Przyszłość usług katalogowych jest bezdomenowa

Opublikowany: 2020-05-05

Zmieniają się podstawowe podejścia do bezpieczeństwa, zarządzania urządzeniami i kontroli dostępu.

Przez prawie 30 lat te kluczowe priorytety IT były nierozerwalnie związane z Active Directory i OpenLDAP, które były doskonałymi rozwiązaniami w erze domeny on-premises. Jednak niedawne przejście na pracę zdalną jasno pokazuje, że tradycyjne zabezpieczenia obwodowe i lokalna infrastruktura nie są już wystarczające do ochrony tożsamości użytkowników organizacji i poufnych danych w chmurze.

Aby lepiej zarządzać nowoczesnymi środowiskami pracy, musimy na nowo wyobrazić sobie poszczególne funkcje usługi katalogowej i oddzielić te funkcje od przestarzałej koncepcji przewodowej domeny z zamkiem i fosą. W dzisiejszych czasach najważniejsze jest zabezpieczenie użytkownika i urządzenia bez względu na to, gdzie się znajdują.

Przyszłość usług katalogowych jest więc bezdomenowa. Oto bardziej szczegółowe spojrzenie na to, jak dotarliśmy do tego miejsca, jak przedsiębiorstwo bezdomenowe wygląda w praktyce i jakie kroki mogą podjąć organizacje, aby zmodernizować swoją infrastrukturę IAM.

Nowe spojrzenie na usługi katalogowe i koncepcja domeny

Koncepcja domeny, jaką znamy, została zasadniczo zaprojektowana w latach 90. XX wieku i była doskonałym rozwiązaniem do bezpiecznego zarządzania użytkownikami i komputerami w ówczesnych przewodowych środowiskach biurowych. Podczas gdy większość innych obszarów IT uległa całkowitej transformacji od tego czasu, model ten nadal stanowi podstawę dzisiejszego podejścia większości organizacji do zarządzania tożsamością i dostępem.

Wielu specjalistów IT uważa tę domenę za pewnik i założyło, że następnym logicznym krokiem jest dostosowanie i rozszerzenie jej na erę chmury poprzez dodanie dostawców jednokrotnego logowania (SSO) aplikacji internetowych i innych mostów tożsamości. Jednak bardziej praktycznym podejściem może być spojrzenie wstecz na podstawowe problemy, które domena początkowo miała rozwiązać, podjęcie decyzji, które z tych problemów są nadal aktualne i zbadanie nowych sposobów ich rozwiązania przy użyciu nowoczesnych innowacji.

Od połowy lat 90. do połowy 2000 r. ustawienia biurowe były bardzo różne. Robotnicy wchodzili do zakładów stacjonarnych za pomocą kart-kluczy lub rzeczywistych kluczy. Podeszli do swoich biurek i usiedli przed stacjonarnymi komputerami. Te komputery były połączone kablem Ethernet z jakimś wewnętrznym centrum danych lub szafą serwerową w fizycznym biurze. Z wnętrza tej centralnej lokalizacji kontroler domeny przyznał dostęp do zasobów IT w sieci lokalnej. Z kolei ta fizyczna sieć była chroniona przed atakami z zewnątrz przez zaporę ogniową oraz przez sam budynek w celu fizycznego dostępu.

W tamtym czasie ta konfiguracja była zasadniczo bezpieczna i prosta w zarządzaniu, a także zapewniała tak bezproblemową obsługę, że użytkownicy nie musieli zarządzać wieloma hasłami ani myśleć o procesach autoryzacji i uwierzytelniania zachodzących za kulisami. Środowiska były jednorodne, z wieżą komputerową z programami Windows i Microsoft na każdej stacji roboczej. Usługa Active Directory (AD) była tak dobrze dopasowana do tego typu środowiska, że ​​była w stanie zapewnić użytkownikom prawdopodobnie pierwsze doświadczenie jednokrotnego logowania (SSO): pojedynczy zestaw poświadczeń umożliwiający dostęp do zasobów informatycznych systemu Windows za pośrednictwem jedno logowanie do systemu.

Teraz przewiń do teraźniejszości i zburz wszystkie ściany tego budynku. Dział IT dążył do elastyczności poza biurem, którą umożliwia technologia chmury i szeroko dostępny szybki bezprzewodowy internet. Zamiast stacjonarnych komputerów z wieżami i monitorami lampowymi, pracownicy mają teraz laptopy i inne urządzenia, które mogą zabrać ze sobą niemal wszędzie, połączyć się z Internetem i rozpocząć pracę. Tak w skrócie wygląda przedsiębiorstwo bez domeny i taka jest nasza obecna rzeczywistość.

mężczyzna

Ale w świecie, w którym tak wiele pracy dzieje się poza domeną, działy IT są zmuszone do ponownej oceny wyzwań, z którymi kiedyś samodzielnie radziła sobie Active Directory.

