20 augusti 2020

Identitet

"Identitet - svårt att säkert fastställa utan MFA"

Identitet 

Identitet kan betyda mycket: företagets identitet, varumärkesidentitet, personlig identitet och mycket mer. Denna artikel kommer att rikta in sig på det så kallade IdM begreppet (Identity management, även känt som “identity and access management” (IAM or IdAM)).

Helt enkelt - Nyttan med att rätt personer har tillgång till rätt resurser och ingenting annat.

På senare tid har detta blivit allt mer viktigt på grund av fler och mer komplicerade compliance regler som måste efterlevas.

Tidigare kunde det räcka med en brandvägg för att skydda sig. Idag med alla externa tjänster i molnet krävs en mer förfinad mekanism för att styra rättigheter.

Normalt går detta att dela upp i fyra funktioner:

  • Identitet, objekt i en användarkontolista, kan vara användarkonto eller resurser.
  • Användaråtkomst, Låter en användare anta en identitet, mha exv. lösenord.
  • Rättigheter, Vilka resurser/system identiteten har rätt att bruka.
  • Federering, system som kan lita på identitetsutfärdaren.

Identitetsobjekt 

Är det konto du använder för att logga in på en tjänst eller kontot som konferensrummet har vid bokning. Ingenting hindrar att vem som helst kan använda detta objekt för inloggning, kan exempelvis vara en gemensam inloggning till en resurs som används av flera användare.

Användare 

Här kopplas en fysisk användare till en identitet. Du antar en digital identitet, med hjälp av någon form av nyckel, exempelvis lösenord. Nyckeln kan även bestå av flera faktorer för att ytterligare försvåra för obehöriga att anta någon annans identitet.

Rättigheter / Tjänster 

Här anges vilka tjänster/resurser användaren har rätt att använda och på vilka sätt, förenklat genom grupprättigheter. Kanske vill vi även kunna begränsa på vart användaren befinner sig fysiskt.

Circle of Trust 

Eftersom vi inte vill att alla tjänster och resurser känner till våra identiteters lösenord behöver dessa resurser lita på identifikationsutfärdaren, förenklat vill vi att identifikationsutfärdaren skickar en tummen upp om användaren har rätt att använda resursen. Detta kallas för federering.

Varför behöver vi identifiera oss själva som individer och enheter i nätverket och online?

BYOD

Idag finns oändliga s.k. hjälpmedel, exempelvis trådlös presentation, plattor för bokning av konferensrum, men även skrivare och privata mobiltelefoner. Eller sk IoT samt BYOD.

Än idag mer än tio år senare Har många fortfarande full nätverksaccess så fort man anslutit till det trådade eller trådlösa företagsnätverket.

När mobilt internet fortfarande var ganska dyrt fanns det de som tog med sig en egen trådlös accesspunkt som om man anslöt till företagsnätverket, speciellt om det Trådlösa var nerlåst och säkrat. Ur det uppstod begreppet BYOD som säkert alla känner till. I samband med detta även så kallade onboarding processer, ett sätt att kunna erbjuda användaren att ansluta sina privata och även företags-enheter på ett säkert sätt.

Detta är i dag närmast historia fast fortfarande aktuellt.

Molnet och hybridlösningar

Idag har vi hybridlösningar via molnet, med många applikationer och resurser som inte ligger internt. Det innebär att vi inte längre kan skydda oss med endast brandväggar.

Det klassiska perimeterskyddet räcker inte längre, mycket pga. alla tjänster och applikationer via webben, som dessutom numera är krypterade. Vi behöver helt enkelt säkra våra miljöer på identitets nivå och/eller användarnivå.

Device, enheten som möjliggör användaren att ansluta mot resurser. Kan vara privat mobil, kompisens dator eller företagshanterad dator. Den har ett ID precis som användaren.

Idag pratar man om Zero Trust, och som benämningen anger så litar vi helt enkelt inte på någon. Alltså är identiteten väldigt viktig att fastställa korrekt, även med vissa restriktioner beroende på hur användaren ansluter och mot vad. Nästa steg i kedjan är sedan att lita på identitetsutfärdaren.

Multifaktors autentisering

Sedan är det kanske inte normalt eller i alla fall önskvärt att någon i ledningsgruppen eller annan ska kunna jobba från Ukraina klockan 03 på morgonen lokal tid. Vi behöver Multifaktors autentisering MFA/2FA för att säkerställa rätt identitet, och om det inte blir korrekt, strypa accessen. Vi behöver också ha visibilitet över alla händelser med en bra tidslinje där användarens aktiviteter går att spåra, samt eventuella rättighetsförhöjningar - privilege escalations, Run as/ kör som.

Baseline

Det bästa är om man kan skapa en baseline för vad som är normalt beteende hos användarna och direkt blockera sådant som inte är normalt. Vi behöver ha kontroll på både användare och resurser oberoende på vart de finns. Klarar inte organisationen det så är det kanske dags att endast ha tjänster öppna under arbetstid 8 - 17 vardagar och lunchstängt mellan 12 - 13. För 20 år sedan då stödsystem för detta ännu inte fanns valde jag att  installera accesspunkter med strömförsörjning som var kopplad till kontorsbelysningen, vilket innebar att allt var avstängt när ingen var på kontoret. Enkelt och tryggt, men skulle kanske inte kvala in som en accepterad lösning idag, även om den var effektiv.

Vad kan vi hjälpa till med?

Med lång erfarenhet och kunskap samt koll i backspegeln vet vi att det inte finns en lösning som passar alla, men det finns nivåer som alla bör sträva efter. Att börja med det enkla, bli medveten om sina brister och vart ni kan bli bättre och höja ert skydd. Vi har lösningar och system, från det enklaste till det bästa. Vi kan hjälpa er att optimera ert skydd och utbilda er och er personal.

/ Dan Snis - Seniorkonsult