Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Технологии и концепции
бр. 6, 2009

Identity Management 2.0: тайната революция

Нови технологии дават възможност ценната информация да бъде защитена дори от най-усъвършенствани атаки

от , 10 юни 2009 0 16597 прочитания,
Страница 1 от 2

Напоследък едва ли е възможно да прелистите което и да е ИТ списание без да попаднете на статия за новите възможности на Web 2.0. Наистина напредъкът в използването на глобалната мрежа е огромен. Налице са обаче и не по-малко удивителни и широко приложими разработки в областа на решенията, засягащи сигурността и управлението на идентичността, които в известен смисъл не получават достатъчно признание – може би защото безмълвно и невидимо работят "зад сцената". Всъщност споменатите технологии са важни за всеки потребител, който използва Интернет лично или чрез различни организации, които правят това вместо него – т.е. за всеки от нас. Тази тайна революция в областта на сигурността е известна като IdentityManagement 2.0.

Identity Management 1.0

Преди да представим Identity Management 2.0 нека си припомним концепцията в първоначалната и версия. Системите за управление на идентичността от поколения 1.0 осигуриха значителен напредък в областта на управлението на електронната самоличност на потребителите, както и на средствата, с помощта на които те получават достъп до различни ресурси. От създаването на компютрите до сега ИТ мениджърите се занимават с наблюдение на потребителите. Разбира се, в началото управлението на сигурността и контролът на достъпа е било прозаичен процес, изразяващ се главно в заключване на вратата на компютърната зала и поставяне на охранител, който да не допуска недоброжелатели до компютъра. В днешно време обаче компаниите ползват приложения, до които всекидневно имат достъп хиляди потребители. Затова много често, още при създаването на тези платформи, техните разработчици вграждат собствени средства, позволяващи управление на потребителските идентичности. Тази практика обаче е порочна по две причини – първо едва ли създателите на тези програми са експерти по разработка на кодове за управление на идентичността; второ –представяйки все повече и повече приложения онлайн, организациите обикновено въвеждат и допълнителни средства за управление на потребителската идентичност и така в повечето случаи се стига до ситуация в която интеграцията става проблематична.

Специализираните решения Identity Management от поколение 1.0 бяха създадени, за да подобрят неефективния метод на изолирано за управление на идентичността от всяко отделно приложение. Чрез въвеждането на централизирана система за управление, организациите имаха възможност да намалят разходите си и да постигнат съвместимост чрез автоматизирани процеси и висока информираност за нуждите на потребителите в компанията.

Управлението на идентичността (IM) може условно да бъде разделено на три функционални области:

  • директорийни услуги (directory services)
  • администриране на идентичностите (identity administration)
  • и управление на достъпа (access management).

Директорийни услуги имат ключово значение при повечето IM платформи. Този основополагащ слой се състои от LDAP (Lightweight Directory AccessProtocol) директория, в която се съдържа информация за самоличността на потребителите, включително техните имена и пароли. Повечето корпоративни приложения се управляват под влияние на данните, съхранени в LDAP директория.

Администрирането на идентичностите е широка функционална област, която включва разнообразни дейности като например управление на потребители и потребителски групи, самообслужване, делегирано администриране и управление на работни потоци, свързани с одобрение на задачи. Тези дейности обикновено се адресират от технологиите по провизиране. Ако си представим, че директорийните услуги са основа на съхранението на данни, то можем да приемем, че администрирането на идентичностите е областта, контролираща целия жизнен цикъл на идентификационните данни.

ИТ професионалистите могат да създават и управляват правила и работните потоци, автоматизиращи процеса на формиране, изтриване или промяна на потребителската идентичност и правата, които се асоциират с нея в различни приложения. Наред с това, постоянно променящата се роля на служителите в организацията може да наложи динамични промени в тези правила и в работните потоци.

В тази връзка автоматизацията е огромно преимущество. Но служителите все пак се нуждаят и от възможността да реагират самостоятелно в рамките на своите правомощия и да делегират някои от своите отговорности на други служители в рамките на организацията.

Управлението на достъпа е в областта от дейности насочени към контролиране на потребителския достъп до ресурсите на компанията. Ако администрирането на идентичностите осигурява целия жизнен цикъл на идентификационните данни, то управлението на достъпа е охранителят, стоящ пред вратата и определящ кои потребители, каква информация могат да ползват.

