Azonosítsd magad!

Írta: Szentesi Kálmán
2006-01-03 14:00

Kiben bízhatunk?

A 2006-os évben mind többet fogunk hallani a személyazonosság-kezelésről, illetve hozzáférés-kezelésről. A globális infobiztonsági trendek hatásainak a Magyar Információs Társadalom Stratégia által támasztott elvárások még nagyobb lökést adhatnak, hiszen az EU által is szorgalmazott e-kormányzati megoldások beindításának alapja – mind az állampolgárok, mind a nagyvállalatok felé – egy erős és megbízható azonosítási rendszer létrejötte. Az ezzel kapcsolatban felmerült kérdésekkel az APEH Ügyfélkapujának apropóján részletesen foglalkoztunk a közelmúltban Kapunyitási pánik című írásunkban.

A kormányzati szféránál is sürgetőbben érinti a személyazonosság- és hozzáférés-kezelés (angol betűszóval IAM, Identity and Access Management) a vállalkozásokat, amelyeknek ráadásul sokkal szűkebb anyagi mozgásterük van a komoly költségeket felemésztő IAM-megoldások implementálására (bárcsak megérnénk egyszer, hogy az informatikai beruházások terén a kormányzat is olyan árérzékeny lenne, mint egy profitorientált vállalkozás!). Összeállításunkkal elsősorban ezeknek a vállalati it-döntéshozóknak szeretnénk segítséget nyújtani a hálózati hozzáféréssel kapcsolatos biztonsági kérdésekben.

Mitől féljünk 2006-ban?

A feladatok, amelyekkel az informatikai infrastruktúra változásai miatt szembekerülünk, lényegében egyformák, akár egy különböző kormányzati szerveket összekapcsoló hálózatban gondolkodunk, akár egy nagyvállalat belső rendszereit szeretnénk egységesíteni. Hogyan tehető egy információs hálózat nyitottá és átjárhatóvá az üzleti partnerek számára, egyben ellenállóvá a külső vagy belső támadásokkal szemben? Arra kell megoldást találni, hogy a felhasználók kizárólag a hálózat számukra engedélyezett részét láthassák, és csak olyan információkhoz és erőforrásokhoz férhessenek hozzá, amelyekkel nem élhetnek vissza.

Az idei évben várhatóan az ugrásszerűen fejlődő mobilitás és az egyre szervezettebbé és rosszindulatúbbá váló számítógépes bűnözői csoportok fogják a legkritikusabb fenyegetést jelenteni az informatikai rendszerekre.

A mobil eszközök fejlődése révén a vállalati hálózatok a korábbinál jóval átjárhatóbbá válnak, hiszen egyre többfajta eszköz számára egyre több belépési ponton kell hozzáférést biztosítani a vállalati információs hálózathoz. Az asztali terminálokon kívül ma már hordozható számítógépeken, PDA-kon, harmadik generációs vagy akár hagyományos mobiltelefonokon keresztül is teljes körűen lehet elvégezni a feladatokat. Az eszközök hordozhatósága révén a védendő it-infrastruktúra túllép az épület falain és kiterjed gyakorlatilag az egész világra. Ráadásul a vezeték nélküli kapcsolatok – például a Bluetooth – biztonságával kapcsolatban még jóval kevesebb tapasztalatuk van a cégeknek, mint a hagyományos hálózatok esetében.

A biztonsági kockázatot növelő tényező az is, hogy a vállalatok egyre nagyobb mértékben vonnak be külső partnereket üzleti hálózatukba. Mivel a vállalatok arra számítanak, hogy a legtöbb támadás a belső személyzettől és a külső hackerektől származik, kevesen tesznek óvintézkedéseket a partnerek vagy az ügyfelek személyzetével szemben. Pedig ezeknek az embereknek ugyanannyi indítéka lehet – ha nem több – a tisztességtelen cselekedetekre, mint a belső alkalmazottaknak. A vállalatoknak változtatniuk kell a biztonsági hangsúlyokon: az egyszerű informatikai biztonságtól az infrastruktúra biztosításának és a felhasználók hitelesítésének egy sokkal programalapúbb, folyamatorientáltabb módszere felé kell elmozdulniuk. A kiterjedt hálózatokat használó e-businessnek gyorsan át kell állnia a „bízz bennem” módszerről az „igazold magad”-ra.

