W ostatnich latach firmy coraz częściej decydują się na przeniesienie biznesu do chmury i w większym zakresie wykorzystują technologie chmurowe do dostarczania oprogramowania czy przechowywania danych. Częścią rewolucji chmurowej stał się również obszar zarządzania tożsamością, który rozwija się bardzo szybko. Rozwiązania Cloud Identity i usługi Dostawcy Tożsamości (ang. Identity Provider, IdP) szturmem zdobywają rynek IAM. Analitycy Gartnera przewidują, że zarządzanie tożsamością w kolejnych latach pozostanie jedną z najszybciej rozwijających się usług w chmurze.
Eksperci branży IT już od dawna wskazywali na liczne zalety rozwiązań opartych na chmurze do zarządzania cyfrowymi tożsamościami, które często były niedostępne w przypadku opcji on-premises. Przeniesienie „centrum” danych z lokalnych serwerów do chmury sprawia, że urządzenia końcowe – laptopy, komputery PC czy serwery plików – stają się jedynie lokalnym punktem dostępu do większej ilości informacji. Oznacza to, że wszystkie dane uwierzytelniające mogą być zabezpieczone w repozytorium w chmurze. Przekłada się to również na duże zalety z punktu widzenia zarządzania. Działy IT nie muszą już zajmować się danymi przechowywanymi na poszczególnych urządzeniach oddzielnie – wszelkie zmiany, modyfikacje lub aktualizacje procedur uwierzytelniania mogą być wykonane dla wszystkich użytkowników jednocześnie.
Zarządzanie tożsamościami w chmurze nie jest pozbawione problemów, ale zrozumienie trudności wynikających z przejścia na zarządzanie tożsamością w chmurze pozwoli lepiej poradzić sobie z nimi.
„Zmęczenie hasłem”
Usługi zarządzania tożsamością w chmurze początkowo ułatwiają użytkownikom dostęp do aplikacji. Jednak wraz z ich ilością rośnie też złożoność zarządzania dostępem do nich. Każda aplikacja posiada inny zestaw wymagań dotyczących hasła, jak np. cykle wygasania i reguły długości czy złożoności. Dlatego każdy użytkownik musi poświęcić więcej czasu i wysiłku, aby przestrzegać tych zasad, co w efekcie wpływa na obniżenie wydajności pracy. Taki sposób zarządzania tożsamością i dostępem w chmurze, a raczej jego brak, powoduje rosnącą frustrację pracowników, którzy muszą poświęcać coraz więcej czasu na resetowanie, zapamiętywanie i zarządzanie ciągle zmieniającymi się hasłami w aplikacjach. Jeszcze większym problemem jest zagrożenie bezpieczeństwa organizacji, w przypadku kiedy użytkownicy z powodu „zmęczenia hasłem” zapisują dane dostępowe np. na karteczkach lub w plikach Excel albo zaczynają używać oczywistych i powtarzających się haseł.
Rozwiązaniem problemu „zmęczenia hasłem” mogą być usługi IAM oparte na chmurze, które zapewniają jednokrotne logowanie SSO (ang. Single Sign-On). Pozwala to użytkownikom na dostęp do wszystkich aplikacji za pomocą jednej nazwy użytkownika i hasła. Ponadto oparty na chmurze system zarządzania tożsamością może umożliwić zarządzanie tożsamościami zarówno dla aplikacji dostępnych lokalnie, jak i na żądanie.
Kto ma dostęp i do czego?
Usługi w chmurze zapewniają łatwy dostęp do danych z praktycznie dowolnej lokalizacji. Dlatego ze względu na bezpieczeństwo organizacji oraz zapewnienie zgodności z regulacjami i przepisami konieczny jest monitoring i analiza, kto ma dostęp do aplikacji i danych, na jakich urządzeniach i w jaki sposób jest on wykorzystywany. Obecnie tylko najbardziej zaawansowane usługi IAM na rynku zapewniają raporty na temat zgodności (compliance), które często obejmują tylko jedną wybraną aplikację. Aby zapewnić wymagane przez audytorów informacje na temat dostępu pracowników do aplikacji i danych, firmy potrzebują szczegółowego wglądu oraz kontroli we wszystkich systemach. Usługa IAM powinna umożliwiać ustalanie praw dostępu do różnych usług i zapewniać scentralizowane raporty zgodności oraz szczegółowe informacje na temat aktywności użytkowników i administratorów. Ponadto również procesy zatrudniania i zwalniania pracowników (onboarding/offboarding) powinny być możliwe do zweryfikowania za pomocą takiego rozwiązania IAM, dostarczającego szczegółowych informacji na temat użytkowników i sposobu wykorzystywania przez nich dostępu (kto? gdzie? kiedy? do czego?).
