Облака - это услуги информационной безопасности. Потому, что как минимум без надёжной аутентификации пользователь просто не получит доступ к своим данным. Про это рассуждает
Михаил Ашарин, технический специалист Rainbow Security.
1. Какие методы идентификации пользователей требуются для перехода на облачные технологии?
При переходе на облачные технологии не требуется кардинальной модификации методов аутентификации, уже применяемых в большинстве современных корпоративных информационных систем. Для доступа в облачные сервисы, как правило, потребуется выбрать наиболее удобные с точки зрения использования и надежные с точки зрения защищенности методы аутентификации. Это, прежде всего, двухфакторная аутентификация по одноразовым паролям и строгая двухфакторная аутентификация по цифровым сертификатам.
Одноразовый пароль – это динамический пароль, который генерируется каждый раз для события аутентификации, не подходит для повторного использования. Такие пароли могут генерироваться и доставляться пользователям различными способами, но, с учетом того, что основное отличие облачной инфраструктуры от корпоративной по существу заключается в большей масштабируемости и более широкой географической распределённости, на первый план выходит использование для получения одноразовых паролей мобильных гаджетов. Вторым вариантом получения одноразового пароля, который, конечно, может применяться и совместно с вышеупомянутым в качестве резервного, является использование программного токена, устанавливаемого на смартфон пользователя. Это можно сделать, например, из AppStore или Google Play. В этом случае для генерации корректного одноразового пароля пользователь вместо статического пароля вводит на смартфоне известный только ему PIN-код.
Для выделенного обслуживания в облачных сервисах также может использоваться упомянутая выше строгая двухфакторная аутентификация по сертификатам. Хотя этот метод доступа к «облаку», как правило, требует от пользователей наличия дополнительного аппаратного аутентификатора (и, соответственно, его обслуживания), но зато предоставляет более защищенный канал доступа. В качестве аппаратного устройства для безопасного хранения пользовательского цифрового сертификата, чаше всего используется портативный USB-токен. В этом случае проверка клиентского сертификата для успешной идентификации пользователя на предоставленном облачном сервисе возлагается на специальный сервер аутентификации. Более того, облачный сервис-провайдер должен взаимодействовать с инфраструктурой открытых ключей (PKI).
2. Какие продукты нужны операторам облака для организации надежной аутентификации пользователей?
В контексте вышеизложенного становится ясно, что для внедрения продвинутых методов идентификации при построении облачных технологии необходима интеграция облачного сервис-провайдера со специальными решениями, выполняющими роль сервера аутентификации. С учетом современных высокотехнологических требований к безопасности и обслуживанию облачной инфраструктуры, такой сервер аутентификации должен поддерживать разнообразные устройства и методы аутентификации, в том числе и многоуровневые, встроенный механизм интеграции с внешним SMS-шлюзом для доставки одноразового пароля по независимому GSM-каналу, расширяемые политики доступа и ролевой принцип управления. С другой стороны, решение должно предоставлять необходимые сервисы обслуживания для операторов (техническую поддержку) и самообслуживания (например, настраиваемые веб-порталы для удобного самостоятельного обслуживания пользователями своих аутентификаторов – активация, замена, разблокировка, отзыв, ресинхронизация, временный доступ и так далее). Оптимальным продуктом, поддерживающим весь вышеизложенный функционал и вместе с тем содержащий все возможные дополнения для организации надежной и удобной аутентификации в облачной среде, является сервер аутентификации ActivID 4TRESS Authentication Server от компании HID.
3. Насколько усложняют работу с облаком процедуры надежной аутентификации пользователей?
Если оценивать влияние на простоту процесса аутентификации в облачной среде по соотношению надежности и удобства применения, то методы доступа к облачным сервисам по одноразовым паролям, полученным через личные мобильные устройства, или по цифровым сертификатам с использованием выдаваемых портативных USB-токенов (например, для VIP-клиентов или пользователей с повышенными правами), практически не усложняют и не замедляют работу в облаке конечных пользователей. Кроме того, замечено, что упомянутые методы не только не создают трудностей, но и в отличие от простой аутентификации по статическим паролям вызывают у пользователей ясное понимание и чувство уверенности в надежной защите собственной конфиденциальной информации при работе в облаке.
4. Насколько легко можно интегрировать процедуры надежной аутентификации в современные продукты для построения облачных решений?
Трудоемкость интегрирования вышеописанных процедур аутентификации в уже функционирующие современные продукты для построения облачных решений сильно зависит от разнообразия и глубины предлагаемых такими решениями средств интеграции с технологической инфраструктурой. Например, один из самых универсальных серверов аутентификации ActivID 4TRESS Authentication Server от HID предоставляет для гибкой и оперативной интеграции с облачной средой такие средства как интуитивно понятный пользовательский веб-интерфейс администратора, а также средства разработчиков (SDK) и поддержку стандартных кроссплатформенных технологий взаимной интеграции, таких как SOAP, SAML и других.