Współczesne wady modelu domeny

Usługa Active Directory miała trudności z adaptacją i integracją z nowoczesnymi zasobami w chmurze i systemami operacyjnymi innymi niż Windows, a model bezpieczeństwa obwodowego, dla którego został zaprojektowany, nie wystarcza do ochrony pracowników zdalnych.

Pojawia się więc pytanie, jak przetłumaczyć scentralizowany przepływ administracyjny i proste, bezpieczne środowisko użytkownika, które kiedyś zapewniało AD, na nowoczesne środowisko, które obejmuje systemy Mac i Linux, aplikacje internetowe, serwery w chmurze i sieci zdalne, i może, ale nie musi, nadal mieć włączone -prem infrastruktury również. Użytkownicy muszą łączyć się ze swoimi zasobami IT przy minimalnym tarciu niezależnie od miejsca pracy, a administratorzy IT muszą mieć pewność, że tożsamości użytkowników i zastrzeżone dane są chronione przed atakami.

Problem polega na tym, że dział IT nie ma prawie takiego poziomu kontroli nad nowoczesnymi tożsamościami użytkowników, jaki miałby w konwencjonalnym środowisku domeny AD. Aplikacje przeszły ze starszej architektury jednorazowo instalowanej lokalnie do modelu subskrypcji opartego na chmurze. Niektóre aplikacje są nadal instalowane lokalnie, a tożsamości i konfiguracje są obsługiwane w chmurze za pośrednictwem przeglądarki internetowej.

Pozostawieni do zarządzania własnymi tożsamościami użytkownicy otrzymują dziesiątki – jeśli nie setki – haseł i stają przed pokusą zignorowania wytycznych dotyczących bezpieczeństwa i udostępniania lub ponownego wykorzystywania słabych haseł.

Użytkownicy mogą również ulec pokusie tworzenia własnych kont dla nowych aplikacji według własnego uznania, bez zgody lub regulacji IT. Ta cienka informatyka stanowi niepotrzebne zagrożenie bezpieczeństwa dla organizacji. Nawet tożsamości zarządzane przez dział IT mogą istnieć we własnych silosach, przy czym każda osobna tożsamość wymaga osobnego ręcznego procesu aprowizacji i wyrejestrowania.

Nie ma jednej, centralnej tożsamości, analogicznej do tożsamości AD z przeszłości. Administratorzy potrzebują nowego sposobu zabezpieczania połączeń, bezpiecznego przechowywania wszystkiego pod kontrolą działu IT, spełniania podstawowych zasad bezpieczeństwa i zgodności oraz przygotowania urządzeń do pracy zdalnej.

Jeśli chodzi o systemy, systemy MacBook i Linux są obecnie powszechne. Tam, gdzie doświadczeni administratorzy Microsoftu kiedyś opierali się wprowadzeniu systemów Mac do pracy, teraz standardową praktyką jest przystosowanie tych systemów. W tradycyjnej domenie Active Directory, zarządzanie systemami Mac i Linux nie byłoby tak samo płynne i bezpieczne bez dodania innych rozwiązań punktowych poza AD, takich jak narzędzie do zarządzania systemem lub nawet MDM.

ludzie siedzący na komputerach


Środowiska domenowe zbudowane wokół OpenLDAP nie prezentują się dużo lepiej: domeny i serwery LDAP zarządzają przede wszystkim tożsamościami, hasłami, grupami i jednostkami organizacyjnymi, ale często brakuje im zarządzania systemem, egzekwowania zasad bezpieczeństwa i możliwości integracji aplikacji w chmurze. Zasoby IT przeszły od używania LDAP jako preferowanego protokołu uwierzytelniania do korzystania z nowoczesnych standardów, takich jak SAML, SCIM, OAuth, OIDC i innych. Starsze środowiska LDAP wymagają również wysokiego poziomu wiedzy specjalistycznej w zakresie konfiguracji i konserwacji.

Logicznym sposobem na wypełnienie powyższych luk w nadzorze IT jest wdrożenie nowoczesnej architektury bezdomenowej.

Co tak naprawdę oznacza domainless w praktyce?