Az azonosítás alappillérei

A vállalatokat fenyegető számítógépes bűnözés sem a kalandról és kevés kárt okozó magamutogató kódzsonglőrködésről szól már régóta – a bűnözői csoportok mögött ugyanolyan komoly gazdasági motiváció áll, mint az általuk fenyegetett iparág mögött. Számíthatunk rá, hogy egyszeri katasztrófák előidézése helyett bizonyos támadók hosszú lejáratú hatásokat szeretnének majd kiváltani. Ma már elképzelhető olyan vírus, amely rekordszinten változtatja meg vagy teszi tönkre az információkat, az ennek következtében beálló probléma nem lesz egyszerű eszközökkel – például az adatok korábbi változatának visszaállításával – orvosolható. Ha ilyesmi bekövetkezik, a vállalatok jelentős időt és pénzt fognak költeni a hiba megkeresésére és kijavítására. November elején már beszámoltunk egy olyan féregről, amely képes bejutni egy Oracle adatbázisba, és ott adatokat módosítani. Shlomo Kramer, az Imperva biztonsági fejlesztőcég ügyvezetője szerint ez a féreg azért veszélyesebb mondjuk az SQL-t támadó Slammernél, mert ténylegesen bejut az adatbázisba. Ha pedig egyszer bent van, akkor bármit tehet az ott tárolt adatokkal, ez csak azon múlik, hogy mennyire kártékony kódot juttatnak be vele. Kramer szerint "ha valaki tényleg kárt akar okozni, pár óra leforgása alatt Oracle adatbázisok ezreit pusztíthatja el, az okozott kár pedig több milliárd dollár lehet". Az ilyen támadások tönkretehetik az áldozatok műveleti és üzleti integritását, csökkentve a megbízhatóságot, miközben az minden eddiginél fontosabb az e-business számára.

Megoldás kell, biztonságos

A megfelelő személyazonosság- és hozzáférés-kezelés védelmet nyújthat a fenti fenyegetések ellen. A rendszer lényege, hogy minden felhasználó számára meghatározza, a szervezet milyen alkalmazásainak használatára van jogosultsága, milyen adatbázisokhoz, információkhoz férhet hozzá, és ezeket folyamatosan rendelkezésére is bocsátja – de ezzel egy időben az illető jogosultságának határain kívül eső alkalmazásokat teljes mértékben el is zárja. Az adatok, információk így mindig elérhetők a felhasználók számára, de csak addig a határig, ameddig azt engedélyezték számukra. A hálózati azonosítás segítségével a szervezetek szigorúan megszabott határai rugalmassá tehetők: az üzleti partnerek, beszállítók, ügyfelek személyes jogosítványaik révén önállóan hozzáférhetnek információkhoz, amelyekhez eddig a szervezet egy belső munkatársának segítségével juthattak hozzá, a belső munkatársak pedig többé nem szerezhetnek meg olyan adatokat, amelyek nem tartoznak kompetenciájukhoz. A hálózati azonosítási technológia képes választ adni a nyitott és egyben biztonságos rendszer látszólagos paradoxonára.

A rendszer alappillérei a jelszó- és hozzáférés-kezelés. Ezek segítségével történik a jogosultságok hozzárendelése az egyes felhasználókhoz, a változások folyamatos követése és a – biztonsági szempontból legfontosabb – jogosultságok megvonása, ha egy felhasználó már nem tartozik az adott szervezethez. Annak ellenére, hogy hozzáférés-kezelésen ma már jóval többet értünk a hagyományos felhasználónév/jelszó párossal történő bejelentkezésnél – gondoljunk a chipkártyás beléptető rendszerekre vagy a biometrikus azonosítókra –, mégis a piacon található legtöbb IAM-rendszer a jelszókezelés alapjaiból nőtte ki magát. Ennek részben az is oka, hogy a költségek megtérülésének egyik igen fontos területéről beszélünk: becslések szerint a nagyvállalatok helpdesk-forgalmának 30-50 százalékát az elfelejtett jelszavakkal kapcsolatos ügyintézés teszi ki. Egy olyan rendszer kiépítése tehát, amelyben a felhasználóknak lehetőségük van a helpdesk közreműködése nélkül például online emlékeztetőt kapni vagy új jelszót igényelni, jelentős költségeket takaríthat meg a későbbiekben.

