Efektivní správa identit zvyšuje bezpečnost IT

Problematika správy identit se v poslední době dostává do centra zájmu podnikových uživatelů. Pomáhá jí k tomu ros...


Problematika správy identit se v poslední době dostává do centra zájmu
podnikových uživatelů. Pomáhá jí k tomu rostoucí důraz na zajištění
bezpečnosti, nová legislativa i snaha o snížení nákladů. Uvedený trend je
patrný jak v projektech týkajících se koncových uživatelů, tak i při
konsolidaci systémů. Odráží se rovněž v nabídce široké škály softwarových
nástrojů pro správu identit, mimo jiné od firem Computer Associates, IBM,
Microsoft, Novell, RSA Security nebo Sun.
Přestože jde o frekventované téma, řada společností si otázky související se
správou identit zatím vůbec nepřipouští. "Otázkou je, jaká rizika podstupujeme,
pokud správu identit nepoužíváme," říká Ahmed El-Haggan, CIO a profesor
počítačových věd na Coppin State University v Baltimoru. "V současnosti
zajišťujeme on-line přístup k řadě nejrůznějších zdrojů, ke kterým se dříve
tímto způsobem nedalo dostat a vývoj v tomto směru bude zřejmě pokračovat. Je
tedy otázkou, zda budeme moci v budoucnosti žít beze správy identit."
El-Hagganova odpověď na výše položenou otázku zní "ne" a tak začal řešit
zmíněný problém prostřednictvím instalace nástroje IdentityMinder eProvision od
společnosti Netegrity, který umožňuje 4 000 studentům a také množství
zaměstnanců vytvářet a spravovat své vlastní identity pro e-mailové účty a
přístup k síti. "Říkáme tomu přístup na vyžádání," vysvětluje El-Haggan.
Stejná odpověď, tedy "ne", přichází také od mnohých dalších uživatelů. V USA
často poukazují na legislativní úpravy, které na ně kladou velké nároky ohledně
požadavků na ochranu dat a pečlivě řízený přístup, v Evropě by měla být situace
brzy podobná příslušné normy jsou očekávány.
"Nutnost splnění zákonných požadavků je velmi důležitá, je to něco, co pohne
správou identit zase kupředu," říká Ira Horowitzová, šéfka marketingu
společnosti MaxWare, která vyvíjí sadu produktů pro správu identit. Burton
Group předpovídá, že během následujících dvou let každá společnost začne
pracovat na nějakém projektu pro správu identit.
Burton Group také upozorňuje na fakt, že korporace už dále nebudou moci
ignorovat potřebu efektivně spravovat uživatelské identity od jejich stvoření
až do vymazání. V rámci tohoto procesu bude třeba ošetřit zápisy do logů a
auditování, kdo je na síti, co uživatelé dělají a kdy.
Zajištění takové správy nicméně vede k potřebě vytvořit komplexní
infrastrukturu pro správu identit, která zahrnuje správu přístupu, přidělování
práv, meta adresář, virtuální adresář, správu hesel, SSO (Single Sign-On) a
odpovídající adresářovou technologii. Komplexnost celé problematiky způsobuje,
že se dále prohlubují tři hlavní trendy na trhu vývoj balíků produktů,
konsolidace výrobců a spojování produktových kategorií.
V nedávné době například společnosti Netegrity a Sun polapily výrobce řešení
pro přidělování uživatelských práv firmy Business Layers a Waveset. V
posledních 18 měsících firma HP koupila výrobce řešení pro správu identit
TruLogica a software pro správu přístupů od Baltimore Technologies, IBM zase
koupila výrobce řešení pro přidělování uživatelských práv Access 360 a
meta-adresářový start-up MetaMerge.

Zjednodušení
Konsolidace trhu ovšem není jediným trendem, který je v oblasti správy identit
patrný. Výrobci rovněž spojují produktové kategorie, čímž chtějí zjednodušit
uživatelům práci. Jejich produkty mají dělat dojem snadno ovladatelných
integrovaných řešení. Přidělování uživatelských práv (provisioning),
meta-adresář a synchronizace hesel jsou konsolidovány do softwaru pro správu
uživatelů. Správa přístupu k webu, samoobslužná (delegovaná) správa a
auditovací technologie konvergují do autorizačních produktů.
Společnost Sun například nedávno zkonsolidovala svou řadu produktů z osmi na
tři. Microsoft má zase pouze tři základní produkty ve své řadě pod střechou
Active Directory a pro zajištění dalších vrstev správy se spoléhá na produkty
třetích stran.
Uvedený trend ovšem nepřináší pouze pozitiva. Uživatelům totiž nabízí menší
volbu pokud jsou produkty sloučené, potom si nyní jen těžko mohou vybírat v
každé z kategorií ten nejlepší software.

