. Дискуссией руководил Тодд Инскип, старший научный сотрудник Booz Allen Hamilton. В обсуждении принимали участие известные специалисты в сфере «облачных» учетных данных: Майкл Баррет, директор по информационной безопасности PayPal; Андре Дюран, основатель и президент Ping Identity; Чак Мортимер, вице-президент Salesforce.com по управлению продуктами, учетными данными и безопасностью, и Эрик Закс, менеджер по группе продуктов в области управления учетным данными в Google.
Пароли – несостоятельная и немасштабируемая модель
Распространенное в сообществе учетных данных мнение о несостоятельности паролей уже стало клише. Проблемы паролей очевидны для всех. Являетесь ли вы специалистом по учетным данным или бывшим учителем начальной школы, вы понимаете, что пароли сегодня – явно неэффективная модель аутентификации. И дело не только в том, что приходится запоминать множество паролей доступа к «облачным» службам (CSP), таким как Facebook или Amazon. Проблема значительно шире, поскольку схема взаимоотношений «один-многие» (то есть один настольный компьютер со многими CSP) уже переросла в схему взаимоотношений «многие-многие», когда пользователь авторизует свой доступ к CSP с настольного компьютера, планшета и мобильного телефона. Все еще больше усложняется, если приходится задействовать многофакторную аутентификацию (например, Gmail или Facebook). В этом случае для каждого приложения, обращающегося к CSP, требуется свой уникальный пароль или, по крайней мере, ввод PIN-кода, отправляемого на мобильный телефон. Для меня использование многофакторной аутентификации Gmail только через Internet Explorer (IE) и Google Chrome на пяти отдельных клиентах (рабочий ноутбук, настольный компьютер, Apple Ipad, Microsoft Surface RT, Windows Phone 8) стало настоящим кошмаром (и искренне желаю всем удачи в получении PIN-кода при использовании Wi-Fi на борту самолета!).
Федерация, объединяющая поставщиков учетных данных (IdPs) и проверяющие стороны (RPs) – общепринятый и поддерживаемый большинством крупных «облачных» служб способ свести к минимуму использование паролей. Эрик Закс рассказал об интересных особенностях распространения федерации, наблюдаемых им в ходе работы в Google. В частности, растет число обращений со стороны CSP (например, поставщиков программного обеспечения как услуги, SaaS) по поводу перехода от инфраструктуры аутентификации, основанной на локальном хранилище имен/паролей, к федеративным отношениям с поставщиком учетных данных (например, Google). Откуда такой рост интереса к федерации? Ни одно предприятие не хочет оказаться на первой странице New York Times в качестве последней компании, опубликовавшей свои учетные записи и пароли в Интернете.
Однако, по словам Закса, выясняется, что трансформация CSP с переходом от поставщика учетных данных к проверяющей стороне федерации не проста, и существует довольно мало способов облегчения этой задачи. PingOne Application Provider Service от Ping Identity – единственный инструмент, о котором мне известно, и который сам по себе является «облачной» службой. Закс также сказал, что удивительно высок процент предприятий, которые возвращаются от федерации к прежней модели. Он называет это предсказуемой реакцией руководителей, не получивших доступа к SaaS-приложениям из-за сбоев в локальной службе федерации, которая, возможно, не была изначально спроектирована в расчете на обеспечение высокого уровня доступности. На мой взгляд, это сильный довод в пользу IDaaS-решений, предусматривающих высокую доступность и масштабируемость.
Переход от периметра к транзакции
Чак Мортимер говорил о необходимости изменить наше представление о периметре. «Периметр работает только тогда, когда каждый сидит на своем рабочем месте», — заявил он. Традиционные системы управления учетным данными и доступом (IAM) строятся на основе этой концепции, и мобильные устройства и «облачные» службы в расчет не принимаются. Эти устройства не только функционируют за рамками системы IAM, но даже не являются устройствами компании.
