Inteca Digital Business Platform

Keycloak / Red Hat Single Sign-On

Wyzwania związane z bezpieczeństwem oraz cyberbezpieczeństwem, z którymi mierzą się CIO​

Źródło: https://www.gartner.com/en/newsroom/press-releases/2021-03-23-gartner-identifies-top-security-and-risk-management-t​
WYZWANIE 1

Cybersecurity Mesh / Siatka cyberbezpieczeństwa​

Cybersecurity mesh to nowoczesne podejście do realizacji strategii bezpieczeństwa, które polega na centralizacji miejsca podejmowania decyzji bezpieczeństwa(polityk bezpieczeństwa dotyczących np: logowania, polityk haseł, autoryzacji itd.) w jednym serwerze autoryzacyjnym przy jednoczesnym rozproszeniu wymuszania podjętych decyzji do wszystkich aplikacji. Zamiast osobnych modułów zabezpieczających implementowanych w poszczególnych aplikacjach IT, architektura mesh umożliwia integrację obszaru bezpieczeństwa poprzez scentralizowane zarządzanie politykami i jedynie wymuszanie ich w każdej aplikacji IT z osobna. Ponieważ wiele zasobów IT znajduje się obecnie poza tradycyjnymi perymetrami przedsiębiorstwa, architektura cyberbezpieczeństwa typu mesh pozwala dodatkowo organizacjom na rozszerzenie kontroli bezpieczeństwa na rozproszone zasoby.​

Nasze rozwiązanie

Keycloak tworzy siatkę zabezpieczeń, która w jednym miejscu dostarcza funkcjonalności bezpieczeństwa. Przenosi miejsce uwierzytelniania do jednego centralnego punktu i dzięki temu nie wymaga logowania w każdej pojedynczej aplikacji IT. Keycloak wydając token pozwala na logowanie do wybranej przez użytkownika aplikacji zgodnie z parametrami autoryzacji. Logowanie do kolejnych aplikacji nie wymaga ponownego wpisania hasła w nowej aplikacji, ponieważ uwierzytelnianie i autoryzacja odbywa się automatycznie przez token Keycloak – Single Sign-On. ​

Keycloak jest także narzędziem do centralizacji autoryzacji w całej sieci zabezpieczeń. Autoryzacja następuje w serwerze autoryzacyjnym Keycloak. Dzięki temu nie jest wymagane implementowanie wyliczania uprawnień w każdej aplikacji. Keycloak do przypisania uprawnień (ról) dostępowych do konkretnej osoby wykorzystuje wyliczane reguły. Uprawnienia umieszcza następnie w wystawianym tokenie. Reguły wyliczeniowe mogą być bardzo proste np. oparte na rolach ldap jak również bardzo złożone np. wyliczane w kodzie javascript.

Jedną z funkcji Keycloak jest integracja z Kerberos, który jest narzędziem uwierzytelniającym Windows. W praktyce oznacza to, że po zalogowaniu do systemu Windows można wejść do innych aplikacji bez dodatkowego uwierzytelniania. W dużych firmach wiele rozwiązań IT znajduje się poza organizacją, np,. w zewnętrznej chmurze dostawcy. Keycloak pozwala na centralizację, dzięki której logując się raz w Single Sign- On uzyskujemy dostęp również do aplikacji zewnętrznych.

WYZWANIE 2

Identity-First Security

Dostęp dla każdego użytkownika, w dowolnym czasie i z dowolnego miejsca obecnie stał się koniecznością ze względu na zmiany techniczne i kulturowe (praca zdalna). Bezpieczeństwo oparte na tożsamości stawia tożsamość w centrum projektowania zabezpieczeń i wymaga znaczącej zmiany w stosunku do tradycyjnego myślenia o projektowaniu bezpieczeństwa w aplikacjach.​

