Безопасность систем идентификации
Введение в систему IdM
За последние десять лет система IdM (управление определением идентичности) превратилась из замкнутой системы в федеративную или ориентированную на пользователя систему IdM. В большинстве разработанных до настоящего времени систем IdM основное внимание уделялось вопросу о том, каким образом можно эффективным и удобным для пользователя способом предоставлять услуги, связанные с определением идентичности. Во многих последних разработках систем IdM предусмотрена реализация определенных аспектов обеспечения безопасности и конфиденциальности.
Эволюция модели
Вначале система IdM, рассматривавшаяся как замкнутая модель, разворачивалась в корпоративном домене. Вся информация, которая требовала защиты, находилась в одном защищаемом месте, как документы в отдельно стоящем сейфе. При этом, для того, чтобы этой информацией воспользоваться требовалось выполнить вскрытие сейфов. Также, как и при установке замков abloy их аварийное вскрытие может быть выполнено только при наличии документов, извлечь данные из закрытой области системы можно только при наличии идентификационных данных пользователя. При этом ранее не обеспечивалась связь между системами IdM, и поэтому отсутствовала возможность обмена информацией об идентичности пользователя для обеспечения полезных услуг в рамках нескольких доменов. Кроме того, идентичность одного пользователя могла дублироваться в нескольких разных системах IdM. Это затрудняет системное администрирование в рамках одной организации в части обеспечения безопасного и эффективного управления определением идентичности пользователя.
Следующий шаг заключался в осуществлении сбора полной информации об идентичности пользователя в одной системе IdM и распространении ее всякий раз, когда это необходимо. Данный подход привел к так называемой централизованной модели. При применении этой модели в одном сервере собирается слишком большой объем информации пользователя. Этому подходу присущ ряд недостатков, поскольку IdP становится не только единой точкой отказа, но может также не вызывать доверия у всех сторон.
Новая парадигма идентичности
Принятый далее подход поэтому заключался в том, чтобы позволить каждому IdP управлять своей собственной информацией об идентичности и децентрализовать свою ответственность, распределив ее между различными IdP, которых может выбрать пользователь. Этот подход становится известным как федеративная модель. В данной модели существует множество IdP, которые могут быть доверенными для пользователя и при необходимости управляют частичной информацией об идентичности пользователей. Информация об идентичности пользователей каждого IdP может использоваться на коллективной основе с частью псевдонима федеративной идентичности. В этой модели устранена проблема единой точки отказа.
Поскольку для пользователя вопросы сохранения конфиденциальности приобретают все бóльшую важность, в технологии IdM основное внимание уделяется пользователю, с тем чтобы обеспечить его полный контроль над информацией собственной идентичности. Эта парадигма носит название модели, ориентированной на пользователя. В такой модели информация об идентичности должна проходить через пользователя, с тем чтобы предоставить ему возможность применить свою стратегию защиты конфиденциальности в тех случаях, когда два IdP обмениваются информацией об идентичности этого пользователя. Эта модель реализована во многих промышленных продуктах и в ней задействованы другие существующие технологии IdM.
Безопасность конвергированной системы
В процессе конвергенции этих систем IdM как правило возникает сложная задача: каким образом гарантируется безопасность конвергированной системы и поддерживается баланс между безопасностью и защитой конфиденциальности для обеспечения оптимальных рабочих характеристик. Кроме того, в большинстве разработанных к настоящему времени руководящих указаний по обеспечению безопасности основное внимание, как правило, обращалось на поставщиков данных идентичности и полагающиеся стороны. Поскольку аспекты безопасности и конфиденциальности пользователя становятся обязательными требованиями, необходимо рассматривать безопасность той части системы IdM, которая ориентирована на пользователя, с тем чтобы учитывать растущую обеспокоенность в отношении конфиденциальности пользователя.
Читать статью "Безопасность систем идентификации" далее
Введение в систему IdM
Общая модель системы IdM
Услуги определения идентичности
Безопасность систем
Пассивные угрозы безопасности
Активные угрозы безопасности
Угрозы безопасности для системы IdM
Обеспечение безопасности для системы IdM
Безопасность при эксплуатации систем IdM
Безопасность для серверов IdM
Управление доступом
Безопасность для клиентов IdM
Безопасность для мобильных клиентов IdM
Обеспечение конфиденциальности в системах IdM
Руководство по обеспечению безопасности для систем управления определением идентичности
