Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Warunkowość

Data publikacji: 29-04-2021 Autor: Michał Jaworski

Niemal każdy z nas stał na lotnisku w kolejce do kontroli bezpieczeństwa. Wyciągał klucze, zdejmował pasek i buty. Trzeba było otworzyć, a czasem włączyć komputer. Zapomniana butelka z wodą uruchamiała interwencję kilku ludzi. Wszyscy, bez wyjątku, przechodzili tę samą procedurę.

 

Jeszcze w latach 70. ubiegłego wieku zawartością kieszeni i bagaży zainteresowani byli co najwyżej celnicy. Plaga porwań samolotów spowodowała wprowadzenie kontroli, bramek i wykrywaczy metalu. Choć było to uciążliwe, to dotyczyło niewielu, bo latanie było ciągle domeną ludzi zamożnych i biznesu, a ówczesne budynki lotniska były niewielkie. W następnych dziesięcioleciach pojawiła się masowa turystyka, czartery, oferty last minute i tanie linie. Samoloty powiększały się, a ruch lotniczy przybierał na sile. Cała procedura kontrolna – pomimo usprawnień i lepszych narzędzi – stała się uciążliwą częścią każdej podróży. Czy to czegoś nie przypomina? Tak, naturalnie! Uwierzytelnienie bazujące na zasadzie login/hasło było świetne w czasach, gdy nieliczni gentlemani zajmowali się IT. Zasady zmiany hasła – jego odpowiednia długość i wymaganie stosowania nietypowych znaków – były jak poprawa jakości paszportu sprawdzanego na lotnisku. Doskonałość wykonania dokumentu identyfikacyjnego miała zapewnić bezpieczeństwo systemu. Procedury kontroli bezpieczeństwa pojawiły się jak drugi składnik uwierzytelnienia tożsamości. Przeszedłeś weryfikację paszportu, ale musimy sprawdzić, czy na pewno twoje zamiary dotyczą tylko podróży. Butelka z wodą, topiony serek, pilniczek do paznokci czy zbyt duże perfumy kwalifikują cię do grona potencjalnych przestępców. Będziesz natychmiast i z całą surowością ukarany. Bardzo to wszystko dobrze działa, dopóki sprawdzanych nie ma zbyt wielu. Gdy liczba przypadków do sprawdzenia robi się duża, nie działa to dobrze ani na lotniskach (zwłaszcza przy przesiadkach), ani w informatyce. Każde lotnisko ma swoją maksymalną pojemność – tu kiedyś problem osiągnie maksimum. W IT możemy być pewni, że będzie więcej użytkowników, więcej urządzeń, więcej aplikacji i więcej danych. Wszyscy oni będą musieli podlegać kontroli.

Oczywiście odpowiedzią jest warunkowość. Na początku bazowała na prostych, sztywnych regułach ustalanych przez administratorów. Kiedy liczba reguł zaczynała niepokojąco rosnąć, zaczęto wprowadzać wspierające narzędzia. Dzisiaj jednak w tle będzie już sztuczna inteligencja. Jeżeli codziennie w dni powszednie o siódmej rano ze stacjonarnego komputera z zablokowanymi portami do systemu loguje się z kanciapy magazynier Kazimierz – to mechaniczne wprowadzanie wieloskładnikowego uwierzytelnienia będzie czystą szykaną. Jeśli jednak Kazimierz zaloguje się z kawiarni w Pernambuco, to warto byłoby uruchomić inną ścieżkę weryfikacji. Podobnie trzeba reagować, jeśli pojawi się dziwne zachowanie jakiejś aplikacji, jeśli szerszym niż zwykle strumieniem zaczną płynąć dane, jeśli niespodziewanie na podłączonym urządzeniu objawi się soft, którego tam być nie powinno. Oczywiście taki system weryfikacji nie będzie do końca skuteczny, jeżeli nie będą mu towarzyszyły inne narzędzia: brak stałych uprawnień i tylko na czas wykonania konkretnego zadania; udzielanie tylko takich uprawnień, jakie są niezbędne; narzędzia do klasyfikacji danych; narzędzia do sprawdzania i blokowania informacji przychodzącej; narzędzia do sprawdzania i blokowania – warunkowego! – informacji wychodzącej; narzędzia do rozpoznawania danych osobowych… Krok po kroku od cyberbezpieczeństwa po staropolsku („zmieniane codziennie hasło powinno mieć co najmniej 34 litery, w tym siedem dużych oraz wykrzyknik”), poprzez różne narzędzia warunkowości, zbliżamy się do zasad Zero Trust.

Na koniec dwie refleksje. Czasami pada pytanie – zwłaszcza od osób decyzyjnych spoza IT – czym takie oprogramowanie biurowe w chmurze różni się od tego, którego używają od lat. Co takiego lepszego jest w takim Wordzie, czy ten Excel lepiej liczy, no co, ha, ha, ha? I teraz staje przede mną wielkie zadanie, by to wszystko, o czym napisałem powyżej, opowiedzieć w przystępny sposób. To wcale nie jest łatwe, a dotyczy wszystkich systemów, nie tylko biurowych i dyskusji chmura czy nie-chmura. Jest jeszcze ta druga sytuacja. Jak wytłumaczyć firmowemu prawnikowi, że chcemy zastosować np. warunkowe uwierzytelnienie i będzie to bezpieczniejsze niż staropolskie sztywne reguły? Omówienie Zero Trust będzie jeszcze trudniejsze. Najlepiej byłoby to zrobić na zatłoczonym lotnisku, w długiej kolejce do kontroli bezpieczeństwa…

 

autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Od ponad 26 lat pracuje w polskim oddziale firmy Microsoft.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"