Identity Management 2.0

Identity Management 2.0 може да се определи като революционно достижение, както са революционни и предпоставките за развитието на концепцията и средствата, които я реализират. ИТ светът в наши дни трябва да се справя с безпрецедентната епоха на „управление, риск и съвместимост” (т.нар. GRC – виж. CIO 4,5/2009), с все по-усъвършенствани онлайн атаки, както и проблеми във връзка с корпоративна консолидация вследствие на сливания и придобивания.

Основната платформа на Identity Management 1.0, интегрираща възможности като автентификация, оторизация, потребителско провизиране, управление на пароли и други подобни функции създаде основа за подобряване нивото на сигурност, автоматизиране на ръчните процеси и намаляване на оперативните разходи. За да посрещне бъдещите изисквания и заплахи, Identity Management 2.0 предоставя подобрени възможности за автентификация, оторизация базирана на анализ на риска и прецизно пресяване на информацията, потребителско провизиране, базирано на роли и взаимоотношения, както и възможността за виртуализиране на идентичности.

Надеждна автентификация и противорискова оторизация

Всеки от нас, който има електронна поща без спам филтър, със сигурност е виждал писма от „финансова институция”, подканящи да се кликне върху някакъв линк, с цел подновяване на личната информация. Схватливият Интернет потребител веднага усеща, че това е измама, но се срещат много по-хитри начини за Интернет атака. Така например един Троянски кон може да промени DNS (Domain Name System) настройките ви и при опит да влезете в легитимни Интернет страници, да ви пренасочи към фалшиви, които изглеждат точно както истинските, а вашата информация се записва много бързо от недоброжелателите, които нямат търпение да се домогнат до средствата във вашата банкова сметка. Това е един от многото престъпни методи, които се използват не само срещу отделни потребители, но и срещу цели институции.

За щастие има технологии, които могат да ни защитят от подобни атаки. Съществуват надеждни софтуерно-базирани автентификатори, които могат да предотвратят опитите за кражба на данни (парола, въпрос за сигурност и т.н.), в момента когато потребителите ги въвеждат в съответните сайтове. Обикновено тези средства представляват изглеждат като полета, в които се въвеждат данни – под формата на въпрос/въпросник/ключ/ПИН/текст. В допълнение тези полета могат да бъдат персонализирани, така че потребителят да не въвежда данните си в поле, което не изглежда по специфичен начин.

Въпреки тези съвременни начини на автентификация, потребителите все още са изложени на риска личната им информация да бъде разкрита от недоброжелатели. Тук отново на помощ идват новите възможности на Identity Management 2.0 – те няма да позволят извършване на транзакция, дори и фалшивият сайт или приложение да изглежда досущ като истинските и в него да са въведени верните (откраднати от престъпниците) данни. Благодарение на противорисковата оторизация, потребителските сесии са под непрекъснато наблюдение за нетипични действия. Така например, ако потребителят обикновено влиза в акаунта си от определен компютър или в определени часове и има отклонение от тази установена тенденция, системата незабавно спира транзакцията или изисква от него допълнителна информация, за да установи самоличността му.

Внимателно пресяване на информацията

Системите за управление на достъпа от поколение Identity Management 1.0 се смятаха за невероятен технологичен напредък в областта на политиките за централно управление на правата за потребителски достъп до различни платформи. Онова, което им липсваше обаче, бе именно способността за прецизно отсяване на информацията, позволяваща оторизиране. И след като веднъж потребителят е влязъл в дадено приложения, само то можеше да контролира неговите действия. В IdentityManagement 2.0 обаче се извършва т.нар. фино отсяване на потребителската дейност – може да се позволят или забранят определени действия в зависимост от определен курс на опериране или концептуална информация. Представете си например хотел с 50 стаи, за всяка от които има карта за отключване, издавана индивидуално и позволяваща достъп само до една единствена стая. Веднъж влязъл в стаята обаче, гостът на хотела може да прави каквото си поиска вътре – да гледа филми или да вземе напитка от мини бара. Това е почти аналогично на технологията в Identity Management 1.0. Използвайки същата аналогия, при прецизно пресяване на информацията, когато гостът на хотела влезе в стаята, той ще има достъп само до определени блага, преценени от системите за пресяване – в зависимост от възрастта си или от това за какви услуги е заплатил предварително при наемане на стаята. И сами можете да се убедите колко непогрешим е един такъв прецизен метод в днешния бързо развиващ се свят на множество регулации. Така например неопитните търговци на ценни книжа имат право да търгуват само до предварително определен праг, а един лекар има достъп до здравната информация само на собствените си пациенти.

1 2

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов