Кризис идентификации (управления) (часть 5): будущее управления идентификацией — идентификация в облаке
Введение
В частях с 1 по 4 этой серии мы рассмотрели эволюцию концепции «идентификации», неправильные представления об идентичности в мире ИТ и некоторые современные решения для управления идентификацией с акцентом на цифровые подписи. Мы также рассмотрели критерии выбора комплексного решения по управлению идентификацией для организации или федеративного решения по управлению идентификацией. В этой части 5 мы обсудим будущее управления идентификацией, уделив особое внимание влиянию облака на IDM.
Официальные онлайн-идентификаторы
Еще в части 1 мы обсуждали проблему достоверности, когда речь идет об идентификационных данных. Если сторона, выдающая учетные данные, не заслуживает доверия, эти учетные данные не имеют смысла. Сегодня онлайн-идентификация проверяется в основном сертификатами, которые выдаются коммерческими организациями частного сектора, такими как VeriSign, Comodo и многими другими. Но кто наблюдает за наблюдателями? Новые поставщики SSL-сертификатов для веб-сайтов должны проходить ежегодные проверки безопасности, подобные тем, которые проводятся в соответствии с программой WebTrust для центров сертификации. Рынок персональных цифровых сертификатов гораздо более фрагментирован.
Само наличие цифрового сертификата не гарантирует, что учетные данные удостоверения действительны. Некоторые сертификаты являются самоподписанными, что означает, что человек, выдавший сертификат, также ручается за его легитимность — очевидно, что в этой системе не так много сдержек и противовесов. С другой стороны, самоподписывающиеся сертификаты уменьшают поверхность атаки, потому что вы не доверяете свой закрытый ключ третьей стороне (центру сертификации). Самоподписанные сертификаты можно создавать с помощью различных программных инструментов, включая makecert.exe от Microsoft, Adobe Reader, Keychain от Apple и другие.
В офлайн-мире наибольшее доверие обычно уделяется удостоверениям личности, выдаваемым правительством. Таким образом, некоторые считают выданное государством сетевое удостоверение личности наиболее надежным средством проверки личности в сети, и в прошлом году Белый дом опубликовал отчет, в котором излагается его стратегия по созданию системы надежных удостоверений личности в киберпространстве. Существует множество практических и политических вопросов, связанных с созданием того, что фактически могло бы стать цифровым национальным удостоверением личности. Однако, похоже, правительство неуклонно движется в этом направлении.
Вполне вероятно, что такая система будет добровольной – поначалу. История показывает, что со временем это изменится. В 1800-х водителям не требовалось иметь водительские права. В 1970-е годы от детей не требовалось иметь номера социального страхования. Сегодня оба находятся под мандатом правительства.
Но есть некоторые вопросы относительно того, как именно будет работать государственная система онлайн-идентификации. Будет ли он привязан к вашим водительским правам или государственному удостоверению личности? Но федеральное правительство не выдает эти документы (хотя с Законом о реальном удостоверении личности они взяли на себя больше полномочий в отношении процесса и установили стандарты, которым штаты должны будут соответствовать к 2013 году). Тогда он будет привязан к вашему паспорту? А что делать тем, у кого нет паспорта? По статистике на январь прошлого года менее 40% американцев имеют паспорта. Будет ли он привязан к вашему номеру социального страхования? Вероятно, это уникальный идентификационный номер, который есть у большинства американцев.
Хотя номер социального страхования изначально был разработан только для целей отслеживания счетов отдельных лиц в рамках программы социального обеспечения, и на картах даже была пометка «Для целей социального обеспечения, а не для идентификации», вооруженные силы использовали его вместо служебных номеров. с 60-х (армия и ВВС) и 70-х (ВМФ и морская пехота). Этот номер теперь используется в некоторых штатах вместо отдельного номера водительского удостоверения. Банки, кредиторы и обслуживающие компании (например, кабельные, телефонные и энергетические компании) требуют от клиентов предоставления своих номеров социального страхования. Номер социального страхования используется кредитными бюро, страховыми компаниями, правоохранительными органами и почти всеми другими организациями для идентификации людей.
Эти вопросы важны, потому что, если онлайн-идентификатор является «автономной» формой идентификации, будет намного сложнее гарантировать, что одно лицо не получит несколько онлайн-идентификаторов или мошеннический онлайн-идентификатор, который связан с кем-то другим или с псевдонимом. Это свело бы на нет цель, для которой предназначены официальные удостоверения личности.
Если и когда будет решено множество проблем, связанных с выдачей официальных онлайн-идентификаторов, следующим вопросом станет то, как технологически они будут реализованы. Будет ли государственный центр сертификации проверять личность каждого человека и выдавать цифровые сертификаты на основе пар открытого и закрытого ключей? Будет ли незаконным использование какого-либо сертификата, кроме вашего официального государственного сертификата, для подписи документов, отправки электронной почты или ведения бизнеса в Интернете? Станет ли незаконным отправка сообщений, доступ к веб-сайтам или участие в онлайн-торговле без сертификата? Природа правительства состоит в том, чтобы постоянно расширять свою власть, поэтому, хотя сейчас эти сценарии могут показаться надуманными, вполне разумно предположить, что однажды все они могут отражать реальность.
