Mezi hlavní letošní trendy v oblasti správy identit a řízení přístupů neboli IAM − Identity and Access Management − řadí analytici Gartneru nástup relevantních cloudových řešení, biometrickou autentizaci a rostoucí potřebu zahrnout do správy také totožnosti, které se nevážou k živým osobám. Poslední uvedené téma ošetřuje zejména zařízení internetu věcí, moduly v cloudových platformách nebo robotické automatizační systémy.

Cloudová cesta

Řešení kategorie IDaaS − Identity and access management as a Service bývají povětšinou nasazována v hybridním režimu. Rozšiřují možnosti stávajících implementací systémů pro správu přístupů. Jejich hlavní přednost představuje podle analytiků rychlost nasazení. I díky ní řešení IDaaS oceňují zejména organizace, které nepovažují provoz systémů pro správu identit a řízení přístupů za klíčovou součást svého byznysu. Vedle rychlosti implementace jim nabízejí také okamžitě dostupné funkcionality a podporu. Rostoucí zájem potvrzuje také Jiří Formáček, výkonný ředitel společnosti GreyCorbel: "V současnosti je trendem jednoznačně přesun identit do prostředí cloudových služeb s cílem přiblížit je aplikacím, které jsou v cloudovém prostředí provozovány. V této souvislosti se pro B2B spolupráci začíná prosazovat model 'bring your own identity'. V něm spolupracující organizace využívají identitu, kterou si uživatel služby přinese z domovské organizace, v níž se odehrává správa jejího životního cyklu."

Většina podniků si podle zjištění analytiků služby kategorie IDaaS pořizuje primárně pro řízení přístupů a pro tzv. odlehčené funkcionality v oblasti správy a administrace identit neboli IGA − Identity Governance and Administration. Ve druhém uvedeném případu jde typicky například o zřízení centrální autentizace neboli single sign-on. Podobná řešení obvykle velmi dobře spolupracují s vyspělejšími aplikacemi ve formě služby neboli SaaS a podporují i základní distribuci práv uživatelů v systémech provozovaných v režimu on-premise.

IDaaS

Do roku 2022 bude podle analytiků Gartneru 40 procent středních a velkých podniků využívat pro správu identit a řízení přístupů řešení kategorie IdaaS – Identity and access management as a Service.

Jeden pohled na tuzemskou realitu cloudových řešení IAM nabízí Martin Frühauf, bezpečnostní expert společnosti S&T CZ: "Firmy na českém trhu jsou v otázce využití cloudu konzervativní a totéž platí i v případě řešení pro správu identit a přístupů. Pokud podnik volí cloud, tak jen pro část funkcionalit. Vybere si některou komponentu, kterou provozuje v cloudu, například víceúrovňovou autorizaci."

Mírně odlišné postřehy z trhu prezentuje Stanislav Grünfeld, ředitel delivery ve společnosti AMI Praha: "I v České republice se stále častěji setkáváme s požadavkem na provozování identity managementu v cloudu. Většinou se jedná o využití cloudových služeb jako platformy pro běh produktu, ale prosazují se i čistě cloudové služby. Nejčastěji tyto požadavky přicházejí ze soukromého sektoru."

Cloudovou vlnu v oblasti IAM zachytila vedle nových poskytovatelů také většina tradičních dodavatelů on-premise systémů. Volitelně nyní nabízejí i řešení kategorie IDaaS, neboť poptávka po nich průběžně roste. Zvyšuje se jejich vyspělost, prohlubuje funkčnost a mnoha podnikovým zákazníkům cloudové služby vyhovují z čistě praktických důvodů. Obvykle se nechtějí jakkoli zatěžovat provozem a údržbou často zastaralých systémů pro správu identit a řízení přístupů.

Specifickou roli cloudových řešení IAM představuje Michal Hebeda, sales engineer ve společnosti Sophos: "Tak, jak se mění tradiční pojetí podnikových sítí a stále více se stírá rozdíl mezi vnitřním a vnějším prostředím, je nutné ta nejdůležitější řešení centralizovat, aby byla jednotná a dostupná všem uživatelům i zařízením. V případě centralizace hrají stále větší roli cloudová řešení, u kterých se výrobcům podařilo vyřešit otázky bezpečnosti."

Mobilní biometrie

Zájem organizací o biometrickou autentizaci roste, umožňuje jim snížit investice do jiných typů řešení, například hardwarových tokenů, a zvýšit uživatelský komfort. Mimo jiné se také zvyšuje dostupnost nativních biometrických autentizačních metod, adekvátně vybavených mobilních telefonů a specifických technologií, k nimž analytici řadí například funkci Windows Hello for Business.