Usługi katalogowe
Wiele przedsiębiorstw w celu zautomatyzowania i usprawnienia zarządzania dostępem do lokalnych zasobów sieciowych korzysta z usługi katalogowej, jak np. Microsoft Active Directory. Jej podstawową funkcją jest uwierzytelnianie użytkowników i komputerów w sieci. Organizacje przechodzące na usługi oparte na chmurze powinny móc rozszerzyć tę infrastrukturę na chmurę, aby móc ją maksymalnie wykorzystać. W przeciwnym razie należałoby stworzyć oddzielną, równoległą infrastrukturę katalogów i zarządzania dostępem tylko dla nowych aplikacji chmurowych. Oznaczałoby to jednak nie tylko kolejną inwestycję i koszty dla organizacji, ale powodowałoby większą złożoność i utrudniałoby zarządzanie różnymi środowiskami. Najlepsze w swojej klasie rozwiązania IAM oparte na chmurze powinny zapewniać scentralizowaną, natychmiastową integrację z centralną usługą Active Directory lub LDAP, dzięki czemu funkcje katalogowe można bezproblemowo wykorzystać i rozszerzyć na nowe aplikacje w chmurze – bez konieczności stosowania dodatkowych urządzeń lokalnych lub wprowadzania modyfikacji zapory sieciowej. Ponadto w przypadku dodawania lub usuwania użytkowników, dostęp do aplikacji chmurowych powinien być modyfikowany automatycznie, zgodnie ze standardami branżowymi, takimi jak SSL, bez potrzeby wprowadzania zmian w konfiguracji sieci lub zabezpieczeń. Rozwiązania takie powinny działać według zasady „ustaw i zapomnij”.
Rozproszenie tożsamości
Rozproszenie tożsamości ma miejsce w sytuacji, w której tożsamość użytkownika jest zarządzana przez wiele różnych systemów lub katalogów, które nie są ze sobą zsynchronizowane. W takim przypadku konieczne jest zarządzanie wieloma tożsamościami dla każdego użytkownika. Sytuacja taka często pojawia się, gdy aplikacja albo system nie są (lub nie mogą być) zintegrowane z centralną usługą katalogową organizacji. Rozproszenie tożsamości często stanowi duże wyzwanie dla organizacji wdrażających usługi w chmurze. Najprostszym rozwiązaniem tego problemu jest przyjęcie infrastruktury Stateless Cloud. Protokoły bezstanowe (ang. stateless) pozwalają na transmisję danych bez identyfikowania informacji o nadawcy lub odbiorcy i bez przechowywania tych informacji. Serwery bezstanowe działają jak brama cyfrowa a nie miejsce do przechowywania danych uwierzytelniających. Oznacza to, że systemy te nie działają w oparciu o synchronizację z lokalnym dostawcą tożsamości, eliminując w ten sposób rozproszenie tożsamości.
Organizacje poszukujące sposobów na problemy związane z zarządzaniem tożsamością w chmurze, powinny zwrócić uwagę na innowacyjne rozwiązania firmy Secret Double Octopus, które pozwalają na bezpieczne logowanie bez konieczności wpisywania haseł użytkowników. Rozwiązanie Octopus Authentication Server wprowadza silne zabezpieczenia we wszystkich możliwych przypadkach logowania w przedsiębiorstwie, zastępując wrażliwe hasła bezhasłową metodą uwierzytelniania wieloskładnikowego MFA (ang. Multi-factor Authentication). Zapewnia dostęp bez konieczności podawania hasła do stacji roboczych i serwerów, zasobów Active Directory, usług w chmurze i logowania Single Sign-On, zdalnego dostępu (VPN i VDI) czy starszych aplikacji. Octopus Authentication Server działa we wszystkich systemach biznesowych i aplikacjach, zarówno lokalnie, jak i w chmurze, online i offline. Udowadnia przy tym, że organizacje stosując bezhasłowe uwierzytelnianie mogą osiągnąć większe bezpieczeństwo, poprawić komfort użytkownika, a także obniżyć koszty.
Tekst źródłowy: Cloud Identity Management Challenges, Amit Rahav, 4.02.2020