Битва за пространство идентичности
Несмотря на стремление правительства к власти, винтики в массивной бюрократии вращаются медленно, поэтому мы, вероятно, еще долго не увидим повсеместного обязательного онлайн-удостоверения личности, выдаваемого государством (или, возможно, любого другого онлайн-удостоверения личности, выдаваемого государством). Между тем, технологические компании годами борются за право стать ведущими поставщиками удостоверений и постоянно расширяют охват своих собственных систем удостоверений, внедряя единый вход на различных сайтах и в различных службах.
Microsoft регулярно обновляет свой сервис, который первоначально назывался Microsoft Wallet, затем стал Passport, а теперь носит название Windows Live ID. Компания представляла Passport как сервис, который в конечном итоге будет охватывать все сайты электронной коммерции, а также собственные веб-сайты Microsoft, но его критиковали те, кто опасался, что его доступ к информации о клиентах создаст проблемы с конфиденциальностью. Когда-то ряд сайтов, не принадлежащих Microsoft, таких как eBay, использовали службу Microsoft Passport для входа в систему, но теперь она используется для входа на сайты и службы Microsoft, такие как MSDN/TechNet, Hotmail, Xbox Live, Zune Marketplace, Messenger и другие. Службы Windows Live.
Между тем, Google в какой-то степени включился в игру с идентификацией, связав вход в систему со своими многочисленными веб-сервисами. Ваша учетная запись Google используется для входа в Gmail, Google Voice, YouTube, Picasa, Google Docs, систему мобильных платежей Google Wallet, социальную сеть Google+ и другие. Компания подверглась критике за недавние изменения политики, которые теперь позволяют ей отслеживать пользователей в своих многочисленных продуктах и услугах и объединять информацию о пользователях из разных служб. Европейская комиссия предложила новые правила, направленные на предоставление пользователям возможности отказаться от такого отслеживания.
Facebook с его функцией «Подключиться» также превратился в поставщика удостоверений. Эта функция позволяет пользователям входить на другие веб-сайты за пределами Facebook, используя свои учетные записи Facebook.
Одна из проблем со всем этим заключается в том, что многие люди имеют более одной учетной записи Windows Live или Gmail, потому что им нужно несколько адресов электронной почты для разных целей (например, домашний, рабочий и «одноразовый» — адрес для входа на веб-сайты, для которых требуется один адрес электронной почты). но это может продать адреса спамерам). В случае с Windows Live я настроил несколько учетных записей, потому что хотел иметь два отдельных блога на сайте блогов Windows Live (хотя Microsoft с тех пор отказалась от этой попытки, и пользователи переместили наши блоги в WordPress). Даже с Facebook, чьи Условия обслуживания требуют, чтобы пользователи имели только одну учетную запись и использовали свои настоящие имена, многие люди нарушают это правило и имеют отдельные учетные записи для работы и развлечений.
Другая проблема заключается в том, что, поскольку каждая технологическая компания имеет отдельную службу идентификации для своих собственных (а некоторые выбирают и другие) сайтов и служб, ни у кого нет «одной сетевой идентичности, которая управляла бы ими всеми». Хотя это может быть хорошо с точки зрения конфиденциальности, это облегчает жизнь террористам, заурядным киберпреступникам, спамерам/мошенникам, сталкерам и другим лицам, которые хотят скрыть свою личность и/или выдать себя за кого-то в сети..
Мобильная революция и идентичность
Использование мобильных устройств в целом и смартфонов в частности резко возросло за последние несколько лет. По данным исследовательской компании Canalys, в 2011 году было поставлено 488 миллионов смартфонов — больше, чем количество ПК и планшетов (около 415 миллионов). Их цифры показывают, что это на 62,7 процента больше, чем в предыдущем году. По прогнозам аналитиков HIS Suppli, продажи смартфонов в 2011 году вырастут еще на 32% в 2012 году. В дело вступает даже Intel, объединившись с Lenovo и Motorola для создания телефона на базе процессора Atom.
Согласно исследованию Kantar Worldpanel ComTech, почти половина населения Великобритании в настоящее время владеет смартфонами. Прошлым летом исследователи Pew подсчитали, что 35% взрослых американцев владеют смартфонами. Так считают около 42 процентов всех владельцев сотовых телефонов.
Поскольку смартфоны находятся в руках стольких людей, и это число так быстро растет, логично рассмотреть возможность привязки личности пользователей к их мобильным устройствам. В то время как номера стационарных телефонов обычно использовались целыми семьями, мобильные телефоны, как правило, были более личными, и каждый член семьи имел свой собственный номер телефона. А с переносимостью номеров между операторами пользователи мобильных телефонов, как правило, сохраняют один и тот же номер, даже если они меняют устройство или поставщика.
