SSO zlepšuje bezpečnost

14. 7. 2020

Sdílet

 Autor: © cienpiesnf - Fotolia.com
Únava z používání hesel, rozšiřování cloudových řešení a jednoduchost pro vývojáře, to vše podporuje růst jednotného přihlašování (SSO, Single Sign-On).

Jednotné přihlašování je služba autentizace uživatelů umožňující centralizovanou relaci s využitím jedné sady přihlašovacích údajů pro přístup k více aplikacím.

Její krása spočívá v  jednoduchosti – služba zajistí vaši autentizaci na jedné určené platformě a umožní vám následně používat řadu služeb, aniž se budete muset pokaždé přihlašovat a odhlašovat.

Spotřebitelé mohou používat jako SSO přihlašování přes sociální sítě Google, Facebook či Twitter – každá platforma nabízí přístup k řadě služeb třetích stran.

V podniku se může například používat SSO pro přihlašování uživatelů k proprietárním webovým aplikacím (hostovaným na interním serveru) nebo k systémům ERP hostovaným v cloudu.

Při správné implementaci může být SSO skvělou pomocí pro zvyšování produktivity, monitoring IT, správu a bezpečnostní kontrolu.

Pomocí jednoho bezpečnostního tokenu (páru uživatelského jména a hesla) lze zapnout a vypnout přístup uživatele k více systémům, platformám, aplikacím a dalším zdrojům. Také se tím sníží riziko ztracených, zapomenutých a slabých hesel.

Dobře promyšlená a dobře zavedená strategie SSO dokáže eliminovat náklady spojené s obnovením hesel, odstávky, zmírnit riziko vnitřních hrozeb, zlepšit uživatelské prostředí a autentizační procesy a poskytnout organizaci silnou kontrolu nad přístupem uživatelů.

 

Proč používat SSO?

Vzestup SSO se shoduje s dalšími pozoruhodnými a vzájemně propojenými trendy včetně růstu veřejného cloudu, únavy související s hesly, novými metodikami vývoje, podnikové mobility a webových a cloudově nativních aplikací.

Konkrétně přechod na cloudové aplikace je obojí – příležitostí i překážkou. Podle nedávného výzkumu podniky v roce 2017 průměrně využívají 17 cloudových aplikací pro podporu svých IT, provozu a podnikatelských strategií.

Není tedy překvapením, že si 61 procent respondentů myslí, že správa přístupu a identit (IAM) je v současné době obtížnější než před dvěma lety.

Barry Scott, technologický ředitel Centrify EMEA, vidí dva jasné důvody k používání SSO. „První je ten, že zlepšuje uživatelské prostředí zastavením nárůstu různých uživatelských jmen a hesel, který se po příchodu cloudových aplikací SaaS neuvěřitelně rozbujel.“

Druhým důvodem je podle něj lepší bezpečnost. Hlavní příčinou průniků jsou kompromitované přihlašovací údaje – a čím více uživatelských jmen a hesel máte, tím horší je vaše hygiena související s hesly. Začínají se používat stejná hesla všude a často klesá jejich složitost, takže je kompromitace přihlašovacích údajů snadnější.

Joe Diamond, ředitel divize bezpečnostních produktů společnosti Okta, souhlasí, že cloudové aplikace přinášejí týmům IT nové problémy.

„Oddělení IT se potýkají s otázkami, jako jsou například vytvoření a správa uživatelských účtů, zajištění přesného oprávnění (bez oprávnění nadbytečných) a zajištění správného ukončení životního cyklu uživatele, když zaměstnanec opouští společnost.

„Existence vzájemně izolovaných řešení pro identitu tento nárůst znemožňuje zvládnout,“ popisuje Diamond.

„Když organizace použije Office 365, Box a Slack, neznamená to nutně, že chce pro tyto služby využívat tři sady uživatelských jmen a hesel. SSO se svým způsobem stává nezbytným předpokladem pro organizace, které chtějí nasazovat cloudová řešení.“

Diamond také uvádí, že k rozvoji SSO přispívají zásady BYOD (používání vlastních zařízení pro firemní účely) a kultura práce kdykoli a odkudkoli.

