Firemní bezpečnost ovládla správa identit

Zabezpečení firem se stává lukrativním byznysem prosazují se v něm nově i firmy z jiných oblastí IT. ID managemen...


Zabezpečení firem se stává lukrativním byznysem prosazují se v něm nově i firmy
z jiných oblastí IT.

ID management pro systémy Windows, tokeny zabudované přímo do internetových
prohlížečů, ukončení dalšího vývoje zabezpečené verze Solarisu či rozšíření
počtu technologií řešících řízení přístupu k sítí (NAC, Network Access
Control). To jsou jen některé z novinek, se kterými se mohli seznámit účastníci
konference RSA, která se konala v polovině února v San José.
Konference RSA je jednou z nejvýznamnějších akcí svého druhu a tomu odpovídá i
zájem veřejnosti a samotných firem. Klíčové projevy tu přednesli nejvyšší
představitelé takových firem, jako je RSA Security, Microsoft, Sun
Microsystems, Cisco Systems či Nortel Networks, a lze říci, že návštěvník této
akce získal i jasný přehled o tom, co se v sektoru firemní bezpečnosti právě
děje.
Bill Gates, hlavní softwarový architekt Microsoftu, se ve svém úvodním projevu
na konferenci zaměřil především na dlouhodobou vizi svého vnímání bezpečnosti.
Podle něho k jejímu zlepšení povede, pokud se společnosti budou držet čtyř
základních strategických iniciativ. Jde o vytváření bezpečného ekosystému, dále
o inženýring bezpečnosti, o zjednodušení řešení a konečně i o vytváření
bezpečnostních platforem. V prvním případě jde podle Gatese především o problém
samotných uživatelů, kteří musejí bezpečnost pochopit jako nedílnou součást své
práce. Firemní uživatelé prý například během příštích tří až čtyř let přestanou
používat zabezpečení pomocí hesel a přejdou na dvoufaktorovou autentizaci.
Vzroste prý i význam certifikátů, jež budou tvořit jedno z hlavních potvrzení
toho, že webové stránky patří skutečně tomu, kdo je na nich také uveden. Co se
týče inženýringu bezpečnosti, Gates upozornil na příkladu své firmy, jak lze
různé nástroje a inovativní postupy využít k vytváření bezpečného kódu. Jako
velký cíl si vytkl plnění třetího bodu své strategie zjednodušení řešení
bezpečnosti. Prvními vlaštovkami jsou například jednotné prostředí služby
OneCare ve Windows Vista či InfoCard pro správu identit (viz níže). "Bezpečnost
a správa jsou neoddělitelné části," řekl doslova Gates.

Trusted Solaris končí
Jak jsme vás už informovali v minulém vydání Computerworldu, Sun ustoupil od
samostatné verze zabezpečeného Solarisu.
To však nebylo jediným oznámením Sunu na konferenci. Firma také uvedla, že do
produktu Java System Web Server 7.0 zahrne novou podobu šifrovací techniky
označované jako Elliptic Curve Cryptography (ECC). Jde o alternativu k podobné
technologii od RSA, kterou uvedený server již podporuje. ECC je podle Sunu,
který se na jejím vývoji rovněž podílel, méně náročná na výpočetní kapacitu, a
tudíž může být využita v daleko větším počtu zařízení.

Tokeny v browseru
Panel RSA SecurID Toolbar Token je nejnovějším produktem, který RSA nabízí pro
autentizaci uživatelů. Jedná se o řešení, které je postaveno na bázi
pseudonáhodných čísel, které uživatel využívá jako potvrzení toho, že je
oprávněn pro provedení určité transakce. Vygenerování kódu je přitom vázáno na
další heslo či PIN. Toolbar je dostupný jako volitelná komponenta pro
prohlížeče Internet Explorer a Firefox a slouží k potvrzení toho, že ten, kdo
vstupuje například na firemní web, je oprávněnou osobou. K odeslání
potvrzujícího kódu přitom stačí jen stisknout příslušné tlačítko na stránce, a
browser už sám požadovanou činnost provede. Celkem lze v prohlížeči mít
autentizační schémata pro až dvacet webů. RSA nabídne třetím stranám i
vývojářský kit SDK, takže bude možné zahrnout funkce autentizace i do jiných
toolbarů.

