Neúspěšné hledání bezpečnostních nástrojů

Produkty pro šifrování disků a správu identity, které se objevily na trhu, příliš nevyhovují požadavkům uživatel


Produkty pro šifrování disků a správu identity, které se objevily na trhu,
příliš nevyhovují požadavkům uživatelů.
Nedávno jsem při návštěvě konference RSA v San Franciscu hledal informace o
produktech pro šifrování a správu identity. Zúčastnil jsem se také přednášek
věnovaných právě správě identity, ale i hodnocení zranitelných míst, řízení
bezpečnosti informací a zabezpečení bezdrátových spojů. Všechny tyto přednášky
měly slušnou návštěvnost a poskytované informace byly zajímavé. S produkty to
však už bylo horší.
Jednou z klíčových oblastí je pro mne v letošním roce ochrana mobilních
zařízení, zvláště pak šifrování disků. Rozhodl jsem se, že už opravdu
potřebujeme nějaký produkt, který tuto činnost zajistí. V naší firmě se totiž
každý rok ztratí 20-30 mobilních zařízení. Většinou jsou to laptopy, ale i
několik málo handheldů a e-mailových zařízení BlackBerry.
Jen několik notebooků ztracených v loňském roce patřilo vedení firmy a
obsahovalo citlivé informace. V jednom případě ztratil ředitel odpovědný za
vývoj softwaru notebook, který obsahoval dokumenty o designu nové produktové
řady, seznam zaměstnanců, finanční zprávy a údaje o fúzi a akvizicích. Všechna
data byla umístěna v nešifrovaném adresáři pevného disku. Pokud by se dostala
do špatných rukou, mohla by naši firmu ovlivnit výrazně negativním způsobem. V
dalším případě nahlásil prodejce odcizení laptopu, který obsahoval důvěrné
ceníky a seznam zákazníků.
Sháním proto nyní šifrovací produkt, který bych mohl nasadit na počítače těchto
"vysoce rizikových" zaměstnanců, jak se interně označují, a výhledově bych
uvažoval o jeho využití na tisících počítačů v rámci celé firmy.

Nejdříve standard
Nejprve bych chtěl využít EFS (Encryption File System), což je funkce, která je
součástí Windows. Jelikož na všech firemních laptopech využíváme Windows 2000
či Windows XP a obě verze obsahují EFS, dává tento přístup smysl.
Nasazení EFS je velmi snadné, dovoluje uložení klíče, šifrování je silné a
funguje tak, že si ho uživatel nevšimne. Pokud se rozhodneme pro toto řešení,
můžeme také přidat dvoufaktorové ověřování identity, čímž dále bezpečnost
zvýšíme. Nicméně standardizace EFS nepadá v úvahu u dalších mobilních zařízení.
Bylo by ideální, pokud by se nám podařilo nalézt jediný šifrovací produkt,
který by mohl vyřešit otázku všech těchto zařízení, ale obávám se, že budeme
nuceni využít několika různých řešení. Bohužel jen málo výrobců nabízelo na
zmiňované konferenci produkty pro tuto oblast, a ty, které jsem měl možnost
vidět, mě nijak neuchvátily. Před dokončením analýzy rizik se obrátím ještě na
další výrobce.

Krize identity
Určitý čas jsem věnoval také dodavatelům produktů pro správu identity.
Dodržování požadavků takových zákonů, jako je například Sarbanes-Oxley act,
představuje pro naši firmu velký problém. Nástroje pro správu identity řeší
nutnost kontroly přístupu k mnoha ve firmě vytvořeným aplikacím.
Zhruba 80 % našich aplikací si vytváříme sami pro svou potřebu. I když jsou
mnohé z nich napsány s využitím standardních platforem, jako je J2EE, ověřování
totožnosti ani autorizace přístupu v nich nejsou nijak standardizovány. Místo
toho každá aplikace využívá vlastní databáze uživatelů, takže centrální správa
je naší noční můrou.
Určité aplikace řeší finanční otázky firmy, a zde platí požadavky zákona
Sarbanes-Oxley. Nástroje pro správu identity by mohly přinést jediný bod pro
správu uživatelů a hesel, poskytování aplikací, řízení přístupu a ověřování,
což by bylo možné využít pro veškeré naše aplikace.
Jedním z problémů, který je nyní nutné řešit skutečně promptně, je rychlé
zamezení přístupu zvoleného uživatele k určitým finančním aplikacím. Dosud
tento proces vyžaduje přístup k mnoha aplikacím a ověření, zda je skutečně účet
uživatele zablokován. S pomocí systému pro správu identity by to vyžadovalo
pouze jediný krok.
Zmíněné nástroje slibují, že identita jednotlivých uživatelů a přístupová práva
lze definovat a spravovat z jediného bodu. Podle marketingu výrobců se to zdá
být jednoduché, ale jakmile jsem začal nahlížet pod slupku jednotlivých
produktů, začaly se objevovat povědomé problémy.
Stav správy identity mi připomíná dobu, když jsme se před zhruba rokem a půl
začali zabývat otázkou PKI (Public Key Infrastructure). Výrobci a integrátoři
dávali mnoho vzrušujících příslibů, ale když došlo na detaily, zjistili jsme,
že PKI můžeme využít pouze pro určité aspekty našeho podnikání, nikoliv pro
všechno. Problémem byla interoperabilita, zdroje a náklady. V dané době to
prostě nemělo smysl, takže jsme celý projekt odložili a nakonec přišli o peníze
na jeho realizaci.
Dalším potenciálním přínosem správy identity je možnost sdílet aspekty identity
uživatele mezi jednotlivými entitami, ať již je jedná o využití uvnitř firmy
nebo mezi různými organizacemi navzájem. Což ale znamená, že musíme důvěřovat
další firmě, které nakládá s údaji o identitě našich zaměstnanců.
Dodavatelé uvedený mechanismus nazývají sdruženou správou identity (federated
identity management), nicméně podporují dva vzájemně soupeřící standardy Web
Services Federation a Liberty Alliance. Standard WS-Federation byl vytvořen
skupinou firem, do níž patří Microsoft, IBM, VeriSign, BEA Systems a RSA
Security. Liberty Alliance je spíše projektem open source komunity. V dané
chvíli jsem se rozhodl vyčkat, než se objeví jasný standard a než se vytříbí
výrobci.

Další úkoly
Nejnaléhavějším úkolem je pro mne v této chvíli zavedení bezpečnostních
standardů. To mi nyní zabírá spoustu času. Setkávám se s manažery vývojových
týmů a dlouze diskutujeme o jejich práci, abych mohl zajistit, že výsledek
bezpečnostních návrhů bude smysluplný a dosažitelný. Měli bychom být hotovi
během několika týdnů.
Poté se budu moci zabývat dalšími úkoly: řešením správy bezpečnostních oprav,
zabezpečením bezdrátových spojů, skenováním zranitelných míst, osobními
firewally a řízením bezpečnosti informací.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.