OpenAM и OpenIG: Внедрение принципов Zero Trust Security

Введение

Принципы Zero Trust Security построены на том, что угрозы существуют не только во внешнем периметре, но и во внутреннем. Поэтому для каждого действия, ресурса и устройства требуется подтверждение доступа, чтобы убедиться, что только авторизованные учетные записи могут совершать то или иное действие.

В статье мы рассмотрим, как использовать связку решений с открытым исходным кодом OpenAM (Open Access Manager) и OpenIG (Open Identity Gateway), для реализации этих принципов.

Кратко о Zero Trust Security

Zero Trust Security, как следует из названия, — это принцип нулевого доверия. Даже если взаимодействие с сервисами происходит во внутреннем периметре, проверка безопасности должна выполняться при каждом взаимодействии.

• Валидация привилегий — проверка аутентификации и авторизации с использованием всех доступных данных, например личности пользователя, его местонахождения, параметров его устройства и т. д.
• Использование минимальных привилегий — для выполнения каждого действия пользователю или устройству должны предоставляться минимально необходимые привилегии и на минимально необходимый срок.
• Предположение о компрометации — подразумевается, что злоумышленник уже находится в системе. Поэтому, для минимизации ущерба части инфраструктуры должны быть максимально изолированы друг от друга и находиться под постоянным наблюдением.

OpenAM и Zero Trust Security

С помощью OpenAM можно защитить периметр следующим образом:

• Мультифакторная аутентификация (MFA) — для доступа к критичным ресурсам или операциям требуется дополнительное подтверждение. OpenAM поддерживает аутентификацию с одноразовыми паролями (TOTP), биометрическую аутентификацию и аутентификацию с аппаратными токенами (WebAuthn), одноразовые пароли, отправленные по SMS или email, и т. д.
• Адаптивная аутентификация — в процессе аутентификации OpenAM собирает данные и подстраивает процесс для обеспечения максимальной безопасности.
• Централизация — управление аутентификацией осуществляется в одном месте. При обнаружении угрозы можно отозвать доступ в любой момент. При изменении политики аутентификации она также обновляется в одном месте.
• Мониторинг и аудит — возможности мониторинга и аудита OpenAM позволяют в реальном времени отслеживать состояние системы аутентификации и выявлять аномальное поведение.

OpenIG и Zero Trust Security

OpenIG (Open Identity Gateway) разворачивается перед сервисами, так что пользователи получают доступ к сервису только после успешного прохождения аутентификации и авторизации на шлюзе.

• Аутентификация — для доступа к ресурсу пользователь должен предоставить валидный токен аутентификации.
• Авторизация — токен должен содержать атрибуты, допускающие доступ к требуемым ресурсам. Например, это может быть срок действия токена, роль, уровень аутентификации и т. д.
• Маршрутизация запросов — в зависимости от политик доступа запросы перенаправляются на определенные ресурсы. При обнаружении подозрительной активности, злоумышленника можно перенаправить на ресурс-приманку (Honeypot).
• Контроль пропускной способности (Throttling) — OpenIG позволяет контролировать частоту запросов к ресурсам. Таким образом, злоумышленник не сможет осуществить DDoS-атаку на ресурс или выгрузить большой объем данных.
• Поддержка различных протоколов — OpenIG защищает HTTP REST и SOAP-сервисы, WebSocket-соединения, а также может проксировать запросы из менеджеров очередей в REST и обратно.

Интеграция OpenAM и OpenIG

OpenAM и OpenIG хорошо работают в связке и имеют средства интегарции, что называется “из коробки”:

• OpenAM отвечает за процесс аутентификации.
• OpenAM мониторит поведение пользователей при аутентификации.
• OpenAM предоставляет атрибуты учетных записей.
• OpenIG отвечает за политики доступа к ресурсам и авторизует доступ в зависимости от атрибутов авторизации.
• OpenIG мониторит поведение аутентифицированных и неаутентифицированных пользователей.

Постоянное развитие

Внедрение практик Zero Trust Security — это не разовая задача. Адаптация может происходить постепенно, начиная с небольших сегментов и расширяясь на весь периметр предприятия. Гибкость OpenAM и OpenIG позволяет подстраиваться под меняющиеся требования и изменять конфигурации буквально “на лету”.