10 składowych bezpiecznego internetu

Wiele protokołów i otwartych standardów potrzebnych do znaczącego ograniczania ataków i malware w internecie jest już dostępnych. To czego brakuje, to zaangażowanie i pełna współpraca polityków, organizacji i ekspertów technicznych. Jakiekolwiek nowe specyfikacje w zakresie bezpieczeństwa internetu pojawią się w przyszłości, to prawdopodobnie zawierać będą kombinację dziesięciu, które prezentujemy.

W swoim wystąpieniu na "RSA Conference 2011" Scott Charney, odpowiedzialny w Microsofcie za "thrustworthy computing", apelował o większa współpracę przy zabezpieczaniu punktów końcowych sieci. Propozycja jest naturalnym rozwinięciem inicjatywy Microsoftu End-to-End Trust, która ma uczynić internet bardziej bezpiecznym w całości. Istotnym jej punktem jest przekonanie, że wszystkie protokoły i otwarte standardy wymagane do znaczącego ograniczenia ataków i malware w internecie już istnieją. To czego brakuje, to większe zaangażowanie polityków, organizacji i ekspertów technicznych.

Istniejąca już dziesiątka protokółów i specyfikacji, może tworzyć podstawy bardziej bezpiecznego internetu. Oto ona:

Trusted Platform Module (TPM)

Aby internet był bezpieczniejszy, wszystkie urządzenia techniki komputerowej do niego podłączane powinny być wyposażone w specjalny mikroukład, który zapewnia, że są godne zaufania - przed i w czasie procesu ładowania. Taką funkcję spełnia mikroukład otwartego standardu Trusted Computing Group, który jest już dostępny w większości PC klasy enterprise. Podobna technika jest potrzebna w urządzeniach mobilnych, routerach, przełącznikach i innym sprzęcie komputerowym.

Zobacz również:

  • YouTube będzie wymagać od twórców oznaczania filmów generowanych przez AI
  • IDC CIO Summit – potencjał drzemiący w algorytmach

IPv6

IP w wersji 6 szybko staje się standardem zastępującym mniej bezpieczny IPv4 w routingu pakietów przez internet. Standard jest dostępny w wielu popularnych systemach operacyjnych. Jest ustawiany jako domyślny w każdej wersji Windows, począwszy od Vista i Server 2008. Niestety, niewiele krajów szeroko go stosuje, chociaż ich liczba stale rośnie.

Domain Name System Security Extensions (DNSSEC)

Po wielu latach oczekiwania, zbiór specyfikacji DNSSEC opracowywany przez IETF - jest w końcu gotowy, przynajmniej dla domen najwyższego poziomu. Domeny niższych poziomów i prywatna infrastruktura DNS będą przedmiotem kolejnych wydań. DNSSEC zapewnia integralność odpowiedzi na kwerendy DNS, a DNS jest wymagany w prawie każdym scenariuszu internetowym. Jeżeli napastnik ma możliwość złośliwego manipulowania DNS, zapewnienie bezpieczeństwa wszystkim innym zależnym protokołom staje się dużo trudniejsze. Na szczęście implementacja DNSSEC jest coraz powszechniejsza.

Security Assertion Markup Language (SAML)

SAML jest protokołem opartym na XML, używanym do wymiany informacji związanych z bezpieczeństwem między różnymi domenami bezpieczeństwa. Jest używany przez większość protokołów wymienionych niżej, w tym OpenID i oAuth, jak również w uwierzytelnianiu wieloskładnikowym.

OpenID

OpenID zapewnia zdecentralizowaną metodę współdzielenia jednej lub więcej tożsamości webowej pomiędzy wieloma witrynami. OpenID jest faktycznie kartą informacji uwierzytelniającej dla indywidualnego użytkownika. Karty OpenID są przechowywane lokalnie na każdym bezpiecznym, głównym urządzeniu lokalnym, a użytkownicy są uwolnieni od konieczności tworzenia większej liczby kart - zarówno na użytek ogólny lub specyficzny. Wiele popularnych firmowych rozwiązań współdzielonej tożsamości webowej (jak np. Microsoft Live ID) jest kompatybilnych z OpenID.