Identita přes InfoCard...
Technologie Microsoft InfoCard, kterou představil sám Bill Gates, funguje v
podstatě jako peněženka, do níž si mohou uživatelé ukládat informace o své
identitě a příslušných heslech, které pak využijí pro přístup k různým webům
(Microsoft předpokládá, že v první fázi půjde o řešení pro firemní klientelu).
Dosud organizace tento problém řešily dodatečnou správou, která se ale postupně
stávala neudržitelnou. Příslušné webové stránky ale musejí technologii InfoCard
rovněž podporovat, a proto bude nová technologie zahrnuta i do programovacího
modelu WinFX, určeného pro Vistu. Microsoft už uveřejnil i vývojářský kit
Federated Identity and Access Resource Kit, pomocí kterého si mohou zájemci
vyzkoušet funkcionalitu novinky na testovací verzi Visty, jež byla uvedena na
trh vloni na podzim.
Vylepšení správy identit se ale týká i nové verze Windows Serveru, zatím
označované jako Longhorn. Takové funkce, jako je správa identit, ochrana
duševního vlastnictví organizací či služby spojené s certifikáty bezpečnosti,
se přesunou do prostředí Active Directory (tuto komponentu prý v rámci Windows
Serveru dnes podle Microsoftu používá téměř 60 % všech organizací). Motivací
pro tento přesun bylo prý to, že uživatelé získají jednotné prostředí pro
správu identit implementovanou přímo v operačním systému. "Chceme využití
technologií pro správu identit co nejvíce zjednodušit," říká Michale
Stephenson, šéf Microsoftu pro oblast identit a řízení přístupu.

... i jinak
Microsoft ale není jedinou firmou, která hodlá výrazně modifikovat své
iniciativy spojené se správou identit. Hned několik dalších firem na konferenci
RSA podobné kroky rovněž oznámilo. Například firma Oracle uvedla, že její
platforma Identity Management 10g Release 3 se na trhu objeví už v květnu
tohoto roku. Novinka by v sobě měla zahrnovat technologie, jež Oracle získal
loňskou akvizicí společností Oblix, Octet String, Thor a Phaos.
Hewlett-Packard zase představil produkt OpenView Select Audit, což je už čtvrtá
komponenta sady OpenView řešící identity management (těmi dalšími jsou Select
Identity, Select Access a Select Federation a novinka má s nimi být úzce
propojena). Select Audit má uživatelům pomáhat vytvářet pravidla a také
kontrolovat, jak jsou v praxi dodržována. Inovován byl i produkt Select
Identity (verze 4), který má automatizovat případné změny v konfiguracích.
Například když jsou do sítě přidány nové systémy či aplikace (nebo jsou
modernizovány či dokonce odstraněny), software je schopen sám upravit příslušná
oprávnění uživatelů.
Svou správu identit modernizovala i firma CA. Na konferenci RSA představila
úzkou integraci svých aplikací SiteMinder (tu CA získala akvizicí firmy
Netegrity a mimo jiné nabízí centralizaci správy autentizací a přístupových
práv pro interní i externí weby), Single Sign-On (sjednocuje přihlašovací
procesy k různým typům aplikací) a Security Command Center (správní konzole).
Spojením funkcí všech uvedených produktů se uživatelé mohou přihlašovat ke všem
výše zmíněným zdrojům jen jednou a správci pro management těchto činností mohou
využít jednotnou platformu.
CA ale na konferenci RSA představilo i zcela nový software, jenž má podle slov
jeho představitelů pomoci zabezpečit a spravovat systémy prostřednictvím
webových služeb. Nový produkt, který je pracovně pojmenován jako Project SOA a
jenž by se měl na trhu objevit zhruba v polovině letošního roku, bude zahrnovat
dosavadní řešení eTrust Transaction Minder a Unicenter Web Services Distributed
Management a ty doplní o funkce, jež zvýší zabezpečení XML. CA údajně hodlá
spolupracovat s některými hardwarovými výrobci na vzniku samostatného
bezpečnostního zařízení, které bude výše uvedenou funkcionalitu nabízet. CA
přitom už některé své produkty webových služeb nabízí formou hardwarových
produktů, a to například od firem Layer 7 Technologies či Forum Systems.

