poniedziałek, 29 maja 2017

Tożsamość w Chmurze – na co możemy liczyć i co jest ważne

Marcin Kozak, Software Architect w dziedzinie Security, Oracle Polska
W otoczeniu zmieniających się regulacji, a w szczególności w przededniu fundamentalnej zmiany ustawy o ochronie danych osobowych, warto raz jeszcze spojrzeć na przetwarzane informacje zastanawiając się, czy chronimy je adekwatnie do ich wartości i jakie będą konsekwencje, jeśli zagrożenie się zmaterializuje. 

Warto pomyśleć o przetwarzanej informacji w kontekście jej cyklu życia, tj. jak dostaje się do naszego systemu, jak jest przetwarzana, przez kogo, i jak nasz system opuszcza. Taki sposób myślenia wskazuje, że istnieje wiele warstw wymagających dobrego przemyślenia. Myśląc o informacji w aspekcie jej utraty łatwiej nam będzie właściwie ocenić jej wartość, a co za tym idzie zastosować właściwe mechanizmy kontrolne, minimalizujące ryzyko związane ze zmaterializowaniem się określonego zagrożenia w którymkolwiek z obszarów przetwarzania. 

Jednym z istotniejszych elementów tej układanki jest weryfikacja tożsamości wszystkich, którzy korzystają z naszych usług oraz przydział właściwych dostępów (uprawnień), tak abyśmy mieli pewność, że obiekt jest uprawniony do wykorzystania tylko tych serwisów, do których faktycznie dostęp powinien posiadać. Takim obiektem, który podlega weryfikacji, może być użytkownik, a może być to także inny serwis. 

Weryfikacja tożsamości odbywa się w procesie uwierzytelniania, a weryfikacja uprawnień w procesie autoryzacji. Proces uwierzytelniania może być bardziej złożony niż tylko podanie prostego loginu i hasła. Możliwe są do zastosowania inne poświadczenia, np. biometryka, tokeny czy inne elementy związane z tym, czym jest obiekt, lub co posiada. Oczywiście proces może być bardziej zaawansowany, tj. wymagający wielostopniowego poświadczenia tożsamości. Różne typy silnego uwierzytelniania powodują minimalizację ryzyka w zakresie utraty poufności czy integralności informacji. Im bardziej złożone mechanizmy, tym ta pewność wyższa. Racjonalizm podpowiada nam jednak, że należy znaleźć zdrowy balans między tą pewnością, a złożonością, jaką przyjdzie nam zapłacić za realizację takiego mechanizmu. Nie od dzisiaj wiadomo, że złożoność ta może być odczuwalna przez użytkownika, jako element uprzykrzający działania biznesowe. Rozsądny kompromis jest zatem niezbędny.

Bezpieczeństwo informacji w Chmurze

Wszystkie te aspekty są dosyć proste do zrealizowania w środowisku, które dobrze kontrolujemy. W środowisku ‘on-premise’, czyli takim, które działa w naszej dobrze kontrolowalnej lokalizacji. Po prostu wszystko mamy ‘u siebie’. Co jednak, jeśli wykorzystujemy rozwiązania poza naszą strefą komfortu, korzystając z wielu już dzisiaj chmurowych możliwości? Jak przetwarzać informacje w takim modelu? Tutaj, podobnie jak w przypadku ‘on-premise’, elementy bezpieczeństwa informacji wymagają szczegółowej analizy.

W przypadku rozwiązań chmurowych warto zacząć od fundamentalnego elementu: Ustalenia, kto może korzystać z serwisu i do czego może mieć dostęp. Identyfikując użytkownika, idealnie byłoby, gdyby do tego celu można wykorzystać jakiegoś zaufanego Partnera Biznesowego, który potwierdzi tożsamość użytkownika i nie będzie konieczności zastanawiania się, czy faktycznie użytkownik jest tym, za kogo się podaje. Inną możliwością jest wykorzystanie własnych zasobów wiedzy, o ile takimi dysponujemy. Jeśli posiadamy repozytorium z profilem użytkownika, to swobodnie można z niego skorzystać. Sytuacja nieco się komplikuje, jeśli sprawa dotyczy nie tylko użytkowników wewnętrznych, których zazwyczaj dobrze znamy, ale użytkownika zewnętrznego, którego znamy mniej, a czasami w ogóle. Dodatkowym problemem jest kwestia skali - zwłaszcza, gdy trudno określić, jaka liczba z grupy kilkudziesięciu milionów potencjalnych użytkowników faktycznie skorzysta z naszych usług. Do tych aspektów dochodzi zagadnienie przydziału właściwych dostępów, czyli umożliwienie korzystania z usług. 