A személyazonosság-felügyelet hálózati alkalmazásának következő lépcsőfoka az egy műveletben történő bejelentkezés, röviden SSO (Single Sign-On). Ennél a felhasználó egy bejelentkezéssel már nem csak egyetlen szervezet – mondjuk a helyi önkormányzat – szolgáltatásait érheti el, hanem más cégek, szervezetek, például bankok, közüzemi szolgáltatók, biztosítók különféle szolgáltatásait is. Ez abban az esetben valósulhat meg, ha a személyes azonosításhoz szükséges információkat a különböző szervezetek képesek federatív módon, a mai bankkártya-rendszerekhez hasonló mechanizmussal megosztani egymással, alkalmazásaik együttműködnek, egymás számára kölcsönösen átjárhatóak. A Sun Microsystems kezdeményezésére 2001-ben jött létre a Liberty Alliance szövetség abból a célból, hogy nyílt megoldást fejlesszen ki és alkalmazzon a hálózati azonosítás kezeléséhez. Egy ilyen megoldás azt jelentené, hogy megvalósítható az egypontos bejelentkezés, a decentralizált hitelesítés és a nyílt autentikáció bármely, az internetre csatlakozó eszközről, a hagyományos asztali számítógépektől és mobiltelefonoktól kezdve egészen a tv-kig, autókig, hitelkártya-terminálokig és pénztárgépekig.

Programajánló

Szerepjáték

A felhasználói jogosultságok ma is használt legegyszerűbb módja, ha azokat nem személyekhez rendeljük, hanem különböző szerepekhez, majd ezekhez a szerepekhez rendeljük a felhasználókat. Ez a szerep alapú hozzáférés-vezérlés (Role-Based Access Control, RBAC) számos előnnyel bír adminisztrációs – és ezáltal gazdasági – szempontból. RBAC hiányában, amikor a hozzáférési jogosultságok közvetlenül egyes személyekhez kötődnek, a változtatások igen komplikáltak lehetnek. Egy tízezres létszámú, több különálló rendszerrel rendelkező szervezetnél hónapokig eltarthatna a hozzáférések egyénenkénti kiosztása, viszont ha a jogosultságokat csak néhány száz meghatározott szerephez rendeljük hozzá, az nagymértékben képes csökkenteni az erőforrás-kiosztás és adminisztráció terheit.

A rendszer további előnyei, hogy egy-egy új erőforráshoz történő hozzáférést vagy annak törlését csak egyetlen helyen kell végrehajtani, nem pedig az adott szerepkörhöz tartozó munkatársak mindegyikénél. A RBAC arra is jól használható, ha bizonyos erőforrásokhoz való kapcsolódást földrajzi hely szerint (például a vállaltnak csak kijelölt részlegén dolgozók számára), vagy időbeli hozzáférés szerint kívánunk szabályozni.

A fentiekből jól látható, hogy ezek a biztonsági kérdések a korábbinál sokkal kisebb mértékben szoftver- vagy platformfüggők, elsősorban jól átgondolt szervezeti és biztonsági szabályok megalkotását követelik meg – az üzleti életben különösen. Az olyan kötelezettségeknek való megfelelés, mint például a Sarbanes-Oxley, Basel 2, HIPAA vagy Gramm-Leach-Blilely törvények, azt jelentik, hogy a biztonság többé nem csak a műszakiak birodalma. Ahogy Sunil Misra, a Unisys vezető biztonsági tanácsadója jósolta erre az évre, „a vezetőség kezdi belátni, hogy a biztonság 20 százalék technológia, és 80 százalék eljárásrend. A polcról leemelt megoldások többé nem megfelelőek.”

