Arkiv för kategorin “Cortego”

Ett av det stor problemen med att utnyttja olika tjänster i molnet och då framförallt så kallade "Software As A Service" (SaaS) tjänster är hur man ska hantera identiter och behörigheter.  Problemet är både administrativt såväl som säkerhetsrelaterat.

Det grundläggande problemet har varit att applikationerna i molnet ofta har krävt sin egen autentisering och hantering av användaridentiteter, eller möjligen olika komplexa "trust-lösningar".  Detta medför att man är tvungen att provisionera och de-provisionera användare både internt och externt. Det blir ytterligare ett ställe att komma ihåg att ta bort en användare när denne slutar. Det är ju extra känsligt också eftersom tjänsten finns tillgänglig på Internet och inte innanför brandväggen. En annan aspekt är att man flyttar ut känslig information (användaridentiteter och deras lösenord) till en extern part som man inte har samma kontroll på.

Cloud Security Alliance (CSA)  http://www.cloudsecurityalliance.org/ är en organisation som har som mål att promota användandet av "best practices" för att uppnå hör säkerhet vid användandet av tjänster i molnet. CSA har tagit fram CSA guide http://www.cloudsecurityalliance.org/guidance/csaguide.pdf  som beskriver 15 säkerhetsområden man bör ta i beaktande innan man beslutar sig för att använda moln-tjänster. Område 13 handlar om Identitetshantering.

CSA tycker att det bästa sättet att hantera identiteter för tjänster in molnet är en federationslösning. En beskrivning över hur en federationslösning fungerar finns på http://en.wikipedia.org/wiki/Federated_identity.

Ett exempel på en lyckad användning är det starter-kit för att använda SUN's OpenSSO som verktyg för att skapa en federationslösning till Sales Force.  En artikel som beskriver detta finns på
https://www.sun.com/offers/details/open_source_starter_kit.xml (kräver inloggning). Artikeln diskuterar problemen med behörighetshantering i ett  SaaS scenario och en steg för steg beskrivning hur man kan sätta upp en federationslösning mot SaleForce med hjälp av Open SSO.

De senaste åren har det tagits allt mer fokus på det mystiska och kanske ofta förträngda området loggar

Det ses fortfarande på många företag som en funktion som dels är okänd, dels är något för "IT-nördarna" på driften att grotta sig i och dels något helt obegripligt som man helst håller sig borta från

Ett bra citat om hur viktigt det är med att ta loggning på allvar är uttalat av författaren Anton Chuvakin i boken "Beautiful Security" (ISBN: 978-0-596-52748-8, april 2009) där han skriver:

There are many other mechanisms for accountability in an organization, but logs are the mechanism that pervades IT.
And if your IT is not accountable, neither is your business. Thus, if you tend to not be serious about logs, be aware that you are not serious about accountability.
Is that the message your organization wants to send?

Numera börjar det finnas riktigt kompetenta och avancerade logghanteringsystem som ger ett företag möjlighet att ta hand om och samla in sina loggar, normalisera dom och koppla alla händelser i sina system till individer

Dessa loggsystem ger som utdata en mängd olika nyttoeffekter såsom:
- Spårbarhet i systemen, vem gör vad och när.
- Larm vid brott mot satta policy-regler
- Snabbare felsöknings- och åtgärdstider vid haverier och problem
- Bättre stöd åt heldesken i deras verksamhet
- Uppföljning av status i alla anslutna IT-system på företaget avseende patchar, antivirus, brandväggar, felaktiga konfigureringar, felaktigt uppsatta konton etc etc etc
- Verktyg för att kontrollera och rapportera om "compliance" för t.ex PCI DSS, SOX, BASEL II, ISO 27002/17799 och andra styrande regler för olika företag i olika brancher

Nyttan av ett avancerat logghanteringssystem är stor hos flera delar av ett företag:
- Verksamhetsansvariga
- IT-chef
- IT-driftavdelningen
- Helpdesken
- IT-säkerhetsansvariga
- Internrevisorer
- Externa revisorer
- IT-revisorer

Ett sådant mycket kompetent system för logghantering syftande till spårbarhet är ArcSight.

Det används bl.a i Sverige idag på Skatteverket