Standardizace
Podle Gartneru si vzhledem ke komplexnosti problému integrace komponent systémů
pro správu identity a přístupu zvolí 60 % firem produktové sady vlastněné nebo
licencované (a podporované) jedním výrobcem. Tato výzkumná společnost rovněž
tvrdí, že náklady na integraci mohou činit dvojaž šestinásobek poplatků za
licenci na produkty pro správu identity.
"Myslím si, že je lepší si u každého produktu vybrat ten nejlepší, ale
standardizace prostřednictvím volby řešení od jednoho výrobce může nabídnout
potřebnou konzistenci," říká Mike Ruman, manažer pro IT messaging účetní firmy
Grant Thornton.
Ruman tvrdí, že standardy v oblasti správy identity, jakými jsou SAML (Security
Assertion Markup Language), a XACML (eXtensible Access Control Markup Language)
mu dovolí vybrat si to nejlepší z obou světů. Jeho společnost používá Active
Directory pro obsluhu funkčnosti single sign-on pro aplikace, které
outsourcuje. Současně testuje Microsoft Identity Integration Server pro
zjednodušení synchronizace mezi uvedeným adresářovým systémem a daty uloženými
v databázích systémů HR (Human Resources).
Komplexnost správy identit ještě zvyšuje poslední trend takzvané federované
identity, kdy firemní identity zároveň zajišťují přístup k sítím partnerů.
Například banka 5th/3rd nedávno dokončila projekt využívání lokálních identit
pro přihlašování do outsourcovaných aplikací pro správu lidských zdrojů za
použití SAML. "Potřebovali jsme prostě dostat identitu z bodu A do bodu B byla
to federovaná identita," popisuje situaci Bob West, CISO (Chief Information
Security Officer) banky.
Jeho společnost využila k realizaci projektu Federated Identity Manager od RSA.
Podobný software ovšem nabízejí i firmy jako Oblix, Phaos, Ping Identity a
Trustgenix; Liberty Alliance a duo IBM/Microsoft vyvíjejí konkurenční systémy
pro správu federovaných identit, ačkoli oba podporují standardy WSS (Web
Services Security) a SAML.
West říká, že zahrnul federovanou identitu do svých plánů na celou
infrastrukturu pro správu identity.
"Záměrem je získat vrstvu identity, která může být využívána ve všech našich
aplikacích," říká. "Chceme disponovat konzistentním rámcem pro web a další
platformy, abychom redukovali potřebu přihlašování a automatizovali správu
přístupu," dodává.

Identity webových služeb
Vytváření infrastruktury pro správu identit však nezahrnuje pouze identifikaci
uživatelů. S úsvitem webových služeb podnikoví uživatelé zápasí také s
identitami pro stroje, které spolu hovoří navzájem.
"U webových služeb je otázkou, jak spravovat identity aplikací, služeb a
zařízení," říká architekt IT z jedné ze společností ze žebříčku Fortune 100.
"Jak vytvoříme identitu pro nějakou službu? A jak služba prokáže svou identitu?
Tento problém se stává ještě komplexnějším, jakmile začnu vyžadovat interakci s
entitami mimo svou organizaci. Zatím nejsou k dispozici nástroje, které by
tyhle věci uspokojivě řešily," vysvětluje.
Zatímco přínosy správy identit se zdají být zřejmé, množství problémů, jež jsou
v identity managementu skryty, znamenají, že vytvoření odpovídající
infrastruktury může trvat roky.
"Uživatelé by měli myslet strategicky, ale jednat takticky," říká Mike
Neuenschwander, analytik Burtonu. Tvrdí, že vznikající standardy pro všechny
potřebné oblasti, tedy například bezpečnostní politiky, zajištění soukromí,
auditování, správa digitálních práv a řízení přístupu dále změní pohled na
celou tuto problematiku a budou mít vliv i na rozsah správy identity.
"Uživatelé by měli zkusit sestavit dvouaž čtyřletý plán popisující, čeho chtějí
v této oblasti dosáhnout," říká Neuenschwander. V průběhu času pak podle něj
bude třeba plán korigovat v souladu s aktuálním vývojem. Správa identit se
stane integrální součástí síťových infrastruktur, protože její podpora bude
zahrnuta v aplikačních platformách, síťových zařízeních, vývojových nástrojích
i v klientských operačních systémech.