Te kit választanál?

Meglehet, hogy önmagukban nem megfelelőek, de az alapozást ennek ellenére mégiscsak a polcról leemelt termékeknél kell kezdeni. Az informatikai vállalkozásoknak alapvetően két megközelítés kínálja magát: egy nagyobb gyártó valamely átfogó IAM-megoldásának alkalmazása, vagy a legkritikusabb kockázatokat jelentő területek ütemezett befoltozása specializált termékekkel, így fejlesztve több lépcsőben átfogó rendszerré a vállalat hozzáférés-kezelését.

Mivel egy személyazonosság-kezelő rendszer beruházásának költsége gyakorlatilag együtt nő a vállalattal, ezért még a nagyobb cégek is gyakran nyúlnak az utóbbi módszerhez. Szerencsére a különböző specializált szolgáltatók termékei fokozódó együttműködési hajlandóságról tesznek tanúbizonyságot, így az építkezős módszer első ránézésre legnagyobbnak gondolt hátránya, az inkompatibilitás kérdése egyre inkább háttérbe szorul. Ráadásul az IAM-megoldások piacán, bár még fiatal terület, az elmúlt két évben folyamatos konszolidáció figyelhető meg, így az átfogó megoldásszállítók szép lassan elnyelik a kisebb műhelyeket.

A Bloor Research, Európa egyik vezető független it-elemzőcége tavaly októberben az IAM-megoldásszállítók teljes palettáján végzett felmérést*, külön vizsgálva az átfogó megoldáscsomagot kínáló szolgáltatókat, valamint a kisebb szoftverházakat.

A komplex rendszerek közül a Bloor Research kettőt is aranyéremmel jutalmazott, a CA – korábbi nevén Computer Associates – és az IBM megoldását találták a legjobbnak. A CA teljes körű IAM-megoldást nyújt elsősorban a nagyvállalati ügyfeleknek, és a vállalat ezt a területet tekinti az egyik legkiemeltebb fontosságúnak a jövőbeli fejlesztéseiben. A Bloor összesítésében szintén remeklő IBM, amely a legnagyobb gyakorlattal rendelkezik e téren, több kisebb IAM-szállítót is bekebelezett már, és a jelek szerint megfelelően integrálta a megszerzett tudást. Mindkét szállító a magas bekerülési költségek miatt veszített pontokat a felmérés során.

A „kisebb halak” versenyében a Courion nyerte el az aranyérmet az ellátórendszerek terén, az SSO-megoldások összevetésében pedig a Protocom/ActivCard találtatott a legjobbnak. Mindkét gyártótól számíthatunk még további sikerekre a piacon, ugyanis mind a Courion, mind az ActivCard által nemrégiben felvásárolt Protocom szoros kapcsolatokat ápol a nagyobb IAM-szállítókkal, többek között az IBM-mel és a Novellel.

Szentesi Kálmán

* További információ a felmérésről:
Bloor Research, http://www.it-director.com/research.php?doc_id=743

Kapcsolódó cégek:
IBM
Computer Associates

Előzmények

Kapunyitási pánik

Ne adjuk át a könyvelőnknek az e-bevalláshoz szükséges ügyfélkapus jelszavunkat.

Biztonság 2005-12-19 49
Erősíteni kell a bankbiztonságot

Az Egyesült Államokban jövő évtől kötelező a kétlépéses azonosítási procedúra.

Biztonság 2005-11-18 0
Oracle-tanács: végy egy univerzális interfészt!

Bemutatkozott hazánkban az Oracle Fusion Middleware köztesszoftver.

Szoftver 2005-10-26 0
A Novellé a legjobb személyazonosság-kezelő

Az InfoWorld tesztjében nem volt versenytársa az Identity Managernek.

Szoftver 2005-10-20 0

Percről percre

Lunar Lander Beyond teszt

gp Nagyon sok évtizeddel az eredeti Lunar Lander megjelenése óta ismét ezen a címen jelent meg Atari logóval egy játék. Vajon mennyit javult a játékdesign a hetvenes évek óta?