ניהול זהות וגישה בענן

בשבוע שעבר התבקשתי להעביר מצגת בקבוצת המשתמשים של IBM Tivoli בנושא ניהול זהות וגישה בענן לעובדי IBM, שותפים עסקיים של IBM ולקוחות מוצרי IBM Tivoli Security. עד מהרה הבנתי שהבעיה הראשונה שלי הולכת להיות הגדרת הענן. לא כל מי שדיברתי איתו לפני המצגת ידע מה זה הענן!

אז מה זה הענן?

נדמה שהענן הוא מונח שמוכר יותר מדי בימינו ועבור אנשים רבים הוא רק מייצג את כל מה שקורה באינטרנט. אחרים, לעומת זאת, קצת יותר מחמירים עם ההגדרה שלהם:

“בשבילי, מחשוב ענן הוא הרחבה מסחרית של מחשוב עזר המאפשר פריסה ניתנת להרחבה, אלסטית וזמינה ביותר של יישומי תוכנה תוך מזעור רמת האינטראקציה המפורטת עם ערימת הטכנולוגיה הבסיסית עצמה.”

“מחשוב על הברז – אתה מקבל את מה שאתה רוצה ממש משקע בקיר”.

“מחשוב ענן הוא רק מרכז נתונים וירטואלי.”

לויקיפדיה, כמובן, יש הגדרה משלה.

מחשוב ענן הוא פיתוח מבוסס אינטרנט ושימוש בטכנולוגיית מחשבים. בתפיסה, מדובר בשינוי פרדיגמה לפיו מופשטים פרטים מהמשתמשים שאינם זקוקים עוד לידע, מומחיות או שליטה על התשתית הטכנולוגית “בענן” התומכת בהם.

כמובן, ישנן רמות שונות של מחשוב שספק בענן יכול להציע. השימוש ביישום תוכנה מסוים (למשל Google Docs) הוא רק הצעה אחת כזו. אחר יהיה דומה לפלטפורמת פיתוח תוכנה (חשבו על Google App Engine, Microsoft Azure ו-force.com של Salesforce). לאחר מכן, כמובן, יש את שירותי התשתית הגולמית – שרתים המוענקים “בהקשה” לשימוש משתמש קצה (למשל Amazon Ec2).

כנראה שכולנו משתמשים בשירותי ענן אם נחשוב על זה. מבט מהיר בתוך כספת הסיסמה בטוחה שלי מגלה כמעט 300 שילובים שונים של מזהי משתמש וסיסמא לשירותים ברשת, כולל:

• בלוגר
• טוויטר
• פייסבוק
• לינקדאין
• גוגל מסמכים
• Gmail
• Screenr
• ChartGo

המודל הארגוני

למרות שקל לראות כיצד השימוש האישי ביישומי ענן גדל במהלך השנים האחרונות, זה עשוי להפתיע יותר ללמוד כיצד הארגון מאמצת שימוש בענן.

לפי EDL Consulting, 38% מהארגונים ישתמשו בשירות דואר אלקטרוני מבוסס SaaS עד דצמבר 2010. Inisive Media מדווחים כי 12% מחברות השירותים הפיננסיים כבר אימצו את SaaS, בעיקר בתחומי CRM, ERP ו-HR. והחברים שלנו בגרטנר מעריכים ששליש מכל התוכנות החדשות יסופקו באמצעות דגם ה-SaaS עד 2010.

הניחוש שלי? SaaS כבר מתרחש בארגון. זה כאן וזה כאן כדי להישאר.

עם כל שינוי במודל התפעול הארגוני יהיו השלכות – חלקן אמיתיות וחלקן קריטיות לא פחות, חלקן נתפסות.

