Pytania i odpowiedzi – Q&A

W ostatnich latach tożsamość cyfrowa stała się niezwykle popularnym tematem rozmów. Co kryje się pod tym pojęciem?

Tożsamość cyfrowa to informacje, które w danym systemie reprezentują osobę, inny system, urządzenie lub aplikację.

Skoro dotyczy to między innymi osób – jaki jest powszechnie spotykany przykład tożsamości cyfrowej, którą ludzie posługują się na co dzień?

Przykładem jest nazwa użytkownika, której używamy, aby uzyskać dostęp do służbowej stacji roboczej lub do konta na Facebooku.

Zazwyczaj nazwie użytkownika towarzyszy hasło. Do czego jest potrzebne?

Hasło to tajna informacja, którą bezpiecznie przechowuje konkretna osoba i która służy do sprawdzania jej tożsamości cyfrowej. Oznacza to, że dany użytkownik powinien być jedyną osobą, która zna ten tajny zapis. Kiedy posiadacz hasła wprowadza je podczas logowania do systemu (tzn. do służbowej stacji roboczej), przedstawia dowód, że jest tym, za kogo się podaje.

Hasła są więc czynnikiem o krytycznym znaczeniu dla ochrony tożsamości cyfrowej.

Zdecydowanie tak. W cyfrowym świecie hasła potwierdzają tożsamość— można je uznać za odpowiednik odręcznego podpisu w świecie fizycznym.

Skoro hasło odgrywa tak ważną rolę, czy za jego pomocą mogę uzyskać dostęp do dowolnego systemu?

Obawiam się, że nie. Zazwyczaj każdy zestaw, który obejmuje nazwę użytkownika i hasło – zwany także danymi uwierzytelniającymi – umożliwia dostęp do tylko jednego systemu lub tylko jednej aplikacji. Żeby lepiej to zilustrować, przyjrzyjmy się kilku powiązanym pojęciom. W obecnych, cyfrowych czasach mamy zazwyczaj do czynienia z takimi zagadnieniami, jak zarządzanie tożsamością i dostępem. Zarządzanie tożsamością to proces zarządzania tożsamością cyfrową osób (tzn. tworzenie, aktualizowanie i usuwanie nazw użytkownika) w określonych systemach. Przykładem może być proces związany z tworzeniem nazwy użytkownika i hasła dla nowego pracownika. Zarządzanie dostępem to proces zarządzania regułami uwierzytelniania danej osoby i jej dostępu do wielu systemów. Można to zobrazować przykładem procesu, który wiąże się z definiowaniem następujących reguł zarządzania uwierzytelnianiem i dostępem:

  • John Pit (osoba fizyczna) może uzyskać dostęp do systemu Salesforce, używając swojej nazwy użytkownika (johnp) i hasła składającego się z ośmiu znaków.
  • Joan Kahn (osoba fizyczna) może uzyskać dostęp do systemu Office365, używając swojej nazwy użytkownika (JoanK), hasła składającego się z ośmiu znaków i hasła jednorazowego.

Rozumiem. A co kryje się pod pojęciem „hasło jednorazowe”?

To hasło tymczasowe, które ulega zmianie co 30 sekund – służy jako dodatkowa warstwa zabezpieczeń.

Czym jest ta „dodatkowa warstwa zabezpieczeń”?

To proste. Nawet jeśli ktoś ukradnie hasło, nie będzie w stanie uzyskać dostępu do systemów, do których prawa przysługują okradzionemu. Dodatkowo potrzebne jest bowiem hasło jednorazowe.

Podsumuję, żeby upewnić się, czy dobrze rozumiem te wszystkie nowe pojęcia:
  • Żeby w obecnych, cyfrowych czasach uzyskać dostęp do systemu, potrzebuję zestawu, który obejmuje nazwę użytkownika i hasło. Składniki te są niepowtarzalne, a na ich podstawie przyznawany jest dostęp do tylko jednego systemu.
  • Zarządzanie tożsamością dotyczy tożsamości cyfrowej. Natomiast zarządzanie dostępem obejmuje systemy, do których możemy uzyskać dostęp, a także metodę uwierzytelniania, jakiej należy użyć.
  • Żeby poprawić zabezpieczenia, powinniśmy posługiwać się także hasłami jednorazowymi.

Dokładnie tak.