Perspektywa przejścia bez domeny może wydawać się nieco przerażająca dla doświadczonych administratorów, ale prawidłowo skonfigurowane środowisko bez domeny może być znacznie bezpieczniejsze niż tradycyjna konfiguracja domeny w dzisiejszym środowisku IT. W środowisku bezdomenowym stan zabezpieczeń organizacji obejmuje każdego indywidualnego użytkownika, jego system Mac, Windows lub Linux oraz zasoby, do których muszą mieć dostęp, niezależnie od lokalizacji każdego z tych składników.

Każdy zasób IT ma teraz swój wąski obwód. Oznacza to, że po jednokrotnym uwierzytelnieniu, zamiast funkcjonować zasadniczo niezabezpieczone w obrębie wzmocnionego większego obwodu, tożsamości i prawa dostępu są stale sprawdzane i weryfikowane. Użytkownicy uzyskują dostęp do swoich zasobów bezpośrednio przez standardowe połączenie internetowe, zamiast routingu przez domenę w celu uwierzytelnienia. A zamiast kontrolera domeny usługa katalogowa w chmurze obsługuje zarządzanie dostępem, uwierzytelnianie użytkowników i egzekwowanie zabezpieczeń.

To właśnie koncepcja usługi katalogowej w chmurze sprawia, że ​​przedsiębiorstwo bezdomenowe staje się w praktyce osiągalne. Ale mimo że tak wiele innych aspektów IT zostało skutecznie przeniesionych do chmury, wielu administratorów ma zastrzeżenia do wdrożenia pełnego spektrum usług katalogowych w chmurze.

W większości dzieje się tak dlatego, że sama idea usługi katalogowej jest nierozerwalnie związana z Active Directory – istniejące narzędzie zastępuje pojedyncze problemy, które kiedyś rozwiązało. A aspekt bezpieczeństwa domeny jest bardziej intuicyjny: zapory ogniowe i zamki do drzwi są znajome i dają nam poczucie kontroli. Wydaje się logiczne, że rezygnacja z domeny oznaczałaby zwiększenie ekspozycji na ataki i zmniejszenie kontroli nad bezpieczeństwem.

Ale prawda jest taka, że ​​nawet przy zastosowaniu takich środków, jak zapory ogniowe, wykrywanie sieci oraz wykrywanie i reagowanie na punkty końcowe, organizacje wciąż są atakowane. Po każdym nowym udanym ataku, który trafi do cyklu wiadomości, społeczność IT ponownie koncentruje się na tym, jak wymusić lepszą, silniejszą wersję tego samego podejścia do bezpieczeństwa. Najwyraźniej stary sposób robienia rzeczy nie działa. Nadszedł czas na całkowicie nowe podejście skoncentrowane na chmurze.

Podstawowe funkcje usługi katalogowej w chmurze

Wyrażenie usługa katalogowa w chmurze jest używane do opisania różnych rozwiązań, które luźno pasują do kategorii IAM, ale trudno jest określić, co tak naprawdę oznacza to wyrażenie od dostawcy do dostawcy.

Różne rozwiązania katalogów w chmurze rzadko oferują porównywalną funkcjonalność i prawie żadne z nich nie powiela pełnego zakresu oryginalnych funkcji zarządzania systemem, uwierzytelniania i kontroli dostępu AD jako głównego dostawcy tożsamości organizacji. Ale właśnie to musi zrobić usługa katalogowa w chmurze, aby obsługiwać i zabezpieczać nowoczesną architekturę bezdomenową.

usługi katalogowe w chmurze

W rzeczywistości opłacalna usługa katalogowa w chmurze powinna wykraczać poza pierwotny zakres AD, zarządzając dostępem do aplikacji innych firm i systemów operacyjnych innych niż Windows z jednej platformy.

To rozróżnienie jest ważne przy porównywaniu prawdziwej usługi katalogowej w chmurze z platformą logowania jednokrotnego aplikacji internetowej, która daje użytkownikom jedną tożsamość umożliwiającą dostęp do ich aplikacji SaaS, ale może nie być w stanie zarządzać dostępem do urządzeń, poziomami bezpieczeństwa ani uwierzytelnianiem użytkowników w starszych lub lokalnych zasobów przy użyciu preferowanych protokołów authN. W tym sensie logowanie jednokrotne oparte na SAML jest tylko jednym składnikiem usługi katalogowej w chmurze; warunki nie są wymienne.