בקטגוריית הסיכונים הנתפסים, הייתי מציב סיכונים כגון אובדן שליטה; אחסון נתונים קריטיים לעסקים בענן; מהימנות של ספק הענן; אורך החיים של ספק הענן. כמובן, אלה רק סיכונים נתפסים. מי אומר שאחסון נתונים קריטיים לעסקים בענן הוא פחות מסוכן מאחסון במרכז הנתונים של הארגון עצמו? יתכן שיש וקטורי תקיפה שונים שצריכים להפחית נגדם, אבל זה לא אומר שהנתונים פחות מאובטחים, נכון? ומי אמר שהמיזם צריך לאבד שליטה!

סיכונים אמיתיים, לעומת זאת, יכללו דברים כמו התפשטות זהויות העובדים על פני מספר ספקים; עמידה במדיניות החברה; וקטורי ההתקפה החדשים (כבר תוארו); ניהול פרטיות; ההשפעה החקיקתית של מיקומי אחסון נתונים; וכמובן, ניהול משתמשים!

תקני ענן

כמו בכל מתודולוגיית אספקת IT חדשה, נראה שמופיעה שורה של “סטנדרטים”. זה מצוין כל עוד יש אימוץ נרחב של התקנים והספקים הגדולים יכולים להסתפק בתקן ספציפי. תודה לאל על:

• מניפסט הענן הפתוח (http://www.opencloudmanifesto.org/)
• ברית האבטחה בענן (http://www.cloudsecurityalliance.org/)

החבר’ה האלה, לפחות, מנסים לטפל בבעיית התקנים ואני שמח במיוחד לראות את הדומיין 13 של CSA בנושא ניהול זהות וגישה מתעקש להשתמש ב-SAML, WS-Federation ו-Liberty ID-FF.

בקרת גישה

ובנקודה זו, יש לברך את ספקי הענן השונים על אימוץ פדרציית האבטחה. Security Assertion Markup Language (SAML) קיימת כבר למעלה מ-6 שנים והיא דרך מצוינת לספק פתרון כניסה יחידה בחומת האש הארגונית. OpenID, לפי קים קמרון, נתמך כעת על ידי 50,000 אתרים ול-500 מיליון אנשים יש OpenID (גם אם הרוב לא מבין זאת!)

הבעיה, היסטורית, הייתה בעיית הבעלות על זהות. כל הספקים הגדולים רוצים להיות ספק הזהות ב”פדרציה” והמפלגות הנסמכות היו מעטות. למרבה המזל, חל שינוי ניכר בעמדה זו במהלך 12 החודשים האחרונים (כפי שתומכים הנתונים של קים קמרון).

ואז יש את ה”ברוקרים”. אותן חברות שנועדו להפוך את תהליך ה”פדרציה” להרבה פחות כואב. הרעיון הוא שאימות יחיד למתווך יאפשר גישה רחבה יותר לקהילת SaaS.

נראה ש-Simplified ו-Ping Identity הם מובילי המחשבה בתחום הזה, והטשטוש השיווקי שלהם נראה מקיף ומרשים. הם בהחלט מסמנים את התיבות המסומנות “Speed ​​To Market” ו-“Usability”, אך שוב הסיכונים הנתפסים עלולים להיות מטרידים עבור המפעל הזהיר. גיליון “מפתחות הממלכה” מרים את ראשו המכוער שוב!

ניהול זהות

SPML מיועדת לניהול זהויות כפי ש-SAML היא לניהול גישה. ימין? ובכן, כמעט. Service Provisioning Markup Language (SPML) אושרר לראשונה באוקטובר 2003 עם v2.0 שאושר באפריל 2006. הניחוש שלי? אנחנו צריכים עוד סבב של אשרור! בואו נבחן את הראיות. מי משתמש בו כרגע? חיפוש בגוגל מחזיר מעט יקר. Google Apps משתמש בממשקי API קנייניים. Salesforce משתמש בממשקי API קנייניים. Zoho משתמש בממשקי API קנייניים. מה הטעם בתקן אם אף אחד לא משתמש בו?

ציות וביקורת

ככל הנראה, במהלך 2009 ייווצר פי ארבעים יותר מידע מאשר במהלך 2008 ו”היקום הדיגיטלי” יהיה גדול פי עשרה ב-2011 מאשר ב-2006! אלו נתונים מדהימים, לא? וחלק הארי של הנתונים האלה יהיה די לא מובנה – כמו הבלוג הזה או הציוצים שלי!

