TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Autentizace, identifikace, přidělování a aplikace oprávnění, kontrola přístupu. Se všemi zmíněnými pojmy se denně setkáváme při správě sítě nebo i jen při jejím běžném používání. Tyto termíny nejen že neznějí právě vlídně, ale doopravdy nejsou ničím přívětivým. Tedy v tom smyslu, že jsou naprostou nutností, ale vypořádat se s nimi lze mnohem elegantněji, než bylo doposud zvykem.
Abychom vůbec dospěli k pokročilejším autentizačním a identifikačním metodám, potřebujeme nějaké zázemí – databázi, oproti které lze uživatele ověřovat. To je typicky některá z adresářových služeb (nebo jiné mechanismy). V poslední době se však objevují zařízení (SW i HW), která dokáží tento proces obohatit o vyšší komfort, větší automatizaci a v neposlední řadě o vyšší bezpečnost. Mluvíme zde o nové oblasti, která se teprve profiluje. IAM – Identity and Access Management, NAC – Network Access Control, NII – Network Identity Infrastructure. Názvů je vícero a přitom nemusí být vždy synonymní. Tyto obory se různě prolínají nebo odbočují do dalších oblastí, podle toho, jak je která společnost pojme.
Důležitý je však trend, kdy se převážně hardwarové společnosti začínají objevovat na poli systémových nástrojů (často ovšem úzce spolupracují se softwarovými společnostmi – výrobci antivirů atd.). Zmiňme například Cisco nebo Juniper Networks. Můžeme se tak setkat s hardwarovými boxy, které čím dál více propojují původně systémové prvky s nižší síťovou infrastrukturou. Tento dedikovaný hardware s vysokou mírou integrace dalších prvků (firewally, antiviry, antispyware, antispam, IDS atd.) přináší administrátorům snazší správu a vyšší bezpečnost.
Budoucnost je v identifikaci a kontrole přístup"
Naznačená budoucnost smazávání rozdílů mezi hardwarovými a softwarovými řešeními je zatím nejasná, protože přece jenom IAM je zatím oblastí spíše systémovou. I když uznáme všechny výhody těchto produktů, budeme jen těžko hledat opodstatnění jejich koupě u mnoha našich firem. Můžeme dát ruku do ohně za to, že v mnoha firmách nejsou naplno využívány ani všechny dostupné bezpečnostní funkce, které poskytují standardní autentizační nástroje. Ruku na srdce, kolik z vás aplikovalo politiku silných hesel bez výjimky na celou infrastrukturu? Samozřejmě včetně nutných změn hesel po určitém časovém období… Známá analytická společnost Gartner přitom odhaduje, že do roku 2007 se 80 % organizací dostane do „stádia prolomených hesel“ a bude nuceno pomocí alternativních metod zabezpečení posílit autentizaci uživatelů. Proč nezačít již nyní, když uživatelská jména a hesla jsou jednak nedostatečně bezpečná, ale o co hůře, i velice nekomfortní. Hlas trhu praví, že bezpečnost má šanci jen tehdy, když bude uživatelsky nenáročná. A kdo si má pamatovat desítky hesel a neustále je někam zadávat. Byť se již nějakou dobu používají Smart Cards nebo různé USB tokeny, které zvyšují bezpečnost autentizace, stále nutí uživatele nosit s sebou (a nezapomínat) další z „nepostradatelných“ denních pomůcek. Nemluvě o situacích, kdy jen stěží přimějete pracovníky nenechávat chytré karty v noteboocích a čtečkách. Toto není ideální cesta.
› Jména a hesla
Nejlevnější řešení, které při dobře nastavené bezpečnostní politice stále dobře poslouží. Jsou však nejvíce náchylná ke zneužití. Velkou roli zde hraje disciplína uživatelů a ve větších sítích se může stát, že budete muset zřídit helpdesk speciálně pro řešení zapomenutých hesel.
