OpenAM и OpenIG: Внедрение принципов Zero Trust Security
Введение
Принципы Zero Trust Security построены на том, что угрозы существуют не только во внешнем периметре, но и во внутреннем. Поэтому для каждого действия, ресурса и устройства требуется подтверждение доступа, чтобы убедиться, что только авторизованные учетные записи могут совершать то или иное действие.
В статье мы рассмотрим, как использовать связку решений с открытым исходным кодом OpenAM (Open Access Manager) и OpenIG (Open Identity Gateway), для реализации этих принципов.
Кратко о Zero Trust Security
Zero Trust Security, как следует из названия, — это принцип нулевого доверия. Даже если взаимодействие с сервисами происходит во внутреннем периметре, проверка безопасности должна выполняться при каждом взаимодействии.
- Валидация привилегий — проверка аутентификации и авторизации с использованием всех доступных данных, например личности пользователя, его местонахождения, параметров его устройства и т. д.
- Использование минимальных привилегий — для выполнения каждого действия пользователю или устройству должны предоставляться минимально необходимые привилегии и на минимально необходимый срок.
- Предположение о компрометации — подразумевается, что злоумышленник уже находится в системе. Поэтому, для минимизации ущерба части инфраструктуры должны быть максимально изолированы друг от друга и находиться под постоянным наблюдением.
OpenAM и Zero Trust Security
С помощью OpenAM можно защитить периметр следующим образом:
- Мультифакторная аутентификация (MFA) — для доступа к критичным ресурсам или операциям требуется дополнительное подтверждение. OpenAM поддерживает аутентификацию с одноразовыми паролями (TOTP), биометрическую аутентификацию и аутентификацию с аппаратными токенами (WebAuthn), одноразовые пароли, отправленные по SMS или email, и т. д.
- Адаптивная аутентификация — в процессе аутентификации OpenAM собирает данные и подстраивает процесс для обеспечения максимальной безопасности.
- Централизация — управление аутентификацией осуществляется в одном месте. При обнаружении угрозы можно отозвать доступ в любой момент. При изменении политики аутентификации она также обновляется в одном месте.
- Мониторинг и аудит — возможности мониторинга и аудита OpenAM позволяют в реальном времени отслеживать состояние системы аутентификации и выявлять аномальное поведение.
OpenIG и Zero Trust Security
OpenIG (Open Identity Gateway) разворачивается перед сервисами, так что пользователи получают доступ к сервису только после успешного прохождения аутентификации и авторизации на шлюзе.
- Аутентификация — для доступа к ресурсу пользователь должен предоставить валидный токен аутентификации.
- Авторизация — токен должен содержать атрибуты, допускающие доступ к требуемым ресурсам. Например, это может быть срок действия токена, роль, уровень аутентификации и т. д.
- Маршрутизация запросов — в зависимости от политик доступа запросы перенаправляются на определенные ресурсы. При обнаружении подозрительной активности, злоумышленника можно перенаправить на ресурс-приманку (Honeypot).
- Контроль пропускной способности (Throttling) — OpenIG позволяет контролировать частоту запросов к ресурсам. Таким образом, злоумышленник не сможет осуществить DDoS-атаку на ресурс или выгрузить большой объем данных.
- Поддержка различных протоколов — OpenIG защищает HTTP REST и SOAP-сервисы, WebSocket-соединения, а также может проксировать запросы из менеджеров очередей в REST и обратно.
Интеграция OpenAM и OpenIG
OpenAM и OpenIG хорошо работают в связке и имеют средства интегарции, что называется “из коробки”:
- OpenAM отвечает за процесс аутентификации.
- OpenAM мониторит поведение пользователей при аутентификации.
- OpenAM предоставляет атрибуты учетных записей.
- OpenIG отвечает за политики доступа к ресурсам и авторизует доступ в зависимости от атрибутов авторизации.
- OpenIG мониторит поведение аутентифицированных и неаутентифицированных пользователей.
Постоянное развитие
Внедрение практик Zero Trust Security — это не разовая задача. Адаптация может происходить постепенно, начиная с небольших сегментов и расширяясь на весь периметр предприятия. Гибкость OpenAM и OpenIG позволяет подстраиваться под меняющиеся требования и изменять конфигурации буквально “на лету”.