Właśnie dlatego potrzebuję więc tylu nazw użytkownika i haseł, żeby uzyskać dostęp do wszystkich systemów korporacyjnych. Szczerze jednak mówiąc, trudno zapamiętać te wszystkie hasła, a dojdzie jeszcze hasło jednorazowe. Codzienna procedura uzyskiwania dostępu stanie się koszmarem. Niełatwo będzie też zespołowi informatyków. Zarządzanie wszystkimi wielo- i jednorazowymi hasłami oraz regułami uwierzytelniania i dostępu może okazać się poważnym wyzwaniem — w niektórych przypadkach niemożliwym do pokonania.

To słuszna uwaga. Rozważmy jednak scenariusz, w którym zarówno użytkownicy, jak i administratorzy infrastruktury informatycznej mają do dyspozycji łatwą i sprawną procedurę codziennego zarządzania tożsamością i dostępem. A gdyby tak użytkownicy mogli – używając swoich korporacyjnych danych uwierzytelniających i hasła jednorazowego – uzyskać dostęp do pojedynczego, prostego w obsłudze i dobrze usystematyzowanego portalu WWW, żeby wyświetlić listę wszystkich udostępnionych im aplikacji/systemów? I następnie przejść do dowolnego z nich poprzez zwykłe kliknięcie? Oraz gdyby także administratorzy infrastruktury informatycznej mieli dostęp do pojedynczego, łatwego w obsłudze portalu WWW, dzięki któremu mogliby konfigurować reguły zarządzania tożsamością i dostępem? Oraz mieliby tam wgląd w szczegółowe informacje analityczne?

To brzmi świetnie! Czy na rynku jest już oferowana taka technologia?

Oczywiście! Rozwiązanie Identity and Access Management (IAM) jest zgodne ze wszystkimi omówionym scenariuszami. Ponadto zwiększa wydajność pracy zarówno użytkowników, jak i informatyków.

Domyślam się, że to rozbudowany produkt o złożonej procedurze instalacji i konfigurowania. I że informatycy muszą wdrożyć w firmie wiele jego komponentów.

Wcale nie – mówimy bowiem o rozwiązaniu w pełni chmurowym. W niektórych zastosowaniach nie wymaga ono żadnych wewnętrznych prac wdrożeniowych.

Wspomniałeś, że użytkownicy mogliby uzyskiwać dostęp do wszystkich swoich aplikacji/systemów, łącząc się z pojedynczym portalem WWW. Oznacza to, że wszystkie aplikacje/systemy, używane w firmie, muszą w jakiś sposób być zintegrowane z tym rozwiązaniem. Zazwyczaj tego rodzaju integracja wymaga nakładu sporych środków i jest trudna w realizacji.

Najczęściej właśnie tak to wygląda, jednak nie w tym przypadku. Rozwiązanie IAM zapewnia bezproblemową integrację, która opiera się na otwartych standardach (takich, jak SAML, OIDC i RADIUS) i agentach. Nie trzeba więc martwić się długotrwałymi pracami integracyjnymi ani procedurami, które pochłaniają znaczne środki.

A co w przypadku złożonej struktury organizacyjnej, która obejmuje wiele działów o różnych rolach? Każdy z nich wymaga innego poziomu dostępu do aplikacji i systemów. Czy konieczne jest zdefiniowanie i zastosowanie jednego zestawu reguł dostępu dla wszystkich ról?

Nie. Rozwiązania IAM można dostosowywać do struktury organizacyjnej. Natomiast oferowane reguły dostępu i uwierzytelniania są dopasowane do potrzeb biznesowych, stopnia poufności aplikacji i roli pracownika. Kolejnym atutem tego rozwiązania jest elastyczność. Na przykład:

  • menedżerowie ds. klienta mogą uzyskiwać dostęp do narzędzia SFDC, używając nazw użytkownika i haseł,
  • dyrektor ds. sprzedaży może uzyskiwać dostęp do narzędzia SFDC, używając nazwy użytkownika, hasła i hasła jednorazowego.

Porozmawiajmy więc chwilę o hasłach jednorazowych. Rozumiem, że są one dodatkową warstwą zabezpieczeń. W jaki sposób jest jednak generowany ten tymczasowy tajny zapis? Czy w tym celu każdy pracownik musi otrzymać specjalne urządzenie?

„Urządzenie”, które generuje hasła jednorazowe, jest nazywane tokenem i występuje w wielu formach. Może być nim token sprzętowy, aplikacja mobilna, certyfikat czy dostarczana użytkownikom wiadomość SMS/e-mail. Rozwiązanie IAM obsługuje wiele rodzajów tokenów.

