Budou identity v cloudu?

S narůstajícím trendem přesunu aplikací a služeb do prostředí cloudu (označováno pojmem SaaS, IaaS nebo PaaS) je stále aktuálnější otázka vyřešení vhodného způsobu zajištění přístupu uživatelů v rámci distribuovaného prostředí.

Budou identity v cloudu?


Výzvám čelí zejména IT oddělení, neboť jde především o bezpečnost uložení firemních dat do cloudu a zajištění autorizovaného a bezpečného přístupu k těmto datům. Provoz části IT prostředí v cloudu totiž ze své podstaty může vést ke snaze uživatelů obcházet některé firemní bezpečnostní zásady. Uživatelé si prostě vytvoří své vlastní účty v rámci cloudových služeb a na takto sdílená úložiště si mohou libovolně přesouvat jakákoli firemní data. Další aspektem tohoto chování je i fakt, že uživatelé čím dál častěji využívají k práci vlastní mobilní zařízení (smartphone, tablet…), a tím se problematika bezpečnosti dále komplikuje. Firmy většinou uživatelům využívání těchto zařízení umožní v rámci principu BYOD (Bring Your Own Device), ale zároveň IT oddělení musejí čelit potenciálním bezpečnostním hrozbám.

Pokud již firma buduje distribuované prostředí s využitím cloudových služeb, pak mezi tradiční služby jako Software as a Service, Infrastructure as a Service přibývá další služba, a to IDaaS – tedy Identity as a Service. Jde o službu, která zajišťuje bezpečný přístup ke zdrojům umístěným v cloudových službách. Je potřeba zajistit, aby byli uživatelé do cloudu identifikováni (může jít např. o delegovanou nebo federovanou autentizaci) a byla ověřována jejich přístupová práva. Dále je potřeba řešit např. správu klíčů a šifrování komunikace mezi uživatelem a cloudovou službou, monitorování, auditní služby atd. Typickým příkladem může být například využívání kancelářského softwaru Microsoft Office 365 v cloudu Microsoft Azure.

Na využívání cloudových služeb lze pohlížet ze dvou hledisek. Jeden přístup je takový, kdy si firma kompletně provozuje řešení v cloudu a nedisponuje žádnými vlastními interními systémy. O bezpečnosti datových center v cloudu už dnes po důkladné evangelizaci asi mnoho nepochybujeme, problém však nastane až v tzv. hybridním modelu nastavení cloudových služeb. Hybridní cloud je ideálním řešením pro takové zákazníky, kteří mají vybudovanou vlastní infrastrukturu a pouze určitou část (vybrané aplikace a systémy) provozují v cloudu. V tomto případě je samozřejmě cílem, aby z pohledu uživatele systémy a aplikace fungovaly zcela transparentně, ale zároveň aby byla dodržena end-to-end bezpečnost.

Z pohledu identit musíme řešit poněkud složitější problém, a to je zajištění komfortu jednotného přihlašování (single sign on) do všech provozovaných systémů v rámci hybridního cloudu. Komplexnost řešení bude samozřejmě větší s nárůstem aplikací provozovaných právě v datovém centru. Různé aplikace totiž mohou mít odlišné požadavky na přihlašování uživatelů, na tvar přihlašovacích jmen, kombinace hesel se silnějšími metodami autentizace apod. Přístup k některým aplikacím můžeme zajistit pomocí externího poskytovatele identit s využitím speciálních rozhraní typu OAuth, OpenID, SCIM apod. (Google, Facebook, Twitter apod.). U nás je známá podobná služba centralizované identity pro webové aplikace pod názvem MojeID. Dále může být požadavek integrovat do cloudu nějakou proprietární aplikaci s těžkým klientem, kdy pro zajištění přihlašování a autorizace uživatelů musíme vyvinout nebo použít zcela specializované API. Pokud již zajistíme sjednocení účtů v cloudu federativním nebo jiným způsobem, stále musíme mít na paměti, že takto centralizovaný identitní systém je poměrně zajímavým cílem pro různé hackerské útoky, protože zneužití takového účtu znamená obvykle přístup do řady systémů, které jsou s daným účtem v cloudu svázané.

Při provozování firemních systémů a aplikací v cloudu je nutné se zaměřit na silnější metody autentizace uživatelů̊ (multifaktorová autentizace na bázi jednorázového hesla, využití certifikátů), případně „risk-based“ autentizaci založenou na chování uživatele, kontextu a dalších faktorech. Vhodnou kombinací těchto metod lze zajistit požadovanou bezpečnost. Dále je potřeba se zaměřit na granularitu autorizace a řízení přístupu k firemním informacím. V rámci interních IDM (tzv. on-premise řešení) se tato problematika řeší obvykle pomocí role-based (RBAC) principu. Uživatelé jsou zařazeni do určitých rolí, např. podle svého zařazení v rámci organizační struktury, a na základě těchto zařazení pak získávají přístup k jednotlivým aplikacím. Obdobný princip lze uplatnit i v přístupu ke zdrojům umístěným v cloudu. Už ale poněkud obtížněji se tato problematika řeší v hybridním prostředí, kdy je nutné používat synchronizační nástroje a prostředí se stává jaksi komplexnější a těžkopádné z pohledu administrace. O něco složitější je také zavedení bezpečnostních principů privileged identity managementu – tedy zajištění kontroly nad administrátorskými účty. Pro on-premise řešení na to existují nástroje, které lze v rámci IDM systémů poměrně jednoduše implementovat, v hybridním modelu je to na straně cloudu výrazně obtížnější. Pokud budeme pokračovat ve výčtu dalších běžných funkcí, které dnešní on-premise IDM systémy poskytují, tak i jejich adopce do prostředí cloudu přináší vyšší implementační složitost. Jde například o zavedení schvalovacího workflow, certifikování přístupu, analýzu chování identit a monitoring a audit, samoobslužné funkce pro uživatele (reset hesla, požádání si o zřízení přístupu/roli). 

Výrazné implementační rozdíly funkcionalit jsou i v zajištění single sign on v lokálním IT prostředí a v případě hybridního cloudu. Zatímco interně v lokálním IT se lze s implementaci IDM řešení vypořádat i s různorodými aplikacemi využívajícími různá úložiště uživatelů (LDAP, AD, DB, soubor…) a můžeme užívat některé bezpečnostní protokoly a API – kerberos, SPNEGO, v cloudovém prostředí pak spíše spoléháme na federované mechanismy a standardy nad protokolem SAML, nebo REST API (OpenID, SCIM nebo OAuth).

V zásadě je možné říct, že existuje celá řada přístupů a řešení problematiky správy identit a její rozšíření do hybridního cloudu. Kromě již zmiňovaného řešení od společnosti Microsoft je celá řada dalších dodavatelů, kteří poskytují produkty nebo služby, jež splňují mnoho z výše uvedených požadavků (Oracle, Okta, Ping Identity, Centrify, OneLogin a další). Před zásadním rozhodnutím pak bude nejspíše nutné vyhodnocení potřeb společnosti, svoji úlohu bude hrát i dostatečné technické zajištění. Pro implementaci a správu takového komplexního prostředí je totiž nezbytné disponovat odborníky, kteří toto řešení budou spravovat a udržovat v chodu.

 

David Čečelský, autor je Delivery Director, NEWPS.cz 

Úvodní foto: Fotolia © leowolfert










Komentáře