Zamiast tworzyć translację jeden-do-jednego ustalonego modelu domeny AD w chmurze, odpowiednia usługa katalogowa w chmurze dzieli funkcje AD na części składowe i na nowo przedstawia każdą z tych części. Jeśli potrafimy oddzielić poszczególne problemy od rozwiązania, które uważamy za oczywiste, możemy znaleźć nowe sposoby ich rozwiązania.

Następujące podstawowe funkcje są niezbędne dla usługi katalogowej w chmurze stworzonej dla przedsiębiorstwa bezdomenowego:

  • Pojedyncza, bezpieczna tożsamość użytkownika umożliwiająca dostęp do urządzeń, aplikacji, sieci Wi-Fi/VPN, serwerów i infrastruktury deweloperskiej, zarówno lokalnie, jak i w chmurze, niezależnie od dostawcy
  • Możliwość integracji i konsolidacji tożsamości użytkowników z innych usług, w tym G Suite, Office 365, AWS, AD/Azure i systemów kadrowo-płacowych
  • Możliwość automatycznego udostępniania i wyrejestrowywania użytkowników
  • Zdalne zarządzanie systemem z kontrolą zasad podobną do GPO w systemach Mac, Windows i Linux oraz szczegółowe raportowanie stanu i atrybutów systemu
  • Uwierzytelnianie wieloskładnikowe (MFA) przy logowaniu do systemów Mac, Windows i Linux oraz dostęp do praktycznie wszystkich innych zasobów IT, a także możliwość zarządzania kluczami SSH
  • Elastyczna i zautomatyzowana administracja za pomocą skryptów, API lub PowerShell
  • Szczegółowe rejestrowanie danych i zdarzeń w celu wsparcia potrzeb audytu i zgodności

Wiele błędów bezpieczeństwa nie wynika z całkowitego braku któregokolwiek z powyższych składników, ale z niemożności ich jednolitego zastosowania, egzekwowania i aktualizacji w całej organizacji. Mając to na uwadze, wartość scentralizowanej usługi katalogowej w chmurze staje się jasna.

Klucze do pozbycia się domeny: zaufanie do urządzeń i MFA

Chociaż wiele rozwiązań chmurowych IAM jest całkowicie opartych na przeglądarce, brakuje im klucza do nowoczesnych zabezpieczeń bezdomenowych: urządzenia. Użytkownicy nadal potrzebują fizycznej bramy do swojej pracy, niezależnie od tego, czy jest to laptop, tablet czy smartfon. Duża część ciągłej weryfikacji wymaganej do zabezpieczenia środowiska bezdomenowego powinna być obsługiwana przez urządzenie przy użyciu struktury, którą możemy nazwać zaufaniem urządzenia .

Pomysł polega na tym, że użytkownik loguje się do urządzenia raz, używając kombinacji hasła lub poświadczeń bezhasłowych oraz MFA, a następnie uzyskuje bezpieczny dostęp do wszystkich swoich zasobów IT. Każda transakcja jest zabezpieczona i szyfrowana na poziomie atomowym, dzięki czemu praca może być bezpiecznie prowadzona przez standardowe połączenie internetowe.

Doświadczenie użytkownika jest podobne do logowania jednokrotnego przy logowaniu do komputera stacjonarnego w domenie AD z końca lat 90. / początku połowy 2000 r., ale to, co dzieje się za kulisami, jest znacznie bardziej złożone, a zakres dostępnych zasobów IT jest Dużo lepszy.

mfa

Aby usługa katalogowa w chmurze mogła ustanowić zaufaną relację z urządzeniem, kilka kryteriów musi być spełnionych i stale potwierdzanych. Kryteria te ułatwiają sprawdzenie, czy:

  • Właściwy użytkownik uzyskuje dostęp do urządzenia, a ten użytkownik jest tym, za kogo się podaje
  • Właściwe urządzenie prosi o dostęp
  • Dostęp jest wymagany z właściwej lokalizacji
  • Wymuszane są odpowiednie uprawnienia dla użytkownika/urządzenia w ramach danego zasobu

W tym miejscu koncepcja usługi MFA wykracza poza środki skierowane do użytkownika, takie jak tokeny TOTP i klucze bezpieczeństwa WebAuthn. Powyższe wymagania można potwierdzić między urządzeniem a usługą katalogową w chmurze, ustanawiając trzeci, czwarty, piąty i więcej czynników uwierzytelniania, których wspólna replikacja byłaby praktycznie niemożliwa dla atakującego.

