Þessi síða notar kökur (e. cookies) til að auðvelda þér að vafra um vefinn.

Aðgangstýringar, kröfur og úrlausnir. Fyrsti hluti

harryÞessari grein er ætlað að vera fyrsta grein af fleirum sem fjalla um auðkenningar notenda í tölvukerfum og breytingar sem eru að verða á þeim úrlausnarefnum og kröfum sem fyrirtæki standa frammi fyrir í þeim efnum.

Kröfur til aðgangsstýringarkerfa koma úr mörgum áttum:

 

  • Stjórnendur fyrirtækja gera auknar kröfur um auðveldari samruna eða uppskipti á fyrirtækjum án truflunar á starfsemi þeirra viðskiptaeininga sem verða fyrir áhrifum af skipulagsbreytingum eða eignarhaldi
  • Stjórnendur og samstarfsaðilar gera auknar kröfur um að auðveldara sé að veita eða fá aðgang að vissum kerfum eða gögnum vegna tímabundinna verkefna
  • Notendur gera kröfur um betra aðgengi að tölvukerfum fyrirtækis eða stofnana sem þeir vinna fyir hvort sem þeir eru staddir innan eða utan öryggismarka (e. securtiy boundary) sem settir hafa verið upp til varnar innri upplýsingakerfum og nota til þess fleiri tæki en aðeins fartölvur (e. location and device independence).
  • Kröfur frá yngri kynslóðum og notenda sem vilja fá nota sín eigin tæki til að inna af hendi þau störf sem þeir hafa á hendi. Þetta á ekki síst við um lausráðið starfsfólk í tímabundnum verkefnum. Þetta er reyndar að verða sífellt algengara ráðningarform.
  • Kröfur frá eftirlitsaðilum um rekjanleika aðgengis notenda að forritum og gögnum (e. Regulatory Compliance).

Ennfremur hafa vaxandi kröfur um friðhelgi persónuupplýsinga og öryggi gagna (e. privacy and safety) sannfært mörg fyrirtæki um mikilvægi þess að stýra notanda aðgangi gegnum allan líftíma notendans (e. user lifecycle). Líftími notenda er frá því notendi er stofnaður, stjórnun breytinga á aðgangi og þar til notenda er eytt eða hann aftengdur.

Öflug auðkenningar og aðgangsstýringarkerfi eru talin þurfa að byggja á því sem á ensku er kallað Four pillar of Identity (fjórar stoðir auðkennis) - sem eru stjórnun, auðkenning, heimild og endurskoðun (e. Administration, Authentication, Authorization and Auditing).  

Hinar fjórar undirstöður aðgangsstýringa

Hinar fjórar stoðir auðkennis eru skilgreindar nánar sem:

  • Stjórnun (e. Administration) – Tekur yfir líftíma notendaauðkennis og stjórnun þess frá þeim tíma sem þau koma inn í kerfið, ferli sem notuð eru til að stofna og stýra aðgangi. Gildir þetta jafnt um fasta starfsmenn sem staddir eru innan öryggissvæða (e.security boundary) eða utan. Einnig á þetta við utanaðkomandi notendur sem þurfa aðgang að vissum kerfum eða gögnum, sem geta vera staðsett í innri kerfum fyrirtækja eða á sérstökum öryggissvæðum (e. security zones) sem oft er kallað DMZ (De-Militarized Zone).
  • Auðkenning (e. Authentication) - Staðfesting á því að notandi sé sá sem hann eða hún segist vera gagnvart þeim aðkenningar mekanisma sem settur hefur verið upp af eigendum og stjórnendum tölvukerfa.
  • Heimildgjöf (e. Authorization)  - Það er oftast talað um tvær tegundir af heimildum sem notendum eru veittar, grófar og fínar (e. coarse and fine-grained). Grófar heimildir eru notaðar til að ákvarða hver hefur aðgang að tiltekni kerfi eða forriti meðan fínar eru notaðar til að ákvarða hvað notandi getur gert þegar viðkomandi er kominn inn í kerfið eða forritið.
  • Endurskoðun (e. Auditing) - Endurskoðun er nauðsynleg til að geta ákvarðað hver hafði eða reyndi að verða sér út um aðgang að forritum og/eða gögnum og hverjir það voru sem komu að því veita eða breyta aðgangi. Auditing getur bæði tekið yfir skýrslugerð og sjálfvirkra viðvarana sem sendur eru kerfisstjórum eða eigendum forrita og gagna.

Þegar meta á þarfir og kröfur fyrirtækja og stofana fyrir aðgangsstýringar eru hinar fjórar stoðir þeir grunnþættir sem notaðar eru til leiðbeiningar. Flestallar kröfur sem gerðar eru til aðgangstýringa má staðsetja í einhverjum af hinum fjórum stoðum.  

