Управление доступом в Интернет - Web access management
Управление доступом в Интернет (WAM)[1] это форма управление идентификацией который контролирует доступ к веб-ресурсам, обеспечивая аутентификация управление, основанное на политике разрешения, услуги аудита и отчетности (необязательно) и Единая точка входа удобство.
Управление аутентификацией - это процесс определения личности пользователя (или приложения). Обычно это делается путем запроса имени пользователя и пароля. Дополнительные методы аутентификации также могут включать токены доступа (которые генерируют одноразовые пароли ) и цифровые сертификаты.
После подтверждения личности пользователя (или процесса) в игру вступает авторизация на основе политик. К веб-ресурсу может быть прикреплена одна или несколько политик, например, «разрешать доступ к этому ресурсу только внутренним сотрудникам» и / или «разрешать доступ к этому ресурсу только членам группы администраторов». Запрошенный ресурс используется для поиска политики, а затем политика проверяется на соответствие личности пользователя. Если пользователь проходит оценку политики, ему / ей предоставляется доступ к ресурсу. Если пользователь не проходит оценку, доступ запрещается.
После принятия решения о политике аутентификации или авторизации результат может быть записан для целей аудита, например:
- определение времени последнего входа пользователя
- выявление попыток доступа к защищенным ресурсам
- регистрация любых административных действий
В качестве преимущества для конечного пользователя продукт для управления доступом в Интернет может затем связать эту безопасность вместе (что является большим преимуществом для ИТ-персонала и административного персонала) и предложить единый вход, процесс, при котором пользователь входит в систему только один раз, чтобы веб-ресурс, а затем автоматически входит во все связанные ресурсы. Пользователи могут испытывать неудобства при попытке пройти аутентификацию на нескольких веб-сайтах в течение дня (возможно, каждый с разными именами пользователей и паролями). Продукт для управления доступом в Интернет может записывать начальную аутентификацию и предоставлять пользователю cookie, который действует как временный токен для аутентификации для всех других защищенных ресурсов, тем самым требуя от пользователя входа в систему только один раз.
История
Продукты для управления доступом в Интернет появились в конце 1990-х годов и тогда были известны как система единого входа. Пять оригинальных продуктов были Hewlett Packard Система единого входа HP IceWall, CA Technologies SiteMinder, Oblix Менеджер доступа, Magnaquest Technologies Limited Я (Управление идентификацией и доступом) и Novell iChain. Эти продукты были просты по своим функциональным возможностям, но решали важную проблему того времени - как совместно использовать учетные данные пользователей в нескольких доменах, не заставляя пользователя входить в систему более одного раза. Проблема возникла из-за того, что файлы cookie зависят от домена, поэтому не было простого способа беспрепятственно перенести пользователя с одного веб-сайта на другой. Новый термин стал известен как управление доступом в Интернет, потому что в продукты добавлены функции управления ресурсами (веб-страницами), к которым пользователь может получить доступ, в дополнение к их аутентификации.
Архитектура
Когда дело доходит до архитектур управления веб-доступом, существует три различных типа архитектур: подключаемый модуль (или веб-агент), прокси и токенизация.
Плагины - это программы, которые устанавливаются на каждом веб-сайте /сервер приложений, зарегистрируйтесь на этих серверах и вызываются при каждом запросе веб-страницы. Они перехватывают запрос и связываются с внешним сервером политик для принятия решений по политике. Одним из преимуществ архитектуры на основе плагинов (или агентов) является то, что они могут быть настроены в соответствии с уникальными потребностями конкретного веб-сервера. Один из недостатков заключается в том, что для каждого веб-сервера на каждой платформе (и, возможно, для каждой версии каждого сервера) требуется отдельный плагин. Кроме того, по мере развития технологии обновления агентов должны быть распределены и совместимы с развивающимся программным обеспечением хоста.
Архитектуры на основе прокси отличаются тем, что все веб-запросы маршрутизируются через Прокси сервер к внутренним веб-серверам / серверам приложений. Это может обеспечить более универсальную интеграцию с веб-серверами, поскольку используется общий стандартный протокол HTTP, а не зависящий от поставщика. интерфейсы прикладного программирования (API). Одним из недостатков является то, что для работы прокси-серверов обычно требуется дополнительное оборудование.
Токенизация отличается тем, что пользователь получает токен, который можно использовать для прямого доступа к внутренним веб-серверам / серверам приложений. В этой архитектуре аутентификация происходит через инструмент управления веб-доступом, но все данные обтекают его. Это устраняет узкие места в сети, вызванные архитектурами на основе прокси. Один из недостатков состоит в том, что внутренний веб-сервер / сервер приложений должен иметь возможность принимать токен, иначе инструмент управления веб-доступом должен быть разработан для использования общих стандартных протоколов.
Такие решения, как CA SiteMinder (теперь известное как CA Single Sign-On), предлагают варианты на основе агента и прокси, включая федерацию на основе стандартов. maXecurity от P2 Security использует прокси-подход. NetIQ Access Manager предлагает гибридное решение, состоящее из подходов прокси и агента J2EE. TELEGRID SMRTe использует подход токенизации.
Расходы
В большинстве случаев ежегодные затраты на обслуживание значительно превосходят покупную цену. Например, когда используются серверы политик (как в архитектурах на основе плагинов, так и на основе прокси), требуется высокопроизводительное оборудование для обработки рабочей нагрузки, необходимой для запуска инфраструктуры управления доступом в Интернет.
Централизованное администрирование - это дополнительные скрытые расходы, потому что клиентам потребуется нанять и обучить персонал исключительно для управления политиками для базовых веб-приложений. Окончательная скрытая стоимость связана с соблюдением нормативных требований. Поскольку управление доступом в Интернет по своей концепции аналогично брандмауэр (более тесно согласованный с межсетевым экраном прикладного уровня), он должен быть в состоянии удовлетворить основные требования аудита, особенно для публичных компаний, подпадающих под действие Закон Сарбейнса-Оксли (не говоря уже о тех, кто связан Медицинское страхование Портативность и Акт об ответственности, PCI или CPNI). Более крупные компании тратят огромное количество времени и денег на аудит этих инфраструктур управления доступом в Интернет, поскольку они являются точками контроля для многих внутренних и внешних приложений.
Рекомендации
- ^ «Gartner называет Oracle WAM». Финансовая газета. 3 (154). 8 января 2010 г.