„Lidé často pracují ze zařízení, nad kterými nemá oddělení IT kontrolu, a přes sítě, v nichž nemá žádnou viditelnost,“ vysvětluje. „To způsobuje, že je autentizace kritickým kontrolním prvkem, který musí být nezávislý na zařízení i místě a musí umožňovat bezpečnostní opatření, jako jsou nepřetržitá autentizace, vícefaktorová autentizace, kontrola přístupu zohledňující kontext, analýza chování uživatele atd.“

 

Přínosy SSO

Největší výhodou SSO je pravděpodobně škálovatelnost, kterou poskytuje. Automatizovaná správa přihlašovacích údajů znamená, že se správce systémů již nemusí ručně starat o přístup všech zaměstnanců ke službám, které chtějí.

Následkem toho se snižuje faktor lidských chyb a personál IT má více času na důležitější činnosti.

Mezi další výhody patří rychlý provizioning pro cloudové aplikace. Pokud SSO podporuje nové otevřené standardy, jako je Security Assertion Markup Language (SAML) 2.0, může se aplikace správcem SSO rychle zpřístupnit a předat k používání zaměstnancům.

SSO také může zvýšit zabezpečení (zejména v kombinaci se dvoufaktorovou autentizací – 2FA), zvýšit produktivitu a snížit požadavky vůči technické podpoře na obnovení hesel.

Scott vidí výhody pro tým IT i pro zaměstnance: „Primárním přínosem SSO je samozřejmě snadné použití pro uživatele, což také vede ke snížení počtu volání na linku podpory s potřebou obnovit heslo. Zlepšuje to bezpečnost, protože riziku se vystaví méně přihlašovacích údajů, ale je nutná multifaktorová autentizace (MFA) jako pomoc při ukradení nebo uhádnutí hesel.“

Scott navíc dodává, že jejich zákazníci zjišťují, že SSO umožňuje rychlejší a snadnější přidávání uživatelů k aplikacím SaaS (software jako služba).

„Protože personál IT dokáže poskytovat přístup snadněji, je menší pravděpodobnost toho, že v organizaci bude bujet stínové IT. Dobrá řešení SSO nebo identity jako služby umožňují velké zjednodušení schvalovacího postupu pro případy, když uživatelé požádají o přístup k novým aplikacím.“

Francois Lasnier, viceprezident pro správu identit a přístupu ve společnosti Gemalto, dodává, že v minulosti se vzdálený přístup do sítě nabízel přes VPN, což znamenalo, že SSO pro aplikace v interní infrastruktuře obsluhoval ekosystém Windows.

Se zaváděním cloudu se to ale změnilo. SSO podle jeho slov dokáže „zmírnit tlak tím, že poskytne kontrolu týmům IT a pohodlí zaměstnancům. Úspěšná implementace SSO umožňuje týmu IT definovat, kdo bude mít přístup k jakým aplikacím, kdy a kde. Nabízí flexibilitu umožňující organizaci poskytnout zaměstnancům přístup ke všem aplikacím, když jsou v kanceláři, ale jen k několika vybraným, když pracují vzdáleně.“

SSo podle něj také udržuje fungování firmy v bezpečí, a přitom zaměstnancům umožňuje pohodlně pracovat. V kombinaci s mechanismy řízení rizik SSO zlepšuje bezpečnost přístupu a snižuje riziko vniknutí.

Diamond ze společnosti Okta nabízí příklad jednoho jejich zákazníka: Společnost 20th Century Fox potřebovala najít způsob, jak zlepšit svůj tvůrčí proces a distribuci tisícům zaměstnanců, dodavatelů a partnerů, a zároveň chránit duševní vlastnictví (IP) v hodnotě milionů.

Diamond uvádí, že pomocí jejich platformy pro správu identit dokázal Fox zavést řešení pro 22 tisíc zaměstnanců a stovky obchodních partnerů a poskytnout snadný přístup pro týmy pracující na různých místech a rozličných typech zařízení. Oddělení IT navíc získalo přehled o tom, kdo se kam přihlašuje a provizioning uživatelů se stal snadnějším pro interní i externí týmy.

 

Zavádění SSO

Jak by měly organizace implementovat SSO v neustále se měnícím prostředí IAM, kde technologické sady obvykle ohrožují veřejný cloud i interní infrastruktury? Scott radí, aby organizace používaly následující proces:

  1. Definujte seznam aplikací a rozhodněte, kterých se to bude týkat.
  2. Pokud aplikace nepodporují SSO, posuďte, zda mají pro vás budoucnost. Poptejte SSO u svých dodavatelů.
  3. Rozhodněte o hlavním zdroji identit uživatelů (obvykle to bývá Microsoft Active Directory, ale mohou to být LDAP, Google Directory nebo něco jiného).
  4. Definujte potřebné aplikace a zásady pro řešení SSO.
  5. Rozhodněte, kdo potřebuje přístup ke kterým aplikacím.
  6. Přístup k aplikacím přidělujte nejlépe na základě zařazení do skupin namísto definice pro jednotlivce. Mělo by to umožnit existujícím procesům správy skupin, aby definovaly přístup k aplikacím v budoucnu.
  7. Přidávejte aplikace, jak to umožňují projektový plán a změna kontroly.

Lasnier z Gemalta dodává, že „organizace musejí přehodnotit svá současná autentizační schémata. Pro někoho by to mohlo znamenat více různých používaných schémat, obvykle podle oddělení či účelu použití.“

To vše je však irelevantní, pokud řešení, která firmy zavádějí, nedokážou podporovat všechny používané aplikace nebo jestliže jsou náklady za implementaci příliš vysoké.

Náhrada používaných řešení by mohla být velmi nákladná, takže firmy musejí hledat způsob, jak je zkombinovat v rámci jednoho řešení správy a umožnit rozšíření pro případy bezpečného přechodu do cloudu.

Diamond ale současně vyzývá k opatrnosti u starších aplikací. „Klíčem je zajištění flexibility bez kompromisů. Pro mnohé zůstane zdrojem údajů služba Active Directory, ale nemylte se: staré aplikace jsou všude. Potřebujete také možnost podpory protokolů RADIUS a LDAP, například pro řešení důležitých případů použití, které bude mít většina podniků.“

 

Případné potíže

Byla by však chyba předpokládat, že je SSO nějaký zázračný lék. Problematické oblasti implementace SSO zahrnují náklady, kontrolu, standardizaci (SAML vs. OAuth) a zranitelnosti.

Například počátkem letošního roku umožnila chyba ověřování otevřeného protokolu SAML útočníkům přihlášení k serveru či službě, jako by byli osobou, na kterou se zaměřili. Jiná zranitelnost OAuth by podle zjištění výzkumníků mohla vést ke schopnosti útočníka přihlásit se k účtu mobilní aplikace oběti a získat kontrolu.

Scott také vidí problémy s kompatibilitou – některé aplikace nepodporují SSO. „Uživatelé musejí požadovat, aby dodavatelé jejich aplikací podporovali nativní schopnost SSO přes SAML, Kerberos atd. a aby nevynucovaly používání dalšího uživatelského jména a hesla, o které by se lidé museli starat.“ MFA a SSO také musejí fungovat společně.

bitcoin_skoleni

Je si ale jistý, že SSO má jasnou budoucnost. „Použití přístupu nulové důvěry v oblasti zabezpečení vyvolá další potřebu nasadit SSO, aby uživatelé mohli pracovat kdekoli a z jakéhokoli zařízení,“ tvrdí Scott.

„Uvidíme, jak budou podporu SSO přidávat do svých produktů další dodavatelé a jak bude narůstat používání MFA z důvodu možné expozice při úniku jednotných přihlašovacích údajů.“