Identitetshantering i molnet

Smidigt och billigare, molnet är även en källa för nya säkerhetsutmaningar.
-Såhär möter du dem:

Den ökande omfattningen och komplexiteten hos företagsapplikationer gör det svårt att hantera användaridentiteter och åtkomst.

Observera att i denna analys kommer vi att definiera identitet som en uppsättning attribut, roller, rättigheter och applikationsåtkomst kopplade till en användare.

Med detta ramverk på plats, kan vi snabbt förstå varför identitet blir hörnstenen för säkerheten i en ny miljö som påtvingas alla genom utvecklingen av användningsområden. Oavsett om det är internet, personlig utrustning eller till och med hälsokriser som vi står inför, utvecklas användarens förväntningar snabbt mot ökad rörlighet och öppenhet. För att möta dessa förväntningar måste vi även utveckla våra säkerhetssystem snabbt.

Företagens olika förhållningssätt till molnet har haft betydande positiva effekter på hur IT behandlas: Mer smidighet och mindre tekniska begränsningar med SaaS-lösningar (Software-as-a-Service).

Detta medför dock även egna begränsningar. Digital transformation genom molnet kan inte uppnås över en natt: Lokal infrastruktur behöver fortfarande hanteras och administreras.

I den allmänna dataskyddsförordningen-eran (GDPR) är det inte längre bara en fråga om att veta hur ni kan hanterar och skydda era användares identitet och att veta var deras känsliga data är.

IAM (Identity and Access Management) och i synnerhet CIAM (Customer IAM) utmanas på följande punkter:

Åtkomst till användardata: GDPR ställer strikta krav på behandling av personuppgifter i form av skydd mot obehörig och olaglig behandling. En centraliserad och enhetlig IAM-plattform uppnår detta effektivt genom åtkomst- och autentiseringspolicyer med flera faktorer. Detta kräver en smidighet för företag som är vana vid mycket reglerade IAM-processer som inte är särskilt motståndskraftiga mot viktiga förändringar.

Behandling av personuppgifter: Artikel 32 i GDPR föreskriver säkerhetskraven för behandling av personuppgifter. Det framkallar bland annat medel för att:

• Säkerställa fortsatt behandling av system och tjänster för konfidentialitet, integritet, tillgänglighet och motståndskraft;
• Återställ tillgänglighet och tillgång till personuppgifter omedelbart vid en fysisk eller teknisk incident.

Företaget måste visa både förmågan att genomföra dessa förfrågningar och effektiviteten hos de valda åtgärderna. IAM-lösningar minskar risken för dataförlust och obehörig åtkomst genom att begränsa åtkomsten till företagets molnresurser och skydda identiteter.

Säkra användarbehandling: GDPR kräver samtycke, vilket definieras som, specifika, informerade och entydiga indikationer på hans eller hennes önskemål. Detta innebär att de registrerade godkänner att personuppgifter behandlas genom en deklaration eller en uttrycklig bekräftande åtgärd. Detta har betydande konsekvenser för IAM eftersom de flesta kundtillstånd – särskilt för molntjänster – görs via användarprofiler eller identitetsattribut. Således ger IAM-plattformen en registrering av de beviljade samtyckena och möjligheten att användaren drar tillbaka hela eller delar av de beviljade samtyckena.

Identitetshantering i molnet: Överlägsenheten hos användardata: I ett annat register än GPDR, handlar frågan om driftskompatibilitet och portabilitet av användardata inom molnmiljöer spridda över flera länder eller kontinenter frågor som rör datas suveränitet. Till exempel, i Frankrike, är vissa enheter, till exempel OIVs – Operators of Vital Importance – starkt begränsade på denna punkt genom den militära programmeringslagen. En förordning som kräver att de lagrar sina icke-känsliga data (hemligt försvar och konfidentiellt försvarsdata kan inte lagras i ett offentligt moln) i Europa och bearbetar den. Den underliggande infrastrukturen är avgörande för säkerhet, prestanda, suveränitet och frågor som den geografiska platsen för de tjänster som används.

Data måste skyddas både när de lagras och när den överförs. Skyddsprotokollen för dataöverföring är vanligtvis TLS 1.3 eller IPSEC. Krypteringsmetoden som används samt hanteringen av krypteringsnycklar måste anges.
Vi föredrar:

• Nyckelutbytes- och autentiseringssystemet ECDHE-ECDSA med vidarebefordran av sekretess.
• När det gäller kryptering har AES-GCM-algoritmen bevisat sig själv.
• För dataintegritet uppfyller HMAC-SHA256-algoritmen nuvarande kryptografiska krav.

Vi ser till att all lagrad data krypteras systematiskt, lagras på hårddisken, i databaser, filer eller till och med i RAM. Kryptering av data i RAM möjliggörs av de senaste generationerna av mikroprocessorer. Nyckelhantering måste tillåta användning av specifika nycklar för varje hyresgäst och se till att en tredje part inte kan använda dem.