Nasze rozwiązanie

Wiele firm do logowania używa jedynie loginu i hasła, jednak obecnie coraz więcej organizacji chce lepiej zabezpieczyć swoje dane i wprowadza weryfikację wieloetapową: pierwszy faktor to login i hasło, a drugi to np. token SMS, Google czy biometria. Dwuetapowa weryfikacja w wielu aplikacjach zajęłaby bardzo dużo czasu i stworzyła pole do wystąpienia wielu błędów. Dzięki Keycloak weryfikację dwuetapową można przeprowadzić w jednym centralnym punkcie, dzięki stworzeniu opisanej powyżej cyber mesh. Jest to istotne szczególnie w przypadku zewnętrznych aplikacji, które bardzo często wymagają logowania minimum dwuetapowego.​

Keycloak po wykonaniu uwierzytelniania wydaje użytkownikowi token zawierający informacje o jego tożsamości. Token jest podpisany i można go automatycznie zweryfikować. Token przekazany do aplikacji zewnętrznej umożliwia zalogowanie użytkownika. Token w takim wypadku stanowi potwierdzenie jego tożsamości i można go porównać do dowodu osobistego.

WYZWANIE 3

Wsparcie bezpieczeństwa dla pracy zdalnej

Według badania 2021 Gartner CIO Agenda Survey, 64% pracowników obecnie pracuje z domu. Badania Gartnera wskazują, że co najmniej 30-40% będzie nadal pracować z domu po przejściu pandemii COVID-19. Dla wielu organizacji zmiana ta wymaga całkowitego restartu polityk i narzędzi bezpieczeństwa dostosowanych do nowoczesnej zdalnej przestrzeni roboczej. Na przykład, usługi ochrony punktów końcowych będą musiały zostać przeniesione do usług dostarczanych w chmurze.​

Nasze Rozwiązanie

W sytuacji gdy wszyscy pracownicy pracują w jednym biurze, zapewnienie bezpieczeństwa nie stanowi wyzwania. Praca poza organizacją zwiększa wyzwania związane z bezpieczeństwem, ponieważ maleje kontrola nad działaniami użytkownika i podczas pracy w domu na niezabezpieczonej sieci Wi-Fi może pobrać nieświadomie np. trojana.  Problemy mogą pojawiać się w aplikacjach, które dotąd nie były przystosowane  do pracy na zewnątrz, nie są dostatecznie sprawdzone w środowisku zewnętrznym i mogą posiadać luki  w zabezpieczeniach, które może wykorzystać malware logując się jako użytkownik. Użycie Keycloak eliminuje te ryzyka dzięki scentralizowanej autoryzacji i uwierzytelnianiu, ponieważ Keycloak staje się jedynym punktem ataku, a dzięki doskonałym zabezpieczeniom gwarantuje odporność na szkodliwe oprogramowanie.​

WYZWANIE 4

Komitet ds. bezpieczeństwa

W badaniu Gartner 2021 Board of Directors Survey, dyrektorzy ocenili bezpieczeństwo cybernetyczne jako drugie co do wielkości źródło ryzyka dla przedsiębiorstwa, zaraz po zgodności z przepisami. Duże przedsiębiorstwa zaczynają obecnie tworzyć specjalne komitety ds. bezpieczeństwa cybernetycznego na poziomie zarządu, na czele których stoi członek zarządu z doświadczeniem w dziedzinie bezpieczeństwa lub konsultant zewnętrzny.​

Nasze rozwiązanie

Komitety ds. bezpieczeństwa definiują wiele punktów kontrolnych w celu ochrony zasobów cyfrowych przedsiębiorstwa. Np. wprowadzenie dwuetapowego uwierzytelniania lub wymuszenie zmiany hasła co określony okres czasu w wielu aplikacjach wymaga sporo pracy, a co za tym idzie generuje dodatkowe koszty. W przypadku użycia Keycloak zmiany zdefiniowane przez komitet ds. bezpieczeństwa wprowadzane są tylko w jednym miejscu, w serwerze autoryzacyjnym Keycloak i są automatycznie propagowane do wszystkich aplikacji w organizacji.​

WYZWANIE 5

Konsolidacja dostawców zabezpieczeń​

Duża liczba produktów bezpieczeństwa w organizacjach zwiększa złożoność, koszty integracji i wymagania dotyczące personelu. W niedawnym badaniu Gartnera 80% organizacji IT stwierdziło, że planuje konsolidację dostawców w ciągu najbliższych trzech lat.​