Кроме того, мобильный телефон стал предметом, который большинство владельцев носят с собой повсюду, как ключи или кошельки. На самом деле прогнозируется, что в конечном итоге мобильный телефон заменит и то, и другое. Благодаря технологии Near Field Communications (NFC), которая уже внедряется в новейшие смартфоны, можно совершать платежи, просто поднося телефон к терминалу для совершения транзакции по кредитной карте. Физическая карта не требуется. NFC также может использоваться для электронных документов, удостоверяющих личность (вместо водительских прав или удостоверений личности), и может использоваться в качестве электронных карт-ключей для открывания дверей или даже, с соответствующей технологией, встроенной в транспортные средства, для запуска автомобилей.
Использование смартфонов для подтверждения личности создаст некоторые проблемы, которые необходимо будет решить. Очевидно, должны быть предусмотрены механизмы безопасности, чтобы преступники не могли использовать украденные телефоны для кражи личных данных и выдачи себя за владельцев телефонов. Для учетных данных потребуется надежное шифрование, а вход в систему по телефону должен быть защищен надежными паролями/ПИН-кодами или (предпочтительнее) двухфакторной аутентификацией (например, сканированием отпечатков пальцев).
Идентификация в облаке
Переход «в облако» — для всех, от пользователей домашних компьютеров до предприятий, — создает новые проблемы для управления идентификацией. Это также вызывает новую потребность в улучшенных решениях для онлайн-идентификации и фокусируется на них. В прошлом сетевая безопасность основывалась на границах безопасности, при этом все в пределах периметра локальной сети определялось как доверенное, а все, что за пределами этих периметров, считалось ненадежным. Брандмауэры на «границе» сети были назначенными часовыми, которые защищали этих пользователей и ресурсы внутри от тех, кто снаружи. С облачными вычислениями преимущество исчезает или, по крайней мере, становится расширяемым и гибким. Проблемы, связанные с идентификацией в облаке, настолько сложны, что существуют рабочие группы и конференции, посвященные именно этой теме.
Две технологии, которые должны определить будущее вычислений, — это облачные и мобильные вычисления, и эти две технологии естественным образом сливаются, поскольку пользователи все чаще получают доступ к облачным сервисам через мобильные устройства. Компании, использующие облачные службы, должны будут установить учетные данные корневого доверия с облачной службой. Организации по-прежнему хотят контролировать свои политики безопасности и должны иметь возможность связать их с облачными процессами, чтобы удостоверения и проверки подлинности сохранялись при сопоставлении облачных транзакций через границы инфраструктуры. Им требуется безопасность конечных точек для аутентификации пользователей, а также безопасность транзакций конечных точек мобильных сервисов.
Над решениями для облачной идентификации работают как аппаратные, так и программные компании; например, Intel Expressway Cloud Access 360. Любое такое решение должно быть совместимо с существующими федеративными стандартами (SAML, OAuth, Open ID) и обеспечивать возможность единого входа от клиента к облаку с мобильных устройств и ПК, подключенных как к домашним, так и к корпоративным сети. Мониторинг, аудит и применение политики являются важными соображениями.
Microsoft Windows Identity Foundation (WIF) — это SDK, который разработчики могут использовать при создании приложений с поддержкой идентификации для развертывания в облаке (а также локальных приложений). Он построен на основе служб федерации Active Directory и служб управления доступом Windows Azure, которые поддерживают OAuth 2.0. Также существует расширение WIF для SAML 2.0. WIF использует удостоверение на основе утверждений, то есть маркеры безопасности, выпущенные службой маркеров безопасности (STS), содержащие набор сведений о пользователе вместе с цифровой подписью. Идентификация на основе утверждений полагается на STS для аутентификации пользователя, а не на то, чтобы это делало приложение.
Независимо от конкретной реализации, многофакторная аутентификация сделает управление идентификацией в облаке намного более безопасным, независимо от того, осуществляется ли доступ к облаку со смартфонов (как обсуждалось выше), с ПК/ноутбуков, планшетов, киосков и общедоступных компьютеров, смарт-телевизоров, развлекательные консоли или более экзотические средства (носимые компьютеры, кухонная техника с выходом в Интернет и т. д.). Это, вероятно, в конечном итоге приведет к тому, что биометрия станет обычной формой идентификации.
Резюме
В этой серии из пяти частей я рассмотрел вопросы, связанные с концепцией идентичности, как в историческом плане, так и применительно к современным технологиям и миру, подключенному к Интернету. Идентичность — сложная тема, а технологические решения для управления идентификацией могут быть еще более сложными. Цель этой статьи — указать на тонкости работы с идентичностью и дать читателю обзор решений, доступных в настоящее время, и того, что может появиться в будущем.