Även om flera tillvägagångssätt är möjliga, är det lämpligt att centralisera identitetshantering i två miljöer för att utse “master-förvaret” för förändringar. Det här förvaret kommer att vara den auktoritativa källan för användaråtkomst till företagets arkiv. För att tillåta IAG-applikationen att hantera applikationerna för både lagringsplatser, gateways och programproxyer är nödvändiga.

Omvänt är det möjligt att hantera separata IAM-arkiv beroende på applikationsmålen (på plats eller molntillämpningar). Akta er, denna typ av implementering har stora tekniska effekter. Det kommer att vara nödvändigt att samtidigt hantera de två lagren och till och med integrera ett synkroniseringssystem.

Överflöd av SaaS-lösningserbjudanden leder alltmer identitetshanteringsapplikationer för att prata med ett växande antal spelare och applikationer. Att verifiera, hantera konton och till och med definiera användaråtkomst är en verklig utmaning vid homogenisering för att undvika kakofoni. Denna observation har gett upphov till två rörelser:

1. Definitionen av standarder och protokoll som gör det möjligt att autentisera användare på ett unikt sätt (SAML, Oauth, OpenID Connect)
2. Identitets- och användarkontohantering mellan olika företags molndomäner SCIM (System for Cross-domain Identity Management)

Regelbundna kontroller säkerställer att dessa skyddsregler tillämpas korrekt. Den metod som används och alla kontroller som dokumenteras och regelbundna granskningar av dessa kontroller garanterar deras effektivitet.

Det är lämpligt att kontrollera säkerhetselementen som leverantören använder. Leverantören måste tillhandahålla ett dokument med alla säkerhetskriterier och den organisation som garanterar att dessa kriterier uppnås. Alla säkerhetsaspekter måste täckas i detta dokument.

De tekniska elementen måste listas i detalj:

• Protokollversion
• Krypteringsalgoritmer
• Tredjepartslösningar som används
• Geografiskt läge

Effekten av en kompromiss av identiteter och tillhörande åtkomst multipliceras tiofaldigt i molnet. Ökningen av “självbetjänings” åtkomst via applikationsportaler av SaaS-typ kräver nya metoder för att säkra identitet och tillstånd:

• Övervakning av serviceanslutningar
• Anslutningsinformation såsom geografisk plats
• Den autentiseringsmetod som används
• Anslutningstid eller system som används för att ansluta, lagra och analysera

Ovanligt beteende eller kända hotmönster bör orsaka att anslutningen blockeras och utlösa en säkerhetsvarning. Leverantören bör vara transparent om sådana incidenter och detaljerad i sin dokumentation hur den kommunicerar dem till sina kunder.

IAM: Cloud Access Security Engine 

Skapandet av identitet är fortfarande en avgörande fråga:

• Vilken information behövs för att skapa den?
• Vad är processen genom vilken identiteten skapas?
• Vem är myndigheten för att skapa en identitet?

För att göra detta finns flera alternativ tillgängliga:

• Skapande av användaren
• Användningen av en tredjepartsidentitet via sociala nätverk
• Skapas av en extern strömförsörjning

En användargenererad identitet är ett nytt tillvägagångssätt för företaget, direkt från internet och de flesta onlinetjänster. Denna metod implementeras vanligtvis via CIAM (Customer Identity & Access Management) för att ge en upplevelse som överensstämmer med användarvanor.

Detta är en verklig utmaning för hur organisationer fungerar. Webbportalen blir en förutsättning för att upprätta kontakt med organisationen, medan val av anslutning var en förutsättning för att komma åt webbportalen. Till detta kan erläggas en validering som ger tillgång till en ytterligare servicenivå. Detta paradigmskifte innebär även att bördan för att skapa/modifiera identiteten flyttas till slutanvändaren, vilket är en viktig punkt när man hanterar stora volymer.

För att begränsa antalet identiteter för en enda användare är det möjligt att använda en tredjepartsidentitet. Många internetanvändare har redan en identitet på sociala nätverk som kommer att återanvändas; denna modell som kallas Bring Your Own Identity är BYO-enhetens motsvarighet.

Hur många tjänster har du redan använt med Facebook-autentisering? Det är snabbt, effektivt och sparar er från att behöva komma ihåg många olika lösenord. B2B-världen har varit långsammare att anta BYOI än BYOD. Först av tekniska skäl men främst av säkerhetsskäl.

Idag sjunker de tekniska begränsningarna successivt, men vissa säkerhetsrisker kvarstår:

• Hur certifierar jag tredjepartsidentitet?
• Om det finns certifiering, hur kan vi lita på undertecknaren av detta certifikat?

Vissa företag är vana vid att skapa sina identiteter från ett HR-arkiv eller en leverantörsdatabas. SCIM 2 -standarden erbjuder ett standardiserat webbgränssnitt för att driva användarskapelser till molnsystem. Precis som LDAP-katalogerna definierar denna standard ett grundläggande användarschema, som kan utökas enligt behoven, med protokollet för att utföra identiteternas operationer. Detta protokoll är baserat på webbstandarder som https och json och erbjuder ett API som är allmänt erkänt i IAM -världen.