Wspomniałeś też o informacjach analitycznych. Czym one są?

Dzięki opartym na danych informacjom analitycznym firma może monitorować dzienniki. Może też sprawdzać, do jakich aplikacji, kiedy i w jaki sposób użytkownicy uzyskują dostęp w ciągu dnia, a także którzy to są użytkownicy. Informacje analityczne mają ogromne znaczenie dla bezpieczeństwa firmy i zgodności przyjętych rozwiązań z przepisami. Ponadto dział informatyki może na ich podstawie, wraz z upływem czasu, wprowadzać precyzyjne zmiany do reguł dostępu, opartych na scenariuszach.

Czy wiedzą Państwo, co zazwyczaj oznacza „tożsamość cyfrowa”?

Tożsamość cyfrowa to informacje, które w danym systemie reprezentują osobę, inny system, urządzenie lub aplikację.

Czy mogą Państwo podać często spotykany przykład tożsamości cyfrowej, którą pracownicy firmy posługują się na co dzień?

Zazwyczaj to nazwa użytkownika jest cyfrową tożsamością, jaką posługują się użytkownicy, żeby uzyskać dostęp do służbowej stacji roboczej lub innych systemów/aplikacji.

Zwykle nazwie użytkownika towarzyszy hasło. Czy rozumieją Państwo, do czego ono służy?

Hasło to tajna informacja, którą bezpiecznie przechowuje konkretny pracownik i która służy do sprawdzania jego tożsamości cyfrowej. Oznacza to, że każdy pracownik zna tajną zawartość tylko własnego hasła. Kiedy więc dany użytkownik podczas logowania wprowadza hasło do systemu (tzn. do służbowej stacji roboczej), przedstawia dowód, że jest tym, za kogo się podaje.

Czy wiedzą Państwo, że hasła pracowników stanowią czynnik o krytycznym znaczeniu dla ochrony ich tożsamości cyfrowej?

W świecie cyfrowym hasła potwierdzają tożsamość pracowników. Można je uznać za odpowiednik odręcznego podpisu w świecie fizycznym.

Czy wiedzą Państwo, czym różni się zarządzanie tożsamością od zarządzania dostępem?

Zarządzanie tożsamością to proces zarządzania tożsamością cyfrową osób (tzn. tworzenie, aktualizacja i usuwanie nazw użytkownika) w określonych systemach. Przykładem może być proces związany z tworzeniem nazwy użytkownika i hasła dla nowego pracownika. Zarządzanie dostępem to proces zarządzania regułami uwierzytelniania danej osoby i jej dostępu do wielu systemów. Można to zobrazować przykładem procesu, który wiąże się z definiowaniem następujących reguł zarządzania uwierzytelnianiem i dostępem:

  • John Pit (osoba fizyczna) może uzyskać dostęp do systemu Salesforce, używając swojej nazwy użytkownika (johnp) i hasła składającego się z ośmiu znaków.
  • Joan Kahn (osoba fizyczna) może uzyskać dostęp do systemu Office365, używając swojej nazwy użytkownika (JoanK), hasła składającego się z ośmiu znaków i hasła jednorazowego.

Jak chroniony jest dostęp pracowników do aplikacji i systemów chmurowych?

Coraz więcej przedsiębiorstw przenosi systemy i aplikacje do chmury. W efekcie pracownicy muszą uzyskiwać dostęp do takich rozwiązań bezpośrednio przez Internet. Nazwa użytkownika i hasło nie stanowią skutecznego mechanizmu ochrony dostępu, ponieważ mogą zostać łatwo ujawnione nieuprawnionym osobom. W takich przypadkach dodatkową warstwę zabezpieczeń zapewnia hasło tymczasowe (zwane jednorazowym), które ulega zmianie co 30 sekund.

Procedura codziennego uzyskiwania dostępu może okazać się uciążliwa dla pracowników, ponieważ muszą oni pamiętać wszystkie hasła i zarządzać hasłami jednorazowymi. Również zespoły informatyków mogą napotykać trudności, które wynikają z zarządzania wszystkimi hasłami i mechanizmami haseł jednorazowych wraz z odpowiednimi regułami uwierzytelniania i dostępu. W jaki sposób pracownicy zarządzają uwierzytelnianiem, a informatycy – regułami dostępu?