Open source nástroj pro správu adresáře
Pro vývojáře aplikací, ať už jde o zaměstnance firmy vyžadující software na
zakázku, pracovníka velkého softwarového výrobce nebo nezávislého vývojáře,
nemusí být problém nalezení vhodného adresářového systému pro uchování
informace o identitě uživatelů jeho softwaru nijak složitý. Všichni hlavní
výrobci adresářů totiž dodávají speciální verze svých adresářů vývojářům
zdarma. I když se ale vývojář nekvalifikuje do jednoho z těchto programů, stále
si ještě může zdarma stáhnout adresář OpenLDAP. Nicméně je tu přece jen jeden
problém, na nějž lze narazit u některých z uvedených programů lze ho shrnout do
otázky: Jak spravovat zvolený adresář mimo svou vlastní aplikaci?
Jistě, výrobci spolu se svými verzemi adresářů pro vývojáře dodávají i
plnohodnotné správcovské nástroje, ale u mnohých z nich se zdá, že od vás
proto, abyste je byli schopni použít, požadují minimálně absolvování
semestrálního kurzu. Například text knihy Novells Guide to Troubleshooting
eDirectory (ISBN: 0789731460) Jima Hendersona a Petera Kuo zabírá 608 stran. To
je docela hodně, když všechno, co vlastně chcete, je být schopen zaplnit svůj
testovací adresář uživateli, vymazat je, když je to třeba, a číst nebo
zapisovat některé informace potřebné pro svou aplikaci.
Řešením může být Directory administrator open source software fungující jako
správcovský nástroj pro adresářové služby podporující LDAP. Lze jej tedy použít
například s produkty OpenLDAP, eDirectory nebo Sun Java System Directory
Server. Dalo by se říci, že pro práci s ním není třeba ani vědět, jak LDAP
adresář pracuje. Spusťte ho, tvořte, mažte a upravujte uživatele tak, jak
potřebujete.
Za minimální čas můžete nasadit řešení odpovídající Active Directory od
Microsoftu, a to bez problémů s pastmi proprietárních vlastností, s nulovými
nároky na licenční poplatky a při použití bezpečného, volně distribuovatelného
softwaru. To jistě zní příjemně, ale dělá uvedený produkt skutečně vše, co je
potřeba?
S Directory administratorem můžete dělat následující úkony:
Přidávat, odstraňovat a upravovat uživatele a skupiny jednoduchým procesem za
pomoci rádce.
Přidávat a odstraňovat členy skupiny.
Měnit uživatelská hesla.
Nastavovat a měnit pravidla pro expiraci hesel, nastavovat datum expirace pro
uživatelská konta nebo konta zakázat.
Nastavit logon shell (pro uživatele Unixu) a domácí adresář.
Spravovat firemní informace (oddělení, e-mailovou adresu, čísla telefonů,
město, stát, číslo zaměstnance).
To znamená, že jsou k dispozici nejen všechny vlastnosti, které by mohl
potřebovat vývojář softwaru podporujícího adresářové služby nebo aplikace, ale
jsou tu i funkce odpovídající požadavkům správců, kterým umožňuje realizovat
řadu potřebných činností. A to vše je k mání ve formě otevřeného kódu a zdarma.
Více informací o tomto produktu lze nalézt na webové adrese
diradmin.open-it.org/index.php.

Tvorba infrastruktury pro správu identity
Na trhu je více než 60 dodavatelů produktů, které lze využít pro správu
identity. Někteří z nich nabízejí komplexní řešení, jiní jen jednotlivé
součásti. K dispozici jsou přitom i některé zajímavé open source nástoje.
Zvolit správnou strategii nákupu v této oblasti tak může být velmi obtížné. Je
třeba zvážit mimo jiné následující faktory:
Problémy
I když hlavní výrobci vytvářejí sady produktů, mnohé z nich nejsou dostatečně
integrované na to, aby poskytovaly výhody vyplývající z opakovaného využití
některých komponent a dostatečnou homogenitu.
Stejně jako u jakéhokoli jiného projektu zahrnujícího práci s adresářovým
systémem a s větším množstvím úložných míst pro uchovávání identit musejí i zde
uživatelé zajistit přesnost svých dat. Nástroje pro usnadnění této činnosti
nabízejí například společnosti Courion, MaXware, M-Tech a Sun.
Je třeba rozpoznat závislosti mezi určitými produkty. Například správa přístupu
založená na pravidlech může vyžadovat využití meta-adresářového softwaru nebo
specializovaného softwaru pro přidělování přístupových práv.
Strategie
Sledujte pečlivě konvergenci určitých technologií a kupujte produkty, které
nabízejí univerzální funkčnost.
Tlačte výrobce k přijetí vznikajících standardů nebo ke spolupráci se
standardizačními orgány.
Při definici projektu berte v úvahu 6 klíčových oblastí (podle Burton Group):
správu účtů, synchronizaci identit, správu povolení, správu oprávnění, správu
přístupu a single sign-on.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.