infrastruktury opartej na tożsamości jest możliwość delegowania administrowania - odpowiedzialność za zarządzanie poszczególnymi rolami i tożsamościami - może być przekazana na poziom wydziałów, bez możliwości administrowania uprawnieniami w całym przedsiębiorstwie.
Dodatkową korzyścią z infrastruktury sieciowej opartej na scentralizowanym systemie zarządzania tożsamością jest łatwość automatyzowania audytu. Wielu specjalistów uważa, że bez odpowiedniego audytu nie można zapewnić realnego bezpieczeństwa systemom.
Tożsamość i dostęp mobilny
Zarządzanie tożsamością w kontekście roamingu
Tożsamość mobilna i potrzeba zarządzania dostępem wprowadzają nowe elementy do sieci i infrastruktury aplikacyjnej. Obsługa użytkowników mobilnych powinna być uwzględniona zarówno w usługach katalogowych, jak i produktach zarządzania dostępem, infrastrukturach kluczy publicznych i innych komponentach zarządzania tożsamością.
Infrastruktura aplikacji z dostępem mobilnym opiera się na komponentach zarządzania tożsamością i dostępem w mobilnych klientach, warstwach pośredniczących oraz rozszerzeniach w istniejących środowiskach aplikacji i tożsamości.
Mobilne urządzenia klienckie mogą się przemieszczać wraz z użytkownikiem. Mają zazwyczaj unikatowy identyfikator i często są ściśle powiązane z tożsamością używającego ich użytkownika. Powiązanie to może mieć formę stałego powiązania urządzenia z identyfikatorem użytkownika lub powiązania czasowego - na czas podróży lub trwania sesji.
W pierwszym przypadku identyfikator użytkownika może być przechowywany w urządzeniu wraz z informacją o jego tożsamości. Gdy identyfikator użytkownika jest powiązany z urządzeniem tylko na czas podróży lub sesji, użytkownik może być każdorazowo wzywany do wprowadzenia tożsamości i innych atrybutów oraz referencji, które generalnie nie są w tym przypadku pamiętane w urządzeniu. Użytkownik może także posługiwać się kartą czipową wkładaną do urządzenia, zawierającą wszystkie niezbędne informacje o tożsamości użytkownika. Karta taka personalizuje urządzenie na czas sesji komunikacyjnej.
Mobilne urządzenia klienckie często muszą uzyskiwać dostęp do różnych interfejsów bezprzewodowych, usług czy sieci. Różne technologie dostępu bezprzewodowego są często zawiązane ze szczególnymi zakresami roamingu: obszar personalny (Bluetooth), lokalny (802.11) i rozległy (GPRS). Z tego powodu urządzenia mobilne są często wyposażane w interfejsy sieciowe do różnych środowisk bezprzewodowych. Zróżnicowanie wyposażenia związanego z zarządzaniem tożsamością i dostępem urządzeń mobilnych zależy od typu roamingu, w jaki jest wyposażone urządzenie. Może to być roaming pojedynczy (np. pomiędzy WLAN 802.11b), roaming podwójny (np. pomiędzy WLAN 802.11b a WWAN GPRS), roaming wielokrotny, obejmujący Bluetooth, 802.11b i GPRS.
Z doświadczeń CLICO działającego od 1991 r. na rynkach regionu Europy Centralnej i Wschodniej, wynika jednoznacznie, iż edukacja z zakresu bezpieczeństwa w ostatnich latach dała pożądane rezultaty i potrzeba posiadania systemów ochrony typu firewall stała się kwestią oczywistą dla użytkowników. Naturalna ewolucja tych produktów doprowadziła do włączania kolejnych funkcjonalności - jak np. VPN czy regulacji pasma, jako ich integralnej części. Systemy te, wyposażane w funkcje analizy warstwy aplikacyjnej, zaczynają migrować w stronę systemów IPS. Zaś rozwiązania typu IPS, które bardzo szybko wypierają nieskuteczne już rozwiązania IDS, wyposażane w możliwość definiowania efektywnych polityk bezpieczeństwa zmierzają w stronę systemów zaporowych.
Kolejnym, silnie chronionym elementem sieci i zarazem potencjalnym źródłem zagrożeń stał się sam użytkownik - najczęściej wyposażony w komputer przenośny. Jedną z najbardziej znaczących akwizycji ostatniego półtora roku było m.in. przejęcie dominującej na tym rynku firmy Zone Labs przez Check Point,co pozwoliło rozszerzyć ofertę o bardzo granularną i wielopoziomową ochronę stacji roboczych, dzięki czemu możliwa jest implementacja kontroli i jakości dostępu do sieci z dokładnością do pojedynczych pracowników.
Systemy typu antyspam zaczęły ustępować bardziej złożonym rozwiązaniom klasy Content Security (realizującym funkcje ochrony przed spamem, wirusami, złośliwym kodem, utratą poufności danych itp.), zabezpieczającymi komunikację pocztową, jak i webową w wielu aspektach.
Najbardziej perspektywiczną dziedziną bezpieczeństwa wydają się jednak być rozwiązania służące do skutecznego zarządzania i ochrony sieci bezprzewodowych - których wykorzystanie i rozwój są ograniczone obawami użytkowników o poziom bezpieczeństwa przesyłanych informacji.
Ponadto użytkownicy "zalewani" ogromem informacji o rejestrowanych przez ich systemy ochrony incydentach, będących najczęściej efektem funkcjonowania robaków internetowych, kierują coraz intensywniej swoją uwagę na rozwiązania służące do korelowania incydentów i zarządzania bezpieczeństwem.
Należy również zwrócić uwagę na potencjał rozwiązań klasy Clientless VPN, czyli SSL VPN-ów, które w porównaniu do rozwiązań IPSec VPN praktycznie eliminują konieczność zarządzania częścią kliencką tego rozwiązania, upraszczając administrację i redukując koszty dostępu do zasobów.