Nasze rozwiązanie

Na rynku wykształciły się różne standardy autoryzacji, takie jak SAML 2.0, OpenID Connect i OAuth 2.0. Standardy w obszarze bezpieczeństwa wykorzystywane w aplikacji najczęściej zależą od czasu jej powstania. Przez to w organizacji może być wiele różnych serwerów autoryzacyjnych oraz metod zapewniających bezpieczeństwo. Keycloak jest serwerem autoryzacyjnym, który obsługuje wszystkie standardy uwierzytelniania i autoryzacji, dzięki czemu można usnąć pozostałe serwery autoryzacyjne i zmniejszyć liczbę wektorów ataku do jednego, bardzo dobrze zabezpieczonego. ​

Dodatkową zaletą jest również możliwość centralizowania zarządzania tożsamością (Identity Management), poprzez integrację Keycloak z istniejącymi katalogami użytkowników takimi jak np. Active Directory.

WYZWANIE 6

Narzędzia zwiększające ochronę danych​

Pojawiają się narzędzia zwiększające ochronę danych, które chronią dane w trakcie ich wykorzystywania przez osoby nie będące pracownikami organizacji. Umożliwiają tym samym bezpieczne przetwarzanie, udostępnianie, przesyłanie i analizowanie danych, nawet w niezaufanych środowiskach. Gartner przewiduje, że do 2025 roku 50% dużych organizacji zaadaptuje narzędzia zwiększające prywatność przetwarzania danych w niezaufanych środowiskach.​

Nasze rozwiązanie

Udostępnianie danych użytkownikom zewnętrznych organizacji, co najczęściej ma miejsce w grupie spółek kapitałowych, powoduje problemy z uwierzytelnianiem i autoryzacją użytkowników z innych organizacji. Keycloak posiada funkcjonalność federacji z mechanizmami zabezpieczeń w innych organizacjach. Jest on łączony z serwerami autoryzacyjnymi innych organizacji, które wydają token. Keycloak, po weryfikacji zaufanego tokena, wydaje dostęp użytkownikowi i następuje logowanie.​

WYZWANIE 7

Symulacja włamania i ataku​​

Narzędzia do symulacji włamań i ataków (BAS) pojawiają się w celu zapewnienia ciągłej oceny zabezpieczeń, weryfikowanej między innymi przez testy penetracyjne. Jeśli dyrektorzy ds. bezpieczeństwa włączą narzędzia BAS jako część regularnych ocen bezpieczeństwa, mogą pomóc swoim zespołom w bardziej efektywnym identyfikowaniu luk w zabezpieczeniach i skuteczniejszym ustalaniu priorytetów inicjatyw związanych z bezpieczeństwem.​

Nasze rozwiązanie

Keycloak znacząco zmniejsza koszty testów penetracyjnych, ponieważ dzięki jednemu punktowi dostępowemu przeprowadzane są one w jednym miejscu, a nie jak dotychczas w kilkunastu aplikacjach. Wdrożenie każdej kolejnej aplikacji IT wymaga od pentesterów jedynie podstawowych testów, ponieważ funkcje bezpieczeństwa są wyniesione do Keycloak i nie wymagają już testów penetracyjnych.​

WYZWANIE 8

Zarządzanie tożsamościami maszyn

Coraz większa liczba jednostek „non-human” jest obecna w organizacjach, co oznacza, że zarządzanie tożsamością maszyn stało się istotną częścią strategii bezpieczeństwa. Zarządzanie tożsamością maszyn ma na celu ustanowienie i zarządzanie zaufaniem do tożsamości maszyny wchodzącej w interakcję z innymi podmiotami, takimi jak urządzenia, aplikacje, usługi w chmurze czy gateway’e.