Tylko z tych rozważań widać, że temat nie jest prosty i najlepiej byłoby posiadać otwartą platformę pozwalającą na praktyczną realizację takich działań. Istnieje wiele sposobów na realizację tego typu platform bezpieczeństwa. Jednym z serwisów dostarczających te funkcjonalności jest Oracle Identity Cloud Service (IDCS) - pozwala on zarówno na potwierdzenie tożsamości gromadzonej w chmurze, jak i pełną integrację z repozytorium u klienta (na ilustracji pokazujemy typowy ekran Oracle IDCS).

W pierwszej roli serwis jest dostawcą tożsamości (tzw. identity provider), a w drugiej pośredniczy w tym procesie (tzw. identity bridge). Niezależnie od roli, serwis może być doskonałym rozwiązaniem dla wszelkich systemów i aplikacji chmurowych, stanowiąc dla nich pojedyncze źródło tożsamości, wykorzystywane przez wszystkich odbiorców. 

Oracle Identity Cloud Service posiada kilka bardzo istotnych cech, charakterystycznych dla tego typu serwisów:
•  Wsparcie dla standardowych protokołów OAuth, OpenID Connect, SAML, wykorzystywanych w procesie uwierzytelniania i autoryzacji,
•  Obsługę wielu dostawców tożsamości (tzw. identity provider),
•  Realizacja procesu silnego uwierzytelniania (tzw. MFA),
•  Realizacja procesu SSO dla usług w chmurze,
•  Realizacja procesu autoryzacji dla usług w chmurze.

O praktycznej implementacji poszczególnych funkcjonalności opowiemy w kolejnych artykułach z tej serii. 

C.D.N.

Udostępnij na LinkedIn

Dowiedz się więcej
Oracle Identity Cloud Service
Oracle Identity Cloud
Broszura na temat Oracle IDCS

20 komentarzy:

  1. Very Informative Article Written by the blog.

    67500/12

    OdpowiedzUsuń
  2. Really It's A Great Pleasure reading your Article,learned a lot of new things,we have to keep on updating it,Chicago Immediate care in Chicago.By getting them into one place.Really thanks for posting.Very Thankful for the Informative Post.Really Thanks For Posting.Thanks For Sharing.

    OdpowiedzUsuń
  3. Excellent article, Cool, Looking ahead to reading a lot. Sensible article USMLE Thanks for posting.

    OdpowiedzUsuń
  4. This Blog Provides Very Useful and Important Information. I just Want to share this blog with my friends and family members. digital transformation consulting Thanks for posting.

    OdpowiedzUsuń
  5. Hello, I read your blog occasionally, and I own a similar one, and I was just wondering if you get a lot of spam remarks? If so how do you stop it, any plugin or anything you can advise? I get so much lately it’s driving me insane, so any assistance is very much appreciated.
    Data science Course Training in Chennai |Best Data Science Training Institute in Chennai
    RPA Course Training in Chennai |Best RPA Training Institute in Chennai
    AWS Course Training in Chennai |Best AWS Training Institute in Chennai
    Devops Course Training in Chennai |Best Devops Training Institute in Chennai

    OdpowiedzUsuń
  6. This is the first & best article to make me satisfied by presenting good content. I feel so happy and delighted. Thank you so much for this article.



    Dot Net Training in Chennai | Dot Net Training in anna nagar | Dot Net Training in omr | Dot Net Training in porur | Dot Net Training in tambaram | Dot Net Training in velachery


    OdpowiedzUsuń
  7. Infycle Technologies offers the Best Data training in chennai and is widely known for its excellence in giving the best Data Science Certification course in Chennai. Providing quality software programming training with 100% placement & to build a solid career for every young professional in the software industry is the ultimate aim of Infycle Technologies. Apart from all, the students love the 100% practical training,
    which is the specialty of Infycle Technologies. To proceed with your career with a solid base, reach Infycle Technologies through 7502633633.

    OdpowiedzUsuń
  8. Grab Data Science Certification in Chennai for skyrocketing your career with Infycle Technologies, the best Software Training & Placement institutes in and around Chennai. In addition to the Certification, Infycle also gives the best placement training for personality tests, interview preparation, and mock interviews for leveling up the candidate's grades to a professional level Get Data Science Certification in Chennai | Infycle Technologies

    OdpowiedzUsuń
  9. Infycle Technologies offers the best Python training in Chennai for tech professionals and freshers with New year offers. In addition to the Python Training Course, Infycle also offers other technical courses such as Data Science, Oracle, Java, Power BI, Digital Marketing, Big Data, etc., which will be trained with complete practical classes. Dial 7504633633 to get more info and a free demo.

    OdpowiedzUsuń
  10. Very Informative blog thank you for sharing. Keep sharing.

    Best software training institute in Chennai. Make your career development the best by learning software courses.

    cloud computing training institute in chennai
    devops training in chennai
    uipath training in chennai

    OdpowiedzUsuń