Kada čujem da netko kaže da je "modernizirao" aplikaciju, to obično znači da su omogućili SAML ili OIDC. Možda oboje.
SsočiniAli evo što me brine: previše timova se tamo zaustavlja. primjenjuju SSO i pretpostavljaju da je težak dio završen.
Zašto "moderniziramo" ne znači uvijek ono što mislite
Kada mi ljudi kažu da je njihova aplikacija modernizirana, pitam što to zapravo znači.U mnogim slučajevima, to samo znači da aplikacija sada podržava SSO. Još uvijek koristi istu unutarnju logiku sesije.
Ono što se ovdje događa češće je nego što većina priznaje: moderniziramo prednja vrata i ostavljamo ostatak kuće nepromijenjenim.
I to je problem, jer identitet nije samo o prijavljivanju.
Što moderna autentikacija zapravo pruža
Moderni auth protokoli poput SAML-a i OIDC-a dizajnirani su kako bi riješili stvarne izazove – uglavnom prijavu i federaciju.
To je pravi napredak.I da, SSO kroz ove protokole poboljšava sigurnosni položaj.Ali nemojmo zbuniti udobnost s potpunosti.
Protokolovi su napredak - ali oni nisu konačna linija
Nemojte me pogriješiti, dodavanje podrške za OIDC ili SAML je napredak. Dobivate manje lozinki, manje trenja i dosljednije korisničko iskustvo. Ono što oni ne pružaju su druge kritične kontrole na koje smo se oslanjali sa sustavima Web Access Management (WAM): centralizirana kontrola sesije, izvršenje ovlaštenja, integracija direktora i dosljedno rukovanje politikama.
WAM sustavi nisu bili savršeni, ali su nam dali dosljedan sloj kontrole preko aplikacija.Kada smo ih uklonili bez zamjene tog sloja, izgubili smo nešto bitno - i vidio sam posljedice iz prve ruke.
Aplikacija nije moderna ako je identitet još uvijek hard-codiran
Vidio sam aplikacije koje izgledaju slatko na površini, ali još uvijek se oslanjaju na krhki identitet specifičan za programere.U tim slučajevima, dodavanje SSO-a ne rješava pravi rizik - nedosljedno ponašanje u aplikacijama i okruženjima.
Neki timovi još uvijek koriste zastarjele knjižnice sesija. Drugi tvrdo kodiraju pravila pristupa na načine koji reviziju čine noćnom morom.
Gdje se stvari raspadaju: upravljanje sjednicama
Jedna od najvećih slijepih točaka identiteta u moderniziranim okruženjima je upravljanje sjednicama.
S WAM-om se ponašanje sesije – vremenske prekide, obnove, opozive – rješavalo na jednom mjestu. Mogli biste primijeniti promjenu politike i znati da će se to odvijati u cijelom poduzeću. Danas je logika sesije ugrađena u svaku pojedinu aplikaciju, raspršena na različitim jezicima i okvirima.
Radila sam s timovima koji koriste Spring, Node.js, Rails – pa čak i unutar jednog okvira ne postoji jamstvo dosljednosti.
Nemogućnost provedbe dosljednih vremenskih razdoblja sesije ogroman je rizik ako ne mogu opozvati sesije kada se dogodi nešto sumnjivo.
Cijena decentralizirane logike sesije
Kada ispravljanje knjižnica sesija traje tjednima ili mjesecima, ili nitko ne zna gdje su definirani praznine, sigurnost postaje reaktivna u najboljem slučaju.
To nije teorijsko. vidio sam tvrtke koje se bore samo da bi pratile kako njihova rukovanja sjednicama čak i funkcionira.
To nije održivo - osobito za poduzeća koja se bave sukladnošću ili ciljevima nultog povjerenja.
Identity spread i autorizacijski drift
Isto što se događa s logikom sesije događa se i s autorizacijom.Kada je potisnuta u aplikacijski kod, postaje gotovo nemoguće upravljati centralizirano.
Pravila su zakopana u poslovnu logiku.Politike se kreću.I na kraju, nitko ne zna točno tko ima pristup čemu – ili zašto.Čak i aplikacije koje podržavaju modernu autentifikaciju mogu propasti ovdje, jer AuthZ nije dio protokola.To je potpuno zaseban izazov, a to je jedan koji mnogi timovi ne uzimaju u obzir u potpunosti.
Orkestriranje mora doći sljedeće
U ovom trenutku, mislim da je jasno: moderna autentifikacija je samo jedan komad zagonetke.
Prednosti korištenja orkestracije uključuju:
- Sposobnost otkazivanja sjednica odmah
- Primjena sesije i authZ politika dosljedno
- Upravljanje ključima i certima federacije s jednog mjesta
- Integracija s signalima rizika (kao što je CAEP) za potporu nultom povjerenju
- I sve to bez prepisivanja aplikacija ili mijenjanja pružatelja identiteta
Orkestriranjem se uklanja razlika između "moderne podrške protokolu" i stvarne modernizacije identiteta.
Centraliziranje ne znači odlazak unatrag
Ponekad ljudi pretpostavljaju da je vraćanje kontrole identiteta na jedno mjesto korak unatrag.
Riječ je o omogućavanju agilnosti. o davanju sigurnosnim timovima vidljivosti koja im je potrebna bez usporavanja programera. o upravljanju identitetom kao uslugom – a ne kao nizu hakova specifičnih za aplikacije.
Kada nemate orkestraciju, svaki identitet izazov postaje jednokratno rješenje.
Ako razgovaram sa sigurnosnim timom, obično ću postaviti pitanje poput ovoga: "Kako brzo možete opozvati korisničke sesije?Svaka aplikacija u vašem poduzećuUpravo sada?”
Ako je odgovor nešto manje od "odmah", postoji problem vrijedan rješavanja.
Sljedeći Članak Takeaway: ne zaustavljajte se na SSO
Ako se zaustavite na SSO-u, nedostaje vam kontrolni sloj koji čini da sve ostalo radi – sigurno, dosljedno i na skali.
Dakle, da, usvojite SAML. Izvadite OIDC. Ali ne dopustite da polje za prijavu bude krajnja linija.
Ako želite stvarnu sigurnost, orkestracija mora biti dio putovanja.
O autoru
Darren Platt je vodio inženjerske timove u Securant Technologies, Ping Identity, Simplified, RSA i Oracle. On je sada potpredsjednik za upravljanje proizvodom i inženjering u Strata Identity, gdje gradi prvu distribuiranu platformi za orhestriranje identiteta za distribuirana okruženja i doprinosi novom standardu za orhestriranje politika, IDQL i njegovom referentnom softveru Hexa.