Pomysł naruszenia sieci jest radykalnie zmieniony przez powtarzające się uwierzytelnianie wieloskładnikowe: nie ma już niezabezpieczonego obszaru do przemierzenia podczas otwartej sesji po zaledwie jednym początkowym uwierzytelnieniu. Dzieje się tak, ponieważ w modelu bezdomenowym bezpieczeństwo i kontrola dostępu są skuteczne na każdym poziomie, a nie tylko na poziomie sieci. Tylko właściwa osoba, z odpowiednim komputerem, mająca dostęp z właściwej lokalizacji z odpowiednimi uprawnieniami, może uzyskać dostęp do danych i aplikacji.

Usługa katalogowa w chmurze buduje zaufanie do urządzeń dzięki połączeniu zarządzania systemem podobnego do zasad GPO, oprogramowania opartego na zasadzie najmniejszych uprawnień oraz szyfrowania wszystkich danych przesyłanych i przechowywanych. Innym sposobem myślenia o tym podejściu jest kontekst bezpieczeństwa z zerowym zaufaniem .

Bezpieczeństwo zero-trust w praktyce

Bezpieczeństwo typu zero-trust oznacza, że ​​usługa katalogowa obciążona uwierzytelnianiem nigdy nie przyjmuje za pewnik legalności użytkownika, urządzenia, aplikacji lub innego zasobu IT. Osiąga się to poprzez zabezpieczenie następujących czterech obszarów: pracowników, systemów, aplikacji i sieci.

Pracownicy

Istnieje system sprawdzający, czy rzeczywiście są tym, za kogo się podają, potwierdzając ich hasło (coś, co znają) i token MFA (coś, co mają) w bazie danych katalogu, która służy jako autorytatywne źródło prawdy.

Systemy

System, prawdopodobnie komputer wydany przez firmę, używany przez zweryfikowaną osobę w celu uzyskania dostępu do zasobów IT, musi być czysty, a osoba ta musi mieć prawo dostępu do tego komputera. W praktyce oznacza to pewien mechanizm zapewniający, że maszyna jest znana, zasady i ustawienia wymuszają standardy bezpieczeństwa oraz wysoki stopień pewności, że użytkownik jest tym, za kogo się podaje. Oprogramowanie zabezpieczające jest sprawdzane i aktualizowane. Telemetria systemu pomaga zapewnić widoczność, że sama maszyna nie jest zagrożona.

Aplikacje

Bardzo ważne jest, aby dostęp do aplikacji miały tylko właściwe osoby w zaufanych systemach. Logicznym rozszerzeniem powyższego jest więc zweryfikowanie, czy użytkownik i komputer mają prawa do aplikacji i sieci, w której jest aplikacja, oraz weryfikacja bezpieczeństwa tej sieci. W tym miejscu VPN może czasami nadal odgrywać kluczową rolę w przedsiębiorstwie bezdomenowym, jako bezpieczny tunel do aplikacji lub zasobu.

Sieć

Niezależnie od sieci, w której znajduje się użytkownik, powinna być jak najbardziej bezpieczna, ale nawet jeśli nie jest całkowicie bezpieczna, użytkownik może utworzyć bezpieczną enklawę w tej sieci za pomocą VPN. Ponadto sieci można zabezpieczyć za pomocą dodatkowych środków, takich jak MFA, a nawet segmentacja sieci VLAN.

Pierwsze kroki w kierunku wdrożenia architektury bezdomenowej

Koncepcja architektury bezdomenowej, którą umożliwia usługa katalogowa w chmurze i zabezpieczenia typu zero zaufania, nie jest czysto filozoficzną ani odległą aspiracją na przyszłość: jest już tutaj, a zespoły IT mogą zacząć ją wdrażać od razu, całkowicie lub w stopniowym, stopniowym podejściu dostosowanym do ich istniejącej infrastruktury.

W przypadku organizacji, które są głęboko zainwestowane w działającą domenę AD, usługa katalogowa w chmurze może otaczać instancję AD, zapewniając wiele korzyści modelu bezdomenowego i służąc jako odskocznia do modelu opartego na całej chmurze.

Silna usługa katalogowa w chmurze będzie mogła działać samodzielnie jako podstawowy dostawca tożsamości, więc nawet organizacje, które nie są gotowe na 100% bezdomenową, mają teraz możliwość bezproblemowego przejścia z AD, gdy ta migracja ma sens.

Jeśli chcesz dowiedzieć się więcej, zapoznaj się z informacjami o usługach katalogowych w chmurze w G2.