Autentizace v cloudu

Jak se denně dočítámeve sdělovacích prostředcích, na internetu se čím dál tím více krade identita. Některé případy vyšetřovala a některé i úspěšně vyšetřila policie, podle názoru většiny bezpečnostních odborníků se jedná pouze o příslovečnou špičku ledovce. Pokud útočník získá neoprávněný přístup k osobnímu e-mailovému účtu, může to pro oběť takového útoku znamenat nepříjemnosti v osobním životě. Daleko závažnější ekonomické důsledky ale může mít průnik do firemního informačního systému nebo informačního systému veřejné správy, obsahujícího například zákaznická data, osobní data nebo důležité právní dokumenty. Příkladem takovýchto z internetu dostupných systémů (provozovaných v současnosti zpravidla klasickým způsobem, tj. nikoli v prostředí cloudu) jsou portálové informační systémy využívané zprostředkovateli pojišťoven a finančních poradců, systémy CRM poskytované formou služby (zákaznická data), portály pro uchazeče o zaměstnání (osobní data) nebo Datové schránky (dokumenty se závažným právním dopadem).

Z uvedeného vyplývá, že pokud chceme prostředí cloudu využít pro provozování informačních systémů obsahujících i jiná data než zcela veřejná, musíme se velmi důsledně zabývat ochranou takových systémů před neoprávněným přístupem.

Autentizace uživatele informačního systému je proces ověření proklamované identity tohoto uživatele. Silnou vícefaktorovou autentizací pak rozumíme proces využívající kromě jména a hesla nějaký další faktor, zpravidla fyzické držení identifikačního předmětu (kryptografického tokenu nebo čipové karty) popřípadě biometrii.

Autentizační tokeny lze pro náš účel hrubě rozdělit do dvou skupin. První se označuje jako CBA (Certificate Based Authentication), ve které se využívá asymetrické kryptografie. Sem patří například USB tokeny řady iKey nebo eToken a kryptografické čipové karty.Druhá skupina se nazývá OTP (One Time Password), kdy je v tokenu pro každé přihlášení generováno unikátní jednorázové heslo.

Vzhledem k tomu, že jednou z největších předností cloudu je právě outsourcing infrastruktury do prostředí poskytovatele, je pro  cloudové služby vhodnější volbou autentizace s využitím metody OTP. OTP tokeny mají totiž tu výhodu, že se uživatel nemusí starat o obnovu certifikátů, rovněž není potřeba na straně klienta žádný dodatečný software. OTP token jako takový nemá žádné konektory. Obsahuje pouze display, ze kterého uživatel při každém přihlášení opíše vygenerovaný jednorázový kód do přihlašovacího formuláře. Existují samozřejmě také softwarové aplikace pro generování OTP kódů, které lze nahrát do mobilního zařízení či do PC. Přihlašování OTP tokenem přináší uživateli vítanou flexibilitu, pokud se například potřebuje přihlásit do cloudové aplikace z mobilního telefonu či tabletu nebo z PC, kde není nainstalován ovladač pro CBA token s uloženým certifikátem.

V této úvaze můžeme jít ještě dále a uvažovat o samotné autentizaci do cloudových služeb jako o službě provozované rovněž v prostředí cloudu. Výhody takového řešení jsou zjevné. Namísto budování vlastní infrastruktury využíváme infrastrukturu poskytovatele, která dosahuje špičkové úrovně zabezpečení a dalších parametrů SLA, zejména vysoké dostupnosti. Výhodou autentizace formou služby je úspora investičních nákladů na licence autentizačního řešení a infrastrukturu, na které by bylo provozováno. Významnou výhodou autentizace formou služby je rovněž vysoká rychlost implementace (podle složitosti prostředí zákazníka jednotky hodin až jednotky dnů). Implementace autentizačního řešení poskytovaného formou služby totiž v podstatě znamená pouze vytvoření nové instance, customizaci jejích parametrů, nastavení rozhraní na adresářové služby a aplikace, které budou autentizační řešení využívat. Posledním krokem je import uživatelských účtů.

Konkrétní příklad autentizace formou služby můžeme ilustrovat na systému SafeNet Authentication Service (SaS). Tato autentizační služba běží v prostředí špičkově zabezpečených (Tier IV, PCI DSS, ISO 27001, ...) geograficky redundantních datových center ve Velké Británii a v Kanadě. Autentizační služba SaS poskytuje několik možností jak spolupracovat s komponentami informačních systémů, jejichž ochranu zabezpečuje. Pro integraci s komponentami jako jsou Single Sign-on nebo VPN se nejčastěji používá protokol RADIUS, cloudové aplikace mohou využít protokolu SAML. Dále jsou k dispozici agenti pro běžně používané aplikace a prostředí jako např. Office 365, Outlook, Citrix apod. Pro případ, že aplikace nezapadá do žádné z předchozích kategorií, je k dispozici plně dokumentované autentizační API, jehož využitím lze vytvořit vlastního agenta na míru příslušné aplikaci.

 

 

 

 

 

 

 

 

 

 

 

 

 

Protokol SAML je standard založený na XML. Jeho hlavní výhodou je možnost „prosazení důvěry“. Funguje tedy v podstatě obdobně jako SSO pro cloudové služby. Pokud se zalogujeme do jedné ze služeb a poté se připojíme k jiné službě, ta si vyžádá autentizační informace od předcházející služby. Pokud dostane správné a ověřené informace, dojde k autentizaci uživatele i pro onu „druhou“ službu bez toho, že by bylo třeba znovu vyžadovat autentizační údaje.

Co z toho tedy plyne? Pokud se chystáme v dnešní době přesunout část firemní IT infrastruktury do prostředí cloudu, je vhodné k tomu využít cloudových služeb jako jsou Office 365, Google Apps, salesforce.com a podobně ve spojení se silnou autentizací. Využitím autentizace formou služby nám odpadnou starosti s provozem hardwaru a další infrastruktury, která rychle stárne. Ačkoliv ekonomická výhodnost využití cloudových technologií nemusí být patrná na první pohled, při zohlednění všech investičních a provozních nákladů na implementaci a provoz vlastního autentizačního řešení může znamenat zajímavou úsporu zdrojů a času.