Potřeba zajištění bezpečnosti informačních systémů provozovaných v prostředí cloudu přináší některé nové výzvy, se kterými jsme se dosud setkávali zejména v informačních systémech přístupných z veřejného internetu.
Jak se pravidelně dočítáme ve sdělovacích prostředcích, na internetu se čím dál tím více krade identita. Některé případy vyšetřovala a některé i úspěšně vyšetřila policie, podle názoru většiny analytiků se jedná o příslovečnou špičku ledovce. Pokud útočník získá přístup k našemu osobnímu e-mailovému účtu, může to pro nás znamenat citelné nepříjemnosti v osobním životě. Daleko závažnější důsledky ale může mít průnik do firemního informačního systému nebo informačního systému veřejné správy obsahujícího například zákaznická data (hostované CRM), bankovní transakce (elektronické bankovnictví), osobní údaje (portály pro uchazeče o zaměstnání) nebo dokumenty se závažným právním dopadem (webový přístup k firemnímu e-mailu, Datové schránky).
Z uvedeného vyplývá, že pokud chceme prostředí cloudu využít pro provozování informačních systémů obsahujících i jiná data než zcela veřejná, musíme se důsledně zabývat ochranou takových systémů před neoprávněným přístupem.
Autentizace uživatele je proces ověření jeho proklamované identity. Silnou vícefaktorovou autentizací pak rozumíme proces využívající kromě jména a hesla nějaký další faktor, zpravidla vlastnictví identifikačního předmětu (kryptografického tokenu nebo čipové karty), popřípadě biometrii.
Autentizační tokeny lze pro náš účel hrubě rozdělit do dvou skupin. První se označuje jako CBA (Certificate Based Authentication), ve které se využívá asymetrické kryptografie. Sem patří například USB tokeny řady iKey nebo eToken a kryptografické čipové karty. Druhá skupina se nazývá OTP (One Time Password), kdy je v tokenu pro každé přihlášení generováno unikátní jednorázové heslo.
Z pohledu uživatelského komfortu, investičních a provozních nákladů je pro cloudové služby vhodnější volbou autentizace s využitím metody OTP. OTP tokeny mají totiž tu výhodu, že se uživatel nemusí starat o obnovu certifikátů, rovněž není potřeba na straně klienta instalovat žádný dodatečný software. OTP token nemá žádné konektory. Nalezneme na něm pouze tlačítko a display, ze kterého uživatel při každém přihlášení opíše vygenerovaný jednorázový kód do přihlašovacího formuláře. Přihlašování OTP tokenem tak přináší uživateli vítanou flexibilitu, pokud se například potřebuje přihlásit do cloudové aplikace z mobilního telefonu či tabletu.
Protože cloud je založen na outsourcingu infrastruktury, nabízí se logicky možnost provozovat autentizační řešení jako službu rovněž v prostředí cloudu. Výhody takového řešení jsou zjevné. Namísto budování vlastní infrastruktury využíváme infrastrukturu poskytovatele, která dosahuje špičkové úrovně zabezpečení a dalších parametrů SLA. Výhodou autentizace formou služby je úspora investičních nákladů na licence autentizačního řešení a infrastrukturu. Další významnou výhodou je vysoká rychlost implementace (podle složitosti prostředí zákazníka jednotky hodin až jednotky dnů). Implementace cloudového autentizačního řešení totiž v podstatě znamená pouze vytvoření nové instance, customizaci jejích parametrů, nastavení rozhraní na adresářové služby a aplikace, které budou autentizační řešení využívat. Posledním krokem je import uživatelských účtů.
Autentizaci formou služby nabízejí například společnosti SafeNet pod označením SafeNet Authentication Service (SAS) a Symantec pod označením Validation and ID Protection Service (VIP).
Konkrétní příklad fungování autentizace formou služby můžeme ilustrovat na systému SafeNet Authentication Service. Tato autentizační služba běží v prostředí špičkově zabezpečených (Tier IV, PCI DSS, ISO 27001, …) geograficky redundantních datových center ve Velké Británii a v Kanadě. Autentizační služba SAS poskytuje několik možností jak spolupracovat s komponentami informačních systémů, jejichž ochranu zabezpečuje. Pro integraci s komponentami jako jsou Single Sign-on nebo VPN se nejčastěji používá protokol RADIUS, cloudové aplikace obvykle využívají protokolu SAML. Dále jsou k dispozici agenti pro běžně používané aplikace a prostředí jako např. Office 365, Outlook, Citrix apod. Pro případ, že aplikace nezapadá do žádné z předchozích kategorií, je k dispozici autentizační API, jehož využitím lze vytvořit vlastního agenta na míru příslušné aplikaci.
Pokud se tedy chystáme přesunout část firemní IT infrastruktury do prostředí cloudu, je vhodné k tomu využít cloudových služeb jako např. Office 365, Google Apps, salesforce.com apod. ve spojení se silnou autentizací. Využitím autentizace formou služby nám odpadnou starosti s provozem hardwaru a další infrastruktury. Ačkoliv ekonomická výhodnost využití cloudových technologií nemusí být patrná na první pohled, při zohlednění všech ušetřených nákladů na implementaci a provoz vlastního autentizačního řešení může znamenat zajímavou úsporu zdrojů a času.
Vojta Gaman a Petr Slaba
Vyjadrite váš názor v komentároch