IAM 3.0

09/06/2015 | Kirjoittanut: Mika Käck | Aihe: Asiakasidentiteetinhallinta (CIAM), IAM, IoT

IAM 3.0Spellpoint osallistui toukokuussa KuppingerColen European Identity & Cloud Conference 2015:aan Münchenissä.

Tässä konferenssin kolme kovaa I:tä.

IoT – Identity of Things

Laitteet ovat enenevässä määrin internetissä, mutta merkittävää kyllä ne eivät osaa keskustella keskenään, koska ne käyttävät eri standardeja ja protokollia. Jotkut laitteet eivät välttämättä toimi edes IP-verkossa vaan käyttävät perinteisen IP-verkon sijaan vaihtoehtoisia tiedonsiirtoon soveltuvia protokollia, kuten Bluetoothia, Zigbeetä, Z-wavea jne. Sen lisäksi laitteista uupuu viestinnän kannalta oleellinen discovery service, jolla laitteet voisivat edes löytää toisensa. Toimiakseen laitteet edellyttävät usein, että käyttäjä rekisteröityy palvelun käyttäjäksi ja kirjautuu laitteeseen sisään esimerkiksi älypuhelinsovelluksen avulla. Kun laitteet kytketään verkkoon, ne voivat lähettää dataa mihin päin tahansa käyttäjän tietämättä.

Muutamia esimerkkejä tämän päivän teknologiasta ovat älytelevisiot, valaisimet, ilmastointilaitteet yms. kulutuselektroniikka, jotka saattavat jopa edellyttää internet-yhteyttä toimiakseen kunnolla. Yleisenä havaintona voidaankin väittää, että turvallisuus (security) ei ole IoT-laitevalmistajien pääasiallinen prioriteetti. Sen sijaan niissä painotetaan käytettävyyttä ja yleistä toimintavarmuutta tietoturvan sijaan, minkä vuoksi esimerkiksi tietoturvapäivitykset jäävät tekemättä. Vastaavasti ohjelmistovalmistajien prioriteettina tietoturva on ollut jo jonkin aikaa. Tästä syystä erityisesti yritysten verkossa on tärkeää erottaa kaikki IoT-laitteet muusta verkosta omaan segmenttiinsä – jopa lähiverkossa oleva tulostin voi suorittaa palvelunestohyökkäyksen yrityksen sisäverkossa.

Internetiin kytkettävät laitteet yleistyvät seuraavan kahden vuoden aikana niin paljon, että kokonaisuudesta uhkaa tulla kaoottinen standardien ja rajapintojen yhtenäisyyden puutteen vuoksi. Toistaiseksi onkin niin, että mitä enemmän laitteita on, sitä enemmän joudutaan tekemään erilaisia integrointeja ja hyödyntämään eri palveluntarjoajien rajapintoja.

Identity, Customer

”Customer IdM is the killer app for IdM.”

Asiakasidentiteettejä ei tule ajatella aivan samaan tapaan kuten työntekijöiden vastaavia. Asiakas omistaa identiteettinsä ja hallinnoi siihen liittyviä tietoja (yrityksessä se on organisaatio eli useimmiten HR). Asiakkaiden identiteettilähteenä voi olla yrityksen sisäinen CRM-järjestelmä tai kokonaan ulkopuolinen taho, kuten sosiaalinen media, pankki, korkeakoulu, valtio tai kunta, jne. Asiakasidentiteettien elinkaari poikkeaa sisäisistä identiteeteistä (luominen, muutos, poistuminen). Asiakasjärjestelmistä ei esimerkiksi usein poistuta lainkaan, joten elinkaari jää ensimmäisen rekisteröitymisen jälkeen ”vaiheeseen”.

IAM 3.0

Identiteetti on keskeinen osa tietoturvaa. Perusviesti identiteetin kohdalla on edelleen: kuka pääsee mihinkin. CISO:n (Chief Information Security Officer) merkitys organisaatioissa on kasvanut ja he raportoivat yhä enemmän suoraan johtoryhmälle. Ts. organisaatioissa tietoturvalle (ja siten identiteetille) tulee todennäköisesti oma yksikkö, jos sellaista ei vielä ole. Sen sijaan, että identiteetinhallinta ja siihen liittyvät asiat olisivat vain osanen tietohallintoa, siihen liittyävät asiat tulevat saamaan organisaatioissa yhä enemmän merkitystä.

IAM 3.0

Eräässä puheenvuorossa mainittiin jopa leikkimielisesti CIO (Chief Identity Officer). Murtautujan näkökulmasta identiteetinhallintajärjestelmä on houkutteleva, koska se sisältää paljon kriittistä tietoa. Etenkin pilvipalveluna (IDaaS) tarjottava IdM-järjestelmä on houkutteleva kohde hyökkääjälle. IAM 3.0:n avainsana on respond, missä perinteisen provisioinnin ja access governancen rinnalle nousevat access intelligence ja analytiikka. Esimerkiksi SIEM-ratkaisut (security information and event management) kehittyvät kohti älykkäämpiä järjestelmiä, jotka pystyvät myös reagoimaan aktiivisesti poikkeaviin tapahtumiin.

Käyttöoikeuksien mallintamisessa nähdään selvää tarvetta kehittää nykyään melko yleisesti käytössä olevan RBAC-mallin (role-based access control) sijaan ABACin (attribute-based access control) suuntaan. Erityisesti tarve tulee APIen ja IoT:n tarpeista; näissä käyttötarkoituksissa tulee esiin tarve ajonaikaiselle policy-pohjaiselle käyttöoikeushallinnalle. IoT:n kannalta tällainen malli onkin luultavasti huomattavasti käytännöllisempi. Käyttöoikeuspäätökset voidaan tehdä helpommin ja niiden muokkaaminen on nopeampaa – eikä tarvita erillistä roolimäärittelyä, jossa policyt mallinnetaan ensin rooleiksi ja käyttöoikeudet myönnetään sitten roolien kautta.

Suomalaisittain ja spellpointlaisittain kiinnostava esitys EIC 2015:ssa oli myös Microsoftin puheenvuoro Nokian matkapuhelinliiketoiminnan hankinnasta, identiteetti-näkökulmasta. Kuvia esityksestä löydät Spellpointin Facebookista. Tsekkaa myös EIC 2015 -valokuva-albumimme.

Mika Käck, Janne Sirén ja Panu Mälkki
Spellpoint