› Smart Cards
Chytré karty vyžadují ke svému provozu čtečku. Jsou již poměrně rozšířené, podporované systémy a nepříliš nákladné. Lze je snadno využít pro pokročilejší autentizaci do sítě a současně jako rychlý identifikační prvek pro kontrolu přístupu v konkrétních prostorách. Uživatelé je mohou zapomenout nebo ztratit,
což komplikuje jejich správu. Chytré karty dokáží uchovávat a generovat soukromé klíče, takže je lze využít v PKI infrastruktuře.
› USB tokeny
Jsou velmi podobné chytrým kartám, ale nevyžadují čtečky, lze je připojit rovnou
k počítači. Na druhou stranu je nevyužijete pro kontrolu přístupů v budovách a nevleze se na ně fotografie uživatele pro jeho rychlou
identifikaci. USB tokeny jsou levnější než chytré karty a poskytují téměř srovnatelné bezpečnostní funkce.
› Číselné tokeny
Zařízení, která generují jednorázová hesla, která jsou synchronizována s autentizačním systémem. Využívají se nejčastěji pro vzdálený přístup. Cena je srovnatelná s USB tokeny, ale je nutné počítat s náklady na serverovou část.
› Biometrika
Existuje mnoho způsobů ověřování na základě biometrických údajů, které se liší cenou a mírou zabezpečení. Technologie zatím není tolik vyzrálá jako chytré karty a tokeny, ale má zdaleka největší potenciál. Je bezpečnější a není tolik závislá na disciplíně uživatelů. I zde je ovšem riziko zneužití a míra „náhradních
prstů“ je omezená.
Váš otisk prosím
Budoucnost patří autentizaci na základě biometrických údajů. Otisk prstu doma nikdy nezapomeneme. Přitom míra bezpečnosti je zde velice vysoká, zařízení nejsou přehnaně drahá a jsou poměrně spolehlivá. U kritických aplikací potom není vyloučena kombinace ověření pomocí biometrie i hesla. Současnou nevýhodou, která nemusí být na první pohled zřetelná, je fakt, že neexistuje mnoho aplikací, které by biometrické údaje ověřovaly přímo. Toto zastupuje nadřazená aplikace, která na základě ověření pomocí biometrie posílá aplikacím hesla, což může být slabý článek řetězce. Je ale jen otázkou času, kdy bude biometrie nativně podporována jak na úrovni operačního systému (adresářových služeb), tak na straně běžných aplikací, u kterých je zabezpečený přístup vyžadován. Tím se dostáváme od uživatelů k objektům.
Trendy v identifikaci objektů se nesou v duchu RFID. Tato technologie nejen že poskytuje identifikaci na větší vzdálenost (než např. čárové kódy), ale je schopná poskytnout i více informací o daném objektu. V jistém smyslu následně můžeme za objekt považovat i člověka jako takového. Zde se ovšem ověření (např. pro přístup do areálů apod.) na základě RFID identifikace doposud nejeví jako optimální řešení. Sice by v reálném příkladě ověřování probíhalo mnohem rychleji než například u biometrie a srovnatelně rychle s bezkontaktními čipovými kartami, ale stupeň bezpečnosti by byl roven míře spojení RFID tagu s objektem – tedy člověkem. RFID tag na klíčích nebo v kapsách potom nebude v žádném případě dostatečně silným identifikačním prostředkem. Ve spojení s heslem však již může vykonat dobrou službu. Nabízí se zde samozřejmě i známá myšlenka implantace nebo jiného pevného spojení RFID prvku s organismem. To ovšem zatím není reálné a, co se týče bezpečnosti, nedá se říci, že by to stálo za negativní vlastnosti z tohoto způsobu plynoucích. Nechme tedy RFID identifikaci objektům a biometrii lidem. Obě technologie nám přinesou vyšší bezpečnost, komfort a produktivitu práce.