Att verifiera användarnas identitet när de loggar in på onlinetjänster är avgörande för förtroendet för dessa system. Regelbunden användning av lösenord är otillräcklig för att säkerställa en acceptabel säkerhetsnivå. För att möta diversifieringen av onlinetjänster, mer och mer känsliga och den massiva användningen av personuppgifter, vars skydd är avgörande för att förlänga dem, har nya autentiseringslösningar dykt upp. De är redo att distribueras i stor utsträckning för bättre användbarhet och samtidigt förbättra säkerheten. Dessa metoder stärker avsevärt förtroendet för onlinetjänster.

Multifaktorautentisering (MFA) är en kontosäkerhetsprocess som kräver flera olika steg för en användare att bevisa sin identitet. För att slutföra flerfaktorautentiseringsprocessen måste specifika referenser tillhandahållas eller vissa krav måste uppfyllas i varje steg. Det finns fem faktorer:

• Kunskap (vad ni vet);
• Tillhörighet (vad ni är);
• Besittning (vad ni har);
• Plats
• Klockslaget

Den mest effektiva lösningen använder ett engångslösenord (2FA). Detta lösenord genereras av en applikation installerad på telefonen eller skickas till användaren via e-post eller SMS.

Efter användning blir detta lösenord oanvändbart. Denna närvarande teknik har dock visat vissa svagheter de senaste åren: det finns en risk för att lösenordet avlyssnas. Användningen av denna teknik är fortfarande komplex, men den uppmuntrar införandet av ännu mer robusta lösningar utan lösenord.

Push-auktorisering är ett enkelt alternativ för användaren samtidigt som den garanterar en hög säkerhetsnivå. När du ansluter till en tjänst skickas ett meddelande till användarens telefon. Begärans äkthet verifieras genom att verifiera eller avvisa anslutningen.

Används utöver det vanliga lösenordet, blir denna autentiseringsmetod mer och mer utbredd. Dess enkelhet har underlättat antagandet, men användningen av lösenordet kvarstår.

För att eliminera användningen av lösenord och samtidigt säkerställa maximal säkerhetsnivå har fysiska tokens utvecklats. FIDO 2 -standarden, allmänt antagen av alla större aktörer, gör det möjligt att eliminera användningen av ett lösenord. Denna teknik är beroende av en fysisk enhet som kan vara en USB-, Bluetooth- eller NFC -nyckel utan batteri.

Denna teknik ger “end to end-säkerhet” mellan onlinetjänsten och token. Användningen av token på en komprometterad enhet är också säker. Detta system är vanligtvis kombinerat med avancerad auktorisering för att implementera solid multi-factor-autentisering utan att använda lösenord.

Skärpningen av nya bestämmelser som ökar känsligheten för datatillgång innebär att säkra användarens åtkomst regelbundet och i realtid.

Med centraliseringen av användaråtkomst och IAM-lösningarnas profiler är det nu möjligt att analysera anslutnings- och datatillgångsbeteenden. Geografiska och tidsmässiga mönster för anslutningar, applikationstyper eller till och med enheter som används är nya signaler för att upptäcka misstänkt användarbeteende. Enligt regler som tillämpas på ett sammanhang tillåter dessa signaler att ställa in åtkomstvillkor till en eller flera applikationer enligt begränsningar som tillämpas på ett sammanhang.

Idag blir säkerheten av data allt mer komplex, främst på grund av den massiva migrationen av tillgångar till molnet och multiplikationen av metoder (terminaler, plats) och aktörer (anställda, tjänsteleverantörer, leverantörer, etc.) med tillgång till applikationer. I ett sammanhang där alla resurser är tillgängliga, har missförstånd ibland företräde framför kontroll:

• Vem får tillgång till vilken data?
• Hur fick personen tillgång?
• När och för vilket eller vilka syften?
• Under vilken period?

Återcertifiering i molnet är viktigt för att återfå kontrollen över användarrättigheter i applikationer och data. Dessa åtkomstgranskningar är ännu mer tillgängliga i molnet eftersom de villkorligt kan aktiveras med samma detektionssignaler som beskrivits tidigare.

Cloud IAM växer lika snabbt som de tjänster det försöker säkra. Två typer av spelare tävlar i detta segment. Rena spelare som är specialiserade på identitetsförbund och SSO ser det som en förlängning av deras tjänster. Leverantörer av molninfrastruktur drar nytta av cybersäkerhetsmarknadsexplosionen för att komplettera sina värdtjänster med IAM-funktioner.

Dessutom är övergången till nya molnbaserade IAM-säkerhetstekniker fortfarande låg. företag tenderar att begränsa sig till att använda de nödvändiga lösningarna för att hantera användaråtkomst. Integrationen av nya paradigm som BYOI – Bring Your Own Identity – eller FIDO -tokens antas av marknaden.

Författare: Mehdi Mtimet, Tristan Martin och Emmanuel Balland, affärsenhet IAM, Orange Cyberdefense France