По словам Мортимера, новая концепция периметра (которую, возможно, следует называть точкой аутентификации) основана на схеме «удостоверение плюс контекст». Четкую однозначную схему, использующую имя учетной записи и пароль, сменяет значительно более гибкий процесс. Где находится пользователь? Какое устройство он включил? Проходил ли он ранее аутентификацию с этого устройства? Сколько факторов насчитывает применяемая схема аутентификации? Какой тип доступа запрашивает данная транзакция? Этот следующий шаг в аутентификации именуется транзакционной аутентификацией или аутентификацией с учетом факторов риска. Это поистине радикальный отход от прежнего взгляда на аутентификацию. По словам Майкла Баррета, одной из причин, почему ему нравится работать в PayPal, является то, что в этой компании данный метод уже в определенной степени применяется.
Переломный момент в мире учетных данных
Андре Дюран описывает сегодняшние удостоверения как набор деталей конструктора Lego. Я давно прибегал к сравнению с кусочками головоломки, говоря о сложности этого рынка, но аналогия с деталями конструктора мне нравится больше, поскольку, в отличие от кусочков головоломки, структурные блоки можно комбинировать по-всякому, реализуя разнообразные конструкции.
Именно так и обстоит дело с сетью учетных данных. Подвижные части (аутентификация, авторизация, подготовка учетных записей, аудит и руководство) могут складываться в различные комбинации. Все зависит от того, как и где компонуются структурные блоки для поддержки конкретного сценария использования.
Говоря о среде учетных данных, Дюран прибегает также к аналогиям в биологии. По его словам, сегодня пространство учетных данных можно сравнить с набором одноклеточных организмов, связанных друг с другом взаимоотношениями «один-один». Типичным примером является взаимоотношение одного корпоративного поставщика учетных данных (IdP) с одним поставщиком RP/SaaS. У вас может быть несколько таких взаимоотношений, но все они относятся к случаю «один-один».
Однако в ближайшем будущем пространство учетных данных станет больше походить на многоклеточный организм, где на смену взаимоотношениям «один-один» придут взаимоотношения «один-многие». Эта схема будет включать транзакционную аутентификацию, биометрическую идентификацию и определенную степень мобильности, которой сегодня просто не существует. Примером может служить аутентификация пользователя с применением учетных данных Google или Facebook, но с предоставлением и других идентификационных атрибутов, связанных с банком пользователя (например, номера банковского счета, используемого расчетным отделом).
Мы близки к поворотному моменту, когда станет доступной такая степень гибкости, при которой можно будет поддерживать новаторские сценарии использования. Для того чтобы это стало реальностью, у нас уже есть практически все структурные блоки (стандарты учетных данных), если они поддерживаются и реализованы. Барретт подчеркнул важность альянса FIDO (http://fidoalliance.org/), то есть стандартизованного подхода к аутентификации, также простого в применении. Однако эта значительно более сложная инфраструктура учетных данных должна быть прозрачной для пользователей, особенно обычных потребителей, которые всегда выбирают самый простой метод, независимо от степени его безопасности. Баррет предложил отличный принцип построения системы безопасности: «Потребитель прежде всего ищет удобства и предполагает, что безопасность будет прилагаться».
Три шага в будущее учетных данных
Дюран выдвинул четкую трехступенчатую концепцию будущего учетных данных. На первом этапе, где мы сейчас находимся, происходит расширение корпоративной системы учетных данных в «облако» через локальную федерацию. Второй этап, уже набирающий обороты, предполагает использование поставщика IDaaS, который берет на себя всю тяжелую работу по упомянутому расширению системы учетных данных, упрощая доверительные соединения между предприятием и внешним миром, обрабатывая сеть федеративных отношений доверия с CSP, обеспечивая высокую доступность и (в краткосрочной перспективе) управление паролями для создания процедуры единой регистрации (SSO) к CSP, пока еще требующей учетных записей. На третьем этапе, реализации которого, возможно, придется ждать не один год, будут использоваться мобильные удостоверения. По словам Дюрана, на данном этапе «облачный» поставщик учетных данных будет привязывать человека к компании: «Принадлежность к компании носит временный характер и рассматривается как учетные данные, добавляемые к базовому удостоверению. Обладая корпоративными учетными данными, вы получаете корпоративный доступ. Когда вы уходите из компании, эти учетные данные открепляются».
Исчезнет все, кроме лишь небольшого числа паролей. Говорю «Аминь» от имени всех.