הצורך בביקורת המידע שאנו מוציאים ליקום הדיגיטלי גדול מאי פעם אך אין גישה מבוססת סטנדרטים לציות וביקורת בענן!

ספקי שירותים הם האפוטרופוסים הנוכחיים של תהליך הציות והביקורת וככל הנראה ימשיכו לעשות זאת לעת עתה. למעשה, ספקי השירות די טובים בזה מכיוון שהם כבר צריכים לציית לתקנות רבות ושונות בתחומי שיפוט חקיקתיים רבים ושונים. עם זאת, בדרך כלל, הם מציגים לוחות מחוונים של תאימות וביקורת המותאמים לשווקים אנכיים בלבד.

זה מובן, אני מניח, שעבור שירות ריבוי דירות יהיו סיבוכים המפרידים בין נתונים רלוונטיים לבדיקת התאימות הארגונית.

עוברים לענן

ישנם ספקים בחוץ הטוענים שהם מסוגלים לספק ניהול זהויות כשירות (IDaaS) שנשמע נהדר, לא? להוריד את כל הכאב הזה של אספקת פתרון IdM חזק לארגון? אולם בפועל, זה עובד היטב עבור ארגונים הפועלים אך ורק בענן. פתרונות אלה כבר מבינים את דרישות האספקה ​​של מפעילי ה-SaaS הגדולים. עם זאת, מה שהם לא יכולים לעשות כל כך טוב הוא ההקצאה חזרה למערכות הארגוניות שלנו! זה לא מספיק להניח שארגון פועל הכל מהמופע של Active Directory שלהם, אחרי הכל. כמו כן, עלינו לזכור ששימוש ב-IDaaS דומה למתן את “המפתחות לממלכה”. זוכרים את הסיכונים הנתפסים שלנו?

חלופה היא להעביר את פתרון ה-IDM הארגוני לענן. התקנות קיימות של IBM Tivoli Identity Manager או Sun Identity Manager או {הכנס את הספק המועדף עליך כאן} ניתן להעביר את מנהל הזהויות לענן באמצעות מודל IaaS – Amazon EC2. ההשקעה בפתרונות הקיימים תישמר עם יתרון נוסף של מדרגיות, גמישות והפחתת עלויות. האם זה מודל שניתן לאמץ בקלות? בהחלט, כל עוד המיזם המדובר יכול להסתכל על הרעיון של נע את “Keys To The Kingdom” מעבר לחומת האש שלו.

סיכום

הדור הבא של המשתמשים כבר מודע לאינטרנט – SaaS כאן כדי להישאר – ו-SSO נמצא סוף סוף בהישג ידנו, כאשר רק קומץ שחקנים גדולים גוררים את עקביהם בכל הנוגע ליישום תקנים כגון SAML v2.0. זה גם היה מסקרן לשחק עם Chrome OS בשבוע שעבר (אם כי גרסת אב טיפוס מוקדמת). שילוב של כניסה לשולחן העבודה עם האינטרנט רק מחזק את הדברים עוד יותר (בדרך של גוגל, כמובן).

אספקה ​​(בין אם זה Just-In-Time או Pre-Populated) היא עדיין נקודת הכאב. נראה שאף אחד לא משתמש ב-SPML וממשקי API קנייניים יש בשפע. ביסוס זה יהיה קריטי לאימוץ המוני של פתרונות SaaS.

עם זאת, אספקה ​​היא נקודת הכאב הנוכחית, עם זאת, ממשל, סיכונים ותאימות יהיו הפריט הבא בסדר היום. היעדר תקנים וריבוי פתרונות נקודתיים בוודאי יתחילו לפגוע. אבל כאן, נגמרו לי הרעיונות… לעת עתה. נראה לי שיש הזדמנות למוביל מחשבה במרחב הזה!