Bezpečné USB disky
Společnost SanDisk představila USB flash disky a přenosné paměťové karty, které
podporují technologii TrustedFlash. Ta mimo jiné nabízí zabudovaný stroj pro
šifrování, který umožňuje data ukládaná na uvedená média šifrovat v reálném
čase, takže data jsou okamžitě zabezpečena proti případnému zneužití. SanDisk
rovněž uzavřel partnerství s několika významnými bezpečnostními firmami.
Například díky spolupráci s VeriSignem a RSA budou v zařízeních SanDisku k
dispozici algoritmy jednorázových hesel Identity Protection, respektive
SecurID. To dovolí uživatelům disků využívat dvoufaktorovou autentizaci.
Partnerství s firmou Safend zase dovoluje firmám, aby uvnitř své organizace
mohly pro přenos informací využívat USB disky, jejichž obsah je šifrován tak,
že jej mohou číst jen příslušní pracovníci. Pokud se USB disk dostane mimo
firmu, je jeho obsah nečitelný.

Další varianta NAC
Nortel Networks je další společností, která představila svou variantu řízení
přístupu k síti, tedy řešení, pomocí kterého koncové body, jež chtějí
přistoupit k podnikové síti, donutit k tomu, aby dodržovaly stanovaná
bezpečnostní pravidla.
Zařízení SNAS (Secure Network Access Switch) je schopné na úrovni portu
povolit, omezit provoz od koncového uživatele nebo mu zcela zamezit, a to na
základě prozkoumání jeho počítače. Navíc není nutné na uvedených koncových
stanicích mít nainstalován klientský program (agenta). To představuje rozdíl
oproti řešení, které nabízí například firma Cisco Systems (NAC, Network Access
Control), kde každý přistupující počítač musí zahrnovat takzvaného Cisco Trust
Agenta. Řešení od Microsoftu (NAP, Network Access Protection) zase funguje
pouze na počítačích s operačním systémem Windows Vista.
Nortel však s Microsoftem na uvedené problematice spolupracuje a výsledkem je
řešení označované jako Network Assured NAP. V tomto případě dokáže SNAS
kooperovat s klienty i servery NAP a na základě jejich nastavení ovlivňovat
chování na příslušných komunikačních portech. SNAS však dokáže spolupracovat i
s klientskými agenty od firem Trend Micro, McAfee nebo Zone Labs.
SNAS využívá pro skenování koncových stanic javovské applety podobný princip je
využit například i při skenování klientů v případě přístupu do sítí SSL VPN
postavených na produktech Nortelu. SNAS rovněž využívá analytický software
WhoreSecurity od společnosti Symantec, jenž může údajně zaregistrovat aktivity
červů nebo virů ještě před tím, než jsou pro ně známy signatury.
Funkcionalita SNAS se do přepínačů Nortelu vkládá pomocí aktualizovaného modulu
Service Delivery Module, který již nyní zahrnuje podporu pro firewally či IPS
(Intrusion Prevention System).

Detekce anomálií
Hned několik produktů, které by měly ulehčit práci síťovým administrátorům,
představila společnost Internet Security Systems (ISS). Jde především o řešení
Proventia Network Anomaly Detection System, které dokáže identifikovat místa v
síti, která jsou nefunkční nebo jejichž bezpečnost je narušena (k tomu je
využita sada analytických strojů) a podle toho okamžitě měnit nastavení sítě.
Přitom jde o automatickou činnost, která nevyžaduje bezprostřední zásah
příslušného správce. Systém umožňuje mimo jiné detailně monitorovat kriticky
důležité služby, odpojovat nepoužívané nebo neautorizované porty či segmentovat
síť (například kvůli zamezení šíření červů).
Dalším produktem z dílny ISS je Proventia Network Enterprise Scanner,
zajišťující kompletní správu zranitelností uvedené zařízení například
automaticky a pravidelně zjišťuje, zda nejsou systémy uvnitř sítě ohroženy
některými známými chybami.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.