W niektórych przypadkach, kiedy firma korzysta z odpowiedniego rozwiązania do zarządzania tożsamością i dostępem (Identity and Access Management – IAM), zarówno użytkownicy, jak i administratorzy infrastruktury informatycznej mają do dyspozycji łatwą procedurę codziennego zarządzania tymi obszarami. W szczególności użytkownicy – używając swoich korporacyjnych danych uwierzytelniających i hasła jednorazowego – mogą uzyskać dostęp do pojedynczego, prostego w obsłudze i dobrze usystematyzowanego portalu WWW, aby wyświetlić listę wszystkich udostępnionych im aplikacji/systemów, a także przejść do dowolnego z nich poprzez zwykłe kliknięcie. Co więcej, administratorzy infrastruktury informatycznej mają dostęp do pojedynczego, łatwego w obsłudze portalu WWW, mogą konfigurować reguły zarządzania tożsamością i dostępem oraz mają wgląd w szczegółowe informacje analityczne.

Zazwyczaj rozwiązania IAM wymagają złożonej procedury instalacji i konfigurowania. Ponadto obejmują wiele komponentów, które informatycy muszą wdrożyć w obrębie firmy. Czy Państwa firma uruchomiła już lokalne rozwiązanie IAM i z niego korzysta?

Nowoczesne rozwiązania IAM są w pełni chmurowe. W niektórych zastosowaniach nie wymagają one żadnych wewnętrznych prac wdrożeniowych.

W jaki sposób pracownicy uzyskują dostęp do aplikacji i systemów potrzebnych w codziennej działalności?

Nowoczesne rozwiązania IAM oferują pojedynczy portal WWW, gdzie pracownicy mogą wyświetlić listę wszystkich udostępnionych im aplikacji/systemów, a także przejść do dowolnego z nich poprzez zwykłe kliknięcie. Integracja rozwiązania IAM ze wszystkimi tymi aplikacjami/systemami może być bardzo trudna, jeśli nie opiera się na otwartych standardach (takich jak SAML, OIDC i Radius) i agentach. Najbardziej wydajne rozwiązania IAM wykorzystują otwarte standardy, dzięki czemu zespoły informatyków mogą uniknąć żmudnych prac integracyjnych.

Zazwyczaj firmy składają się z wielu działów o różnych rolach, a każdy z nich wymaga innego poziomu dostępu do aplikacji i systemów. Jak radzą sobie Państwo z obsługą różnych poziomów kontroli dostępu, które są potrzebne w poszczególnych grupach pracowników?

Nowoczesne rozwiązania IAM można dostosowywać do struktury organizacyjnej, a oferowane reguły dostępu i uwierzytelniania są dopasowane do potrzeb biznesowych, stopnia poufności aplikacji i roli pracownika. Ponadto należy wnikliwie rozważyć, czy dane rozwiązanie IAM charakteryzuje się odpowiednią elastycznością – przykładowo:

  • menedżerowie ds. klienta powinni uzyskiwać dostęp do narzędzia SFDC, używając nazw użytkownika i haseł,
  • dyrektorzy ds. sprzedaży powinni uzyskiwać dostęp do narzędzia SFDC, używając nazwy użytkownika, hasła i hasła jednorazowego.

Jakie rodzaje tokenów hasła jednorazowego byłyby najwygodniejszym rozwiązaniem dla Państwa pracowników?

„Urządzenie”, które generuje hasła jednorazowe, jest nazywane tokenem. Nowoczesne rozwiązania IAM oferują szeroki zakres tokenów – w postaci sprzętu, aplikacji mobilnych, certyfikatów lub wiadomości SMS/e-mail. Wybór konkretnego rozwiązania zależy od preferencji użytkowników.

W jaki sposób monitorują Państwo działania pracowników związane z uzyskiwaniem dostępu?

Dzięki informacjom analitycznym, opartym na danych, firma może monitorować dzienniki. Może także sprawdzać, do jakich aplikacji, kiedy i w jaki sposób użytkownicy uzyskują dostęp w ciągu dnia, a także którzy to są użytkownicy. Informacje analityczne mają ogromne znaczenie dla bezpieczeństwa i zgodności przyjętych rozwiązań z przepisami. Ponadto dział informatyki może na ich podstawie wprowadzać – wraz z upływem czasu – precyzyjne zmiany do reguł dostępu opartych na scenariuszach.