Autentizační trendy v číslech

Do roku 2022 bude 40 procent středních a velkých podniků využívat pro správu identit a řízení přístupů řešení kategorie IDaaS – Identity and access management as a Service. Cloudová forma dokáže podle mínění analytiků společnosti Gartner naplnit většinu požadavků a potřeb organizací v této oblasti. V současnosti řešení IDaaS provozuje zhruba pět procent podniků.

Významně vzroste také podíl podnikových systémů, které v komplexnějším pojetí spravují identity pracovišť, aplikací a zařízení, stejně jako osob. V současnosti je využívá zhruba pět procent organizací, do tří let by dle analytiků mělo jít o 20 procent.

Podstatně větší roli v autentizaci pomocí biometrických prvků sehrají chytré mobilní telefony. Stanou se hojně využívanou vstupní branou k dalším zařízením a aplikacím. Do tří let pro tento účel nasadí mobilní aplikace 70 procent podniků, jež do autentizace zapojí biometrii. Dnes tak činí pět procent z nich.

Analytici společnosti Gartner předpokládají, že se řešení IDaaS stanou do dvou let dominantní formou nově nasazovaných systémů IGA – Identity Governance and Administration. 40 procent budoucích uživatelů z řad organizací je nasadí v podobě, která plně využívá cloudovou architekturu, 15 procent zvolí hostovaný režim. V současnosti se míra nových cloudových implementací řešení pro správu a administraci identit pohybuje u obou variant kolem pěti procent.

Analytici si rovněž všímají rostoucího zájmu o ověřování totožnosti, které se obejde zcela bez hesla. Vedle uživatelského komfortu tento přístup přináší i potenciálně vyšší míru zabezpečení.

Hlavní roli v mnoha nabídkách biometrické autentizace dnes hraje chytrý mobilní telefon. Díky jeho integrovaným senzorům a všeobecné dostupnosti jej lze využít minimálně jako snímací zařízení. Tím ovšem jeho potenciál nekončí. S pomocí vhodných aplikací lze z mobilního telefonu udělat autentizační nástroj, který uživateli zpřístupní požadovaná aktiva bez ohledu na zařízení, z něhož k nim chce přistupovat.

Metoda zvaná Phone as a Token nachází uplatnění v mnoha situacích, jež ošetřují potřeby zaměstnanců, partnerů nebo zákazníků. Slouží zejména jako prostředník vzdáleného přístupu k webům a aplikacím SaaS. Mimo jiné poskytuje jednorázová přístupová hesla nebo analogické ztotožnění označované termíny out of band či mobile push. Ve většině implementací ale stále slouží jako tzv. druhý faktor. První představuje tradiční heslo.

Integrace biometrických prvků a mobilního ztotožnění uživatele otevírá cestu k autentizaci bez hesel a dvoufaktorově. Její pionýrské nasazení se objevuje například v mobilních bankovnictvích. Další směr vývoje nabízí autentizační standard FIDO − Fast Identity Online. Lze jej využít jako alternativu k zasílání mobilních potvrzení či kódů.

Kombinaci biometrie a mobilních zařízení samozřejmě doprovází bezpečnostní obavy a úskalí spojená s ochranou osobních údajů. Její výhodu a současně nevýhodu představuje decentralizace uložených autentizačních dat. Řada implementací i díky tomu vyžaduje zapojení biometrických funkcí třetích stran, tj. ne nativních pro dané zařízení, například Apple Touch ID. Vedle vyšší míry kontroly a přizpůsobení je lze nasadit na různé platformy a typy přístrojů.

Neživé identity

Správa identit a řízení přístupů historicky ošetřovala status a relevantní oprávnění primárně lidských uživatelů. S rostoucí komplexností systémů a postupující automatizací se ale objevila potřeba ověřovat totožnosti i u neživých prvků systémů. Analytici společnosti Gartner ve své predikci vývoje pro letošní rok hovoří explicitně o čtyřech. Jde o robotické automaty, týmy DevOps, prvky v implementacích internetu věcí a o moduly užívané v prostředích PaaS a IaaS. Správa oprávnění u těchto skupin v určité podobě samozřejmě probíhá, obvykle jí ale chybí konzistence, koordinace a dohled.