Korzyści jakie wnosi OpenID, to przede wszystkim możliwość całkowitego kontrolowania swojej tożsamości cyfrowej przez użytkowników. Aczkolwiek, osobiste karty nie skalują się na tyle dobrze, aby uczynić internet gruntownym środowiskiem single sign-on.

Open Authorization (oAuth)

oAuth jest protokołem uwierzytelniania, który ma wypełniać lukę w obszarze enterprise, nie obejmowanym przez OpenID. Rozwijająca się wciąż specyfikacja oAuth jest nastawiona na dopuszczanie jednolitych zasad bezpieczeństwa do pozyskiwania zawartości i usług zewnętrznych. Ma silne wsparcie ze strony popularnych witryn i serwisów (m.in. Twittera). Ma także swoich krytyków, którzy uważają, że nowo proponowana wersja jest mniej bezpieczna niż wcześniejsza.

Uwierzytelnianie wieloskładnikowe

Inteligentne karty, biometryka i inne usługi uwierzytelniania wieloskładnikowego zaczynają uzyskiwać coraz szerszą akceptację w internecie. Google, Hotmail i wiele innych serwisów obsługuje pozapasmowe uwierzytelnianie hasłem jednorazowym, wysyłanym do urządzeń mobilnych. Coraz rzadziej spotyka się witryny bankowe opierające bezpieczeństwo transakcji jedynie na nazwie użytkownika i haśle. Takie podejście sprawia, że internet staje się bezpieczniejszym miejscem.

Protokoły WS-Security

Protokoły WS-Security są niezbędnym krokiem w kierunku uwierzytelniania wieloskładnikowego. Zapewniają sposób tworzenia referencji wielokrotnego użytku, ze zmiennym poziomem ubezpieczenia i zaufania, które mogą być zaimplementowane w witrynach i serwisach o różnych potrzebach w zakresie bezpieczeństwa.

Istniejące już protokoły ze zbioru WS-Security to: WS-Trust, umożliwiający wydawanie, przedłużanie i zatwierdzanie tokenów bezpieczeństwa, zwłaszcza między zaufanymi domenami bezpieczeństwa; WS-Federation, zapewniający domenom bezpieczeństwa możliwość akceptacji tożsamości uwierzytelnionych w innych domenach; WS-Policy, używany przez domeny bezpieczeństwa do ogłaszania, jakie reguły bezpieczeństwa musi spełniać tożsamość, aby mogła zostać zaakceptowana (np. uwierzytelniona metodą wieloskładnikową). Te właśnie protokoły WS-Security powinny być podporą globalnie bezpiecznego internetu.

Interface for Metadata Access Points (IF-MAP)

Kolejna inicjatywa Trusted Computing Group - otwarta specyfikacja IF-MAP - ma zapewniać zdolność dostarczania informacji o stanie bezpieczeństwa użytkowników, komputerów i sieci. Aktualnie używany jest IF-MAP w wersji 2.0.

Bezpieczeństwo na poziomie aplikacji

Za bezpieczne użytkowanie serwisów WWW odpowiedzialni są ich projektanci. Każda aplikacja powinna być pisana z uwzględnieniem bezpieczeństwa, w sposób zapewniający współpracę z odpowiednimi protokołami bezpieczeństwa i metodami uwierzytelniania. Większość naruszeń bezpieczeństwa w internecie związana jest z lukami bezpieczeństwa na poziomie aplikacji - i w tym obszarze pozostaje jeszcze wiele do zrobienia. Jeżeli jednak pozostała część internetu byłaby właściwie zabezpieczona, z użyciem wymienionych wyżej protokółów i specyfikacji, napastnik miałby dużo mniej okazji wykorzystania luk na poziomie aplikacyjnym, a także wzrosłoby prawdopodobieństwo wykrycia ataku.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200