. Это очень важно, поскольку любой поставщик «облачной» службы (например, решения, предоставляемого по схеме «программное обеспечение как услуга» (SaaS)), не располагая стандартами, регулирующими обращение с удостоверениями, вынужден их создавать. Учитывая скачкообразный рост «облачных» служб, это верный путь к катастрофе. Система кросс-доменного управления удостоверениями System for Cross-domain Identity Management (SCIM), призванная упростить и стандартизировать подготовку пользователя для доступа к «облачным» приложениям, прошла путь от спецификации до стандарта IETF. На этом пути несколько раз менялась и расшифровка аббревиатуры. Вначале название звучало как «простое управление «облачными» удостоверениями – Simple Cloud Identity Management»).
Большим шагом вперед в области веб-аутентификации и авторизации стал быстрый переход на OAuth 2.0 (http://oauth.net/2/). Эта модель обеспечения безопасности, использующая маркеры, становится фактическим стандартом авторизации мобильных приложений для получения доступа к «облачной» службе (например, Google) через API. Это намного проще, чем заставлять мобильное приложение открывать на устройстве браузер для аутентификации доступа к службе. Те, кто пользуется приложением Twitter на телефоне или планшете, уже применяют OAuth 2.0.
OAuth 2.0 – мощный, но сложный инструмент. Существуют различные способы, позволяющие поставщикам применять его для аутентификации, и здесь также необходима стандартизация. OpenID Connect (http://openid.net/connect/) – простой протокол авторизации, работающий поверх более сложной спецификации OAuth 2.0 и облегчающий управление удостоверениями с помощью OAuth 2.0. В 2012 году популярность этого протокола выросла, что является одной из основных причин успеха OAuth 2.0. Компания Facebook создала собственный протокол авторизации Facebook Connect, чтобы предоставлять партнерам значительно больше информации о пользователях социальных сетей, чем позволяет OAuth/OpenID Connect. Поэтому я по возможности стараюсь не применять свои учетные данные Facebook для процедуры однократной регистрации SSO.
На макроскопическом уровне господствующей тенденцией становится модель «удостоверения как услуга» (IDaaS). Некогда воспринимавшаяся в качестве альтернативной идеи, эта концепция привлечения сторонних ресурсов для организации подключения к «облачным» службам и однократной регистрации вместо самостоятельного обслуживания соответствующей инфраструктуры (например, службы федерации Active Directory (AD FS)) становится все более популярной с увеличением числа поставщиков SaaS, используемых предприятиями. IDaaS – простой, быстрый и, как правило, экономичный способ организации «моста удостоверений» (термин Gartner) между предприятием и «облаком». Рынок IDaaS становится все более насыщенным по мере ввода продуктов традиционными игроками (такими как Microsoft, Salesforce.com и Ping Identity) и вновь прибывшими (такими как Intel).
На возрастающий интерес к этой теме указывает то, что на саммите по «облачным» удостоверениям Cloud Identity Summit было невероятно много участников. Общее внимание на данном событии привлек Крейг Бертон, заявивший о том, что Security Assertion Markup Language (SAML) – доминирующий протокол, используемый сегодня для авторизации на основе заявок, уходит в прошлое. Он по-прежнему работает, но постепенно устаревает и сменяется более новыми протоколами, такими как те, что упоминались выше.
Продвинулась вперед национальная стратегия надежной идентификации в киберпространстве (NSTIC) в деле учреждения административной структуры и первых экспериментальных программ, хотя это происходит медленнее, чем предпочли бы многие компании. NSTIC – это финансируемая правительством США группа по созданию экосистемы удостоверений или рынка надежных систем идентификации и поставщиков услуг, обеспечивающих более высокий уровень безопасности, чем это считается возможным сегодня. Многие важные игроки частного сектора перешли на NSTIC, в то время как прочие придерживаются принципа «поживем – увидим».
Как и в прошлом году, продолжается резкий рост числа мобильных устройств. В сентябре генеральный директор Apple Тим Кук заявил, что компания продала 400 миллионов устройств iOS, и что средний пользователь имеет свыше 100 приложений на своем устройстве. Большая часть приложений имеет «облачную» серверную часть, требующую авторизации владельца мобильного устройства. Отношение типа «один – множество» между мобильным устройством и его приложениями, как и ежедневный рост численности устройств, указывают на центральную роль удостоверений во всех аспектах нашей деятельности. Пять лет назад большинство из нас не должны были авторизоваться, чтобы воспроизводить музыку у себя дома.
В потребительском сегменте пользователи все ближе знакомятся с федеративной регистрацией, используя Facebook, Google, Microsoft и поставщиков удостоверений для упрощения доступа к веб-службам. Несколько большее распространение получает двухфакторная авторизация (пароль плюс номер телефона), благодаря наличию у всех мобильных телефонов и поддержке крупных игроков, таких как Facebook и Google.
Анализ истекшего года не был бы полным без упоминания ряда грандиозных «проколов» в сфере управления удостоверениями. Во-первых, в IEEE в течение месяца 100 000 имен и паролей пользователей оставались в виде открытого текста на FTP-сервере, пока это не обнаружил ассистент. Во-вторых, у Yahoo! Voices были похищены 453 491 адресов и паролей электронной почты в виде открытого текста. Анализ, проведенный скандинавским исследователем (http://nakedsecurity.sophos.com/2012/07/13/yahoo-voices-poor-passwords/), показал, что в первую пятерку наиболее широко используемых паролей входят 123456, «password», «welcome» и, как ни странно, «ninja». Третьим, и, вероятно, крупнейшим хищением идентификационных данных истекшего года (говорю «вероятно», потому что эти случаи стали настолько частыми, что легко могут ускользнуть из моего поля зрения), стала кража у LinkedIn и последующая публикация 6.5 миллионов хэшей паролей. Наконец, постыдным инцидентом стал случай, когда гражданин Франции нечаянно взломал систему безопасности Французского центрального банка по телефону, введя самый популярный пароль 123456 в ответ на запрос автоматизированной системы.
Оставляя в стороне длинный перечень случаев, свидетельствующих о незащищенности хранилищ удостоверений, отмечу, что рост потребности в безопасных и масштабируемых средствах управления удостоверениями опережает скорость утверждения и принятия стандартов. Если учесть все компоненты информационной сети (предприятия и их сотрудники, мобильные устройства, поставщики услуг, обычные потребители), все возможные способы, которыми эти компоненты могут соединяться друг с другом, а также то, насколько мало таких возможностей соединения реализовано на сегодня, становится ясно, что управление удостоверениями как профессия должно идти в авангарде стремительного развития систем безопасности.