Nasze rozwiązanie

Zarządzanie tożsamością maszyn stanowi kluczowy punkt w każdej organizacji korzystającej np. z API i pozwala na autoryzację i uwierzytelnianie zewnętrznych aplikacji. Keycloak rozpoznaje wszystkie aplikacje, które dla łatwiejszego rozróżnienia mogą zostać nazwane przez administratora. Dzięki możliwości identyfikacji zewnętrznych aplikacji, administrator może zarządzać dostępem tych aplikacji i np. zablokować jedną wybraną. Przykład: W grupie spółek firmy A, B, C, D i E korzystają z takich samych aplikacji. Każda z nich otrzymała dla rozróżnienia taką nazwę jak firma. Gdy zaobserwujemy np. wyciek danych z aplikacji C, możemy ją zablokować, ale A, B, D i E nadal będą miały dostęp i możliwość normalnego funkcjonowania.​


Keycloak / Red Hat Single Sign-On
USE CASES

KLIENT: Jeden z 3 największych banków w Polsce​

WYKORZYTANE ROZWIĄZANIA:​ Siatka cyberbezpieczeństwa, SSO i Konsolidacja dostawców zabezpieczeń​

CIO Banku poprosił Inteca o opracowanie podejścia do wdrożenia siatki bezpieczeństwa, SSO oraz konsolidacji mechanizmów bezpieczeństwa. Finalnym rozwiązaniem była konsolidacja dostępu do wszystkich aplikacji IT z wykorzystaniem Keycloak, gdzie odbywają się wszystkie uwierzytelnienia oraz autoryzacja. Przeprowadzono centralizację polityk bezpieczeństwa oraz wdrożono centralizację zarządzania tożsamością. Do Keycloak zostały też przeniesione punkty kontrolne ze wszystkich aplikacji. Do autoryzacji wykorzystano OpenID Connect i Oauth 2.0.​

KLIENT: Jedna z 2 największych instytucji informacji gospodarczej w Polsce​

WYKORZYTANE ROZWIĄZANIA:​ Zarządzanie tożsamościami maszyn​

CIO poprosił Inteca o wdrożenie rozwiązania do zarządzania tożsamością aplikacji zewnętrznych partnerów oraz klientów. Keycloak został zintegrowany z API Managementem i służy do uwierzytelniania i autoryzacji zewnętrznych aplikacji. Stworzona została federacja, dzięki czemu wszyscy pracownicy partnerów naszego klienta i zewnętrzne aplikacje są uwierzytelniane i autoryzowane za pomocą Keycloak i federacji z zewnętrznymi serwerami autoryzacji. Dzięki temu nasz klient nie musi prowadzić kont użytkowników zewnętrznych u siebie.​

KLIENT: Jedno z 2 największych towarzystw ubezpieczeniowych w Polsce​

WYKORZYTANE ROZWIĄZANIA:​ SSO z wykorzystaniem logowania domenowego Windows i centralizacją zarządzania tożsamością

CIO poprosił Inteca o przygotowanie rozwiązania SSO wraz z centralizacją zarządzania tożsamością dla największych aplikacji towarzystwa ubezpieczeniowego. Przed wdrożeniem Keycloak pracownicy musieli logować się do wielu aplikacji bez SSO. Zarządzanie uprawnieniami było na stałe zaszyte w aplikacjach. Wdrożenie Keycloak umożliwiło wdrożenie SSO oparte na logowaniu domenowym Windows oraz wyniesienie wyliczania uprawnień z poszczególnych aplikacji do centralnego punktu Keycloak.

KLIENT: Instytucja państwowa sprawująca nadzór nad rynkiem finansowym

WYKORZYTANE ROZWIĄZANIA:​ Identity-First Security​

CIO poprosił Inteca o przygotowanie rozwiązania zwiększającego bezpieczeństwo dostępu do danych szczególnie chronionych zgodnie z wymogami ustawy. Zgodnie z rozporządzeniami do ustawy uwierzytelnianie w czasie dostępu do danych szczególnie chronionych (dane bankowe) powinno odbywać się przy wykorzystaniu uwierzytelniania wieloetapowego. Do rozwiązania problemu wykorzystano Keycloak oraz uwierzytelnianie oparte na dwóch czynnikach: login/hasło oraz sms.

Realizacja projektów opisanych powyżej pozwoliła na  wypracowanie najlepszych wzorców wdrożeniowych, które z powodzeniem można wykorzystać w dużych i rozproszonych organizacjach.​


Keycloak / Red Hat Single Sign-On
WYBRANE EKRANY


Testimonials

Co mówią managerowie C-level?

Poniżej przestawiamy niezależne recenzje zamieszczone w internecie na stornach Gartner oraz Stackshare.