Hefðbundin aðgangsstýring

Útfærsla aðgangsstýringar skiptist fyrst og fremst í tvennt.

  1. Verkferli sem sklgreind eru til að tryggja að notendaumsjón og aðgangsstýrng sé framkvæmd þannig réttur aðgangur sé veittur réttum aðilum með fyrirsjáanlegum hætti
  2. Tæknilegum lausnum sem innleiddar eru til að styðja við verkferlin.

Nokkuð hefur vantað upp á verkferlahlutann þó að allra síðustu ár hafi orðið framfarir í þeim efnum og verður fjallað um það nánar í síðari grein.

Þær tæknilegu lausnir sem notaðar eru við notendastýringar hafa verið fjölmargir gegnum tíðina en þeir sem flestir notendur kannast við í dag eru Windows Server Active Directory directory services (AD DS), NIS á ýmsum útgáfum af Unix, IBM RACF (Mainframe) eða Novell NDS. Það sem einkennir þessi kerfi eru skilgreind sem bæði gagnagrunnur fyrir notendur í fyrirtækinu, skilgreiningu á þeim aðgangi og réttindum sem þeir hafa og þjónustum til auðkenningar og veitingu aðgangs að forritum og gögnum.

Það sem flest aðgangsstýringarkerfi gera, og gera virkilega vel séu þau rétt innleidd og vel rekinn, er að stýra aðgangi að innri tölvukerfum þar sem notendur eru hluti af gagnagrunninum (t.d. Active Directory) og auðkenning fer fram innan skilgreindra öryggislandamæra. Einnig er mögulegt að skrá þær aðgerðir sem notendur og stjórnendur hafa gert í „audit logs“ fyrir rekjanleika. Aftur á móti verður erfiðara um vik þegar notendur eiga uppruna sinn utan öryggislandamæra, tilheyra öðrum auðkenningargagnagrunnum (einning nefnt security realm eða security boundary) og staðsetning eða tæki sem notað er til auðkenningar er ekki PC tölva.

Skýringuna er fyrst og fremst að finna í því viðskiptaumhverfi sem var við lýði þegar grunnhönnun þeirra auðkenningarkerfa sem nú eru við lýði fór fram.

  1. Vinnuumhverfi var ólíkt að því leyti að starfsmenn mættu til vinnu á morgnanna í því skrifstofuhúsnæði sem fyrirtækið hafði til umráða og vann sína vinnu við PC tölvu eða útstöð sem tengd var við móðurtölvu. Útbreiðsla Internetsins var ekki orðinn sú sama og orðin er í dag og lítil þörf að veita notendum fjaraðgang að vinnuumhverfi sínu.  Hugtök eins og „Bring Your Own Device (BYOD) var algerlega óþekkt enda tiltölulega nýlegt í almennri umræðu.
  2. Viðskiptaumhverfi fyrirtækja var ólíkt því sem er í dag og einkenndist af mun meiri stöðugleika en nú er og hönnunin bar keim af því. Minna var um samruna fyrirtækja, samstarf um ákveðin verkefni til lengri eða skemmri tíma sem þýðir að ekki var mikil þörf fyrir að styðja við samruna og uppskipta (MA&D) eða það sem á ensku kallast Mergers Acquisitions and Divestitures.

Þessir tveir þættir eiga því stóran hlut í að aðkenningarumhverfi fyrirtækja í dag er ekki eins sveigjanlegt og það einhverjum tilfellum þyrfti að vera.

Ennfremur eru þau tól sem fylgja stýrikerfum sem ætluð eru til notendaumsjónar ekki gerð með verkferli í huga og eru því óendanlegir möguleikar fyrir umsjónarmen tölvukerfa að gera mistök við skráningu og utanumhald notenda og flest þau mistök sem hægt er að gera hafa verið gerð.

Í næstu greinum verður fjallað um hvernig fyrirtæki og stofnanir geta innleitt aðgangstýringarkerfi sem gera þeim kleift að mæta sem flestum kröfum um aðgangsstýringar, rekjanleika og sveigjanleika sem gerðar eru í dag.

Á Íslandi, sem og mörgum öðrum löndum, er Active Directory útbreiddasta aðgangstýringarþjónustan og verður því hér eftir miðað við Active Directory í allri umræðu eingöngu af þeim sökum og skal það ekki túlkast sem afleiðing af því að höfundur starfi hjá Microsoft eða í því liggi einhver dómur um gæði hinna ýmsu tæknilegu lausna.

Meira síðar.

Höfundur: Harry Óskarsson

Birt 15. ágúst 2013

Lesið 4519 sinnum Síðast breytt fimmudagur, 15 August 2013 11:04