Robotické automaty mají v organizacích zastat opakující se úlohy, jež doposud zajišťovali uživatelé. Jejich přístup k jednotlivým procesům a systémům ale musí minimálně podléhat kontrole. Robotické identity budou podobné servisním či technickým účtům s poměrně vysokým stupněm oprávnění. Správa jejich životního cyklu by měla probíhat odděleně od totožností běžných uživatelů. Oprávnění speciálních identit budou spravovat operátoři, ideálně s pomocí poměrně vyspělých nástrojů. Lze totiž předpokládat, že robotické automaty získají přístup do celé řady procesů a aplikací, často v nesčetných kombinacích.

Samostatnou kapitolu ve správě identit představuje řízení privilegovaných přístupů. Podle analytiků společnosti Gartner nezřídka doprovází činnost kombinovaných provozně-vývojových týmů neboli DevOps. Umožňuje jim standardizovat a zabezpečit správu autentizačních údajů pro osoby, služby a aplikace vývojových prostředí. Ve výsledku napomáhá v realizaci přístupu RAD − Rapid Application Delivery. Problém podle analytiků spočívá primárně v nejednotnosti procesů a využívaných nástrojů. Chyba je do jisté míry i na straně dodavatelů řešení PAM − Privileged Access Management, kteří své technologie neintegrují s nástroji pro týmy DevOps nebo vývojovými frameworky.

Projekty internetu věcí a provozních technologií v poslední době doprovází zvyšující se zájem uživatelů i provozovatelů o bezpečnost. Tradiční postupy pro správu identit a přístupů se v jejich případně z mnoha důvodů neaplikovaly. Autentizaci a zabezpečení komunikace často zabezpečují, i kvůli výpočetnímu výkonu, sběrné brány. Řada zařízení ale komunikuje s aplikacemi internetu věcí napřímo a nezřídka přenáší obsah, jenž má přímou vazbu na konkrétního zákazníka. Může jeho jménem v podstatě i jednat, například sdělovat údaje o spotřebě elektrické energie. Právě z těchto důvodů roste tlak na zavedení správy identit pro podobná zařízení.

Kontejnery a agilní infrastruktura využívaná v prostředích IaaS a PaaS pracuje s artefakty v podobě úložišť, komunikačních tras nebo služeb. Autentizace v nich je řízena prostřednictvím relativně složitých mechanismů dané platformy. Například v prostředí PaaS distribuují přístupy k dostupným službám tzv. oprávněné objekty. Udělují je konkrétním aplikačním kontejnerům nebo virtuálním strojům. Jejich identity mívají obvykle krátkou dobu životnosti. Přidělování přístupů a oprávnění se však odehrává mimo nástroje IAM, což může v mnoha situacích komplikovat dohled a kontrolu nad parametry daného provozního prostředí.

Správa identit a řízení přístupů koketuje s cloudem - ilustrační foto

Trendy českého trhu

Aktuální trendy tuzemského trhu komentuje Jiří Motejlek, manager identity governance ve společnosti Trask solutions: "V poslední době vnímáme znatelný posun od IDM řešení zaměřeným na potřeby IT oddělení k produktům orientovaným na potřeby managementu, bezpečnosti a auditu. Důraz je více než na automatizaci přidělování oprávnění kladen na pokročilou analýzu rizik, automatickou analýzu oprávnění, reporting nebo na efektivní zajištění principů Separation of Duty."

Širší pohled na trendy ve správě identit a přístupů nabízí Milan Janoušek, security business development manager ve společnosti Dimension Data: "Mezi technologické trendy jednoznačně patří bezpečnostní model 'Zero Trust', který ve své podstatě není nic zcela nového. Organizace se ho snaží v rostoucí míře adaptovat jako klíčový koncept bezpečnosti. Implementace tohoto modelu zahrnuje sadu technických a procesních opatření zaměřených právě na zajištění bezpečnosti identit, které vytváří ucelený ekosystém. Dalším důležitým aspektem tohoto konceptu je zachování přijatelného uživatelského komfortu a současně zavedení vysoké úrovně zabezpečení IT infrastruktury organizací. Přechodem firem do multicloudových prostředí se tento model ve své podstatě stává jakýmsi standardem, který je potřeba kontinuálně zavádět a rozvíjet."

 
Článek byl publikován v magazínu ICT revue.

Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.

  • Veškerý obsah HN.cz
  • Možnost kdykoliv zrušit
  • Odemykejte obsah pro přátele
  • Ukládejte si články na později
  • Všechny články v audioverzi + playlist