2017-05-29
W otoczeniu zmieniających się regulacji, a w szczególności w przededniu fundamentalnej zmiany ustawy o ochronie danych osobowych, warto raz jeszcze spojrzeć na przetwarzane informacje zastanawiając się, czy chronimy je adekwatnie do ich wartości.
Warto pomyśleć o przetwarzanej informacji w kontekście jej cyklu życia, tj. jak dostaje się do naszego systemu, jak jest przetwarzana, przez kogo, i jak nasz system opuszcza. Taki sposób myślenia wskazuje, że istnieje wiele warstw wymagających dobrego przemyślenia. Myśląc o informacji w aspekcie jej utraty łatwiej nam będzie właściwie ocenić jej wartość, a co za tym idzie zastosować właściwe mechanizmy kontrolne, minimalizujące ryzyko związane ze zmaterializowaniem się określonego zagrożenia w którymkolwiek z obszarów przetwarzania.
Jednym z istotniejszych elementów tej układanki jest weryfikacja tożsamości wszystkich, którzy korzystają z naszych usług oraz przydział właściwych dostępów (uprawnień), tak abyśmy mieli pewność, że obiekt jest uprawniony do wykorzystania tylko tych serwisów, do których faktycznie dostęp powinien posiadać. Takim obiektem, który podlega weryfikacji, może być użytkownik, a może być to także inny serwis.
Weryfikacja tożsamości odbywa się w procesie uwierzytelniania, a weryfikacja uprawnień w procesie autoryzacji. Proces uwierzytelniania może być bardziej złożony niż tylko podanie prostego loginu i hasła. Możliwe są do zastosowania inne poświadczenia, np. biometryka, tokeny czy inne elementy związane z tym, czym jest obiekt, lub co posiada. Oczywiście proces może być bardziej zaawansowany, tj. wymagający wielostopniowego poświadczenia tożsamości. Różne typy silnego uwierzytelniania powodują minimalizację ryzyka w zakresie utraty poufności czy integralności informacji. Im bardziej złożone mechanizmy, tym ta pewność wyższa. Racjonalizm podpowiada nam jednak, że należy znaleźć zdrowy balans między tą pewnością, a złożonością, jaką przyjdzie nam zapłacić za realizację takiego mechanizmu. Nie od dzisiaj wiadomo, że złożoność ta może być odczuwalna przez użytkownika, jako element uprzykrzający działania biznesowe. Rozsądny kompromis jest zatem niezbędny.
Bezpieczeństwo informacji w Chmurze
Wszystkie te aspekty są dosyć proste do zrealizowania w środowisku, które dobrze kontrolujemy. W środowisku ‘on-premise’, czyli takim, które działa w naszej dobrze kontrolowalnej lokalizacji. Po prostu wszystko mamy ‘u siebie’. Co jednak, jeśli wykorzystujemy rozwiązania poza naszą strefą komfortu, korzystając z wielu już dzisiaj chmurowych możliwości? Jak przetwarzać informacje w takim modelu? Tutaj, podobnie jak w przypadku ‘on-premise’, elementy bezpieczeństwa informacji wymagają szczegółowej analizy.
W przypadku rozwiązań chmurowych warto zacząć od fundamentalnego elementu: Ustalenia, kto może korzystać z serwisu i do czego może mieć dostęp. Identyfikując użytkownika, idealnie byłoby, gdyby do tego celu można wykorzystać jakiegoś zaufanego Partnera Biznesowego, który potwierdzi tożsamość użytkownika i nie będzie konieczności zastanawiania się, czy faktycznie użytkownik jest tym, za kogo się podaje. Inną możliwością jest wykorzystanie własnych zasobów wiedzy, o ile takimi dysponujemy. Jeśli posiadamy repozytorium z profilem użytkownika, to swobodnie można z niego skorzystać. Sytuacja nieco się komplikuje, jeśli sprawa dotyczy nie tylko użytkowników wewnętrznych, których zazwyczaj dobrze znamy, ale użytkownika zewnętrznego, którego znamy mniej, a czasami w ogóle. Dodatkowym problemem jest kwestia skali - zwłaszcza, gdy trudno określić, jaka liczba z grupy kilkudziesięciu milionów potencjalnych użytkowników faktycznie skorzysta z naszych usług. Do tych aspektów dochodzi zagadnienie przydziału właściwych dostępów, czyli umożliwienie korzystania z usług.
Tylko z tych rozważań widać, że temat nie jest prosty i najlepiej byłoby posiadać otwartą platformę pozwalającą na praktyczną realizację takich działań. Istnieje wiele sposobów na realizację tego typu platform bezpieczeństwa. Jednym z serwisów dostarczających te funkcjonalności jest Oracle Identity Cloud Service (IDCS) - pozwala on zarówno na potwierdzenie tożsamości gromadzonej w chmurze, jak i pełną integrację z repozytorium u klienta.
W pierwszej roli serwis jest dostawcą tożsamości (tzw. identity provider), a w drugiej pośredniczy w tym procesie (tzw. identity bridge). Niezależnie od roli, serwis może być doskonałym rozwiązaniem dla wszelkich systemów i aplikacji chmurowych, stanowiąc dla nich pojedyncze źródło tożsamości, wykorzystywane przez wszystkich odbiorców.
Oracle Identity Cloud Service posiada kilka bardzo istotnych cech, charakterystycznych dla tego typu serwisów:
• Wsparcie dla standardowych protokołów OAuth, OpenID Connect, SAML, wykorzystywanych w procesie uwierzytelniania i autoryzacji,
• Obsługę wielu dostawców tożsamości (tzw. identity provider),
• Realizacja procesu silnego uwierzytelniania (tzw. MFA),
• Realizacja procesu SSO dla usług w chmurze,
• Realizacja procesu autoryzacji dla usług w chmurze.
Autorem artykułu jest Marcin Kozak, Software Architect w dziedzinie Security, Oracle Polska.