Kapittel 9: IAM - Identitets- og tilgangshåndtering

Introduksjon

Identitets- og tilgangshåndtering (IAM) er en essensiell del av informasjonssikkerhet som sikrer at de rette personene får tilgang til de riktige ressursene på riktig tid og av de riktige årsakene. Dette kapittelet dekker grunnleggende konsepter innen IAM, modeller, protokoller og implementering av tilgangskontrollmekanismer. Vi vil også utforske IAM-arkitekturer som silo og fødererte modeller, og gå dypere inn i avanserte emner som attributt-basert tilgangskontroll (ABAC) og distribuert tilgangskontroll med OAuth.

Vi vil også se nærmere på Web Identity Federation, Amazon Cognito, AWS Directory Services, og AWS Organizations og Service Control Policies (SCPs) for å forstå hvordan disse verktøyene og konseptene kan implementeres for å sikre en robust IAM-strategi.

Nøkkelbegreper og definisjoner

1. Nøkkelbegreper innen IAM

• Entitet: En person, organisasjon, system, økt, prosess eller annen enhet som kan identifiseres.
• Identitet: Et sett med attributter som definerer en entitet innenfor et bestemt domene. En entitet kan ha flere identiteter i ulike domener.
• Bruker-ID: En unik identifikator tildelt en entitet innenfor et domene.
• Digital Identitet: En digital representasjon av en entitets identitet, inkludert attributter som brukernavn, roller og tillatelser.
• Autentikator: En mekanisme brukt for å verifisere en entitets identitet, slik som passord, biometriske data eller token.

2. Identity and Access Management (IAM)

IAM refererer til rammeverket av policyer og teknologier som sikrer at de rette brukerne (entitetene) har tilgang til teknologiske ressurser.

IAM Modeller

1. Silomodell

• Beskrivelse: Hver tjenestetilbyder (SP) opprettholder sitt eget identitetshåndteringssystem.
• Fordeler:
  • Enkel å implementere.
  • Sterk personvernkontroll for brukere.
• Ulemper:
  • Dårlig brukeropplevelse på grunn av flere pålogginger.
  • Begrenset interoperabilitet mellom tjenester.
  • Vanskelig å håndtere for brukere med flere identiteter.

2. Føderert Modell

• Beskrivelse: Flere tjenestetilbydere bruker en felles identitetsleverandør (IdP) for autentisering.
• Fordeler:
  • Forbedret brukeropplevelse med single sign-on (SSO).
  • Sentralisert håndtering av brukeridentiteter.
• Ulemper:
  • Kompleks teknisk og juridisk oppsett.
  • Potensielle personvernhensyn på grunn av sentralisert datadeling.

Web Identity Federation

Web Identity Federation

Web Identity Federation er en mekanisme som lar brukere autentisere seg med AWS ved å bruke deres eksisterende identiteter fra andre leverandører, slik som Amazon, Google, Facebook, eller enhver OpenID Connect (OIDC)-kompatibel leverandør. Dette eliminerer behovet for at brukere må opprette og administrere separate AWS-legitimasjoner.

Fordeler:

• Forbedret sikkerhet: Unngår lagring av langsiktige legitimasjoner i applikasjoner og muliggjør dynamisk forespørsel av midlertidige AWS-sikkerhetslegitimasjoner.
• Forenklet brukerstyring: Eliminerer behovet for å lage tilpasset påloggingskode eller administrere brukeridentiteter innenfor AWS.
• Utnyttelse av eksisterende identiteter: Brukere kan logge inn ved hjelp av deres eksisterende identiteter fra velkjente leverandører.
• Beste praksis: AWS anbefaler å bruke Amazon Cognito for web identity federation når det er mulig.

Hvordan det fungerer:

1. Brukere autentiserer seg med deres valgte identitetsleverandør (IdP).
2. IdP sender en OIDC-token til brukeren.
3. Tokenet sendes til og verifiseres av Amazon Cognito.
4. Cognito forespør midlertidige legitimasjoner fra AWS Security Token Service (STS) basert på en utpekt IAM-rolle.
5. IAM og STS returnerer midlertidige legitimasjoner til Cognito.
6. Cognito videresender legitimasjonene til brukeren.
7. Brukeren kan nå få tilgang til AWS-ressurser ved hjelp av de midlertidige legitimasjonene.

Amazon Cognito

Amazon Cognito er en tjeneste som hjelper deg med å legge til brukerregistrering, pålogging og tilgangskontroll til dine web- og mobilapplikasjoner. Det anbefales av AWS for web identity federation.

Nøkkelfunksjoner:

• User Pools: Administrerte kataloger for dine brukere.
• Identity Pools: Fødererte identiteter som bytter eksterne legitimasjoner for midlertidige AWS-legitimasjoner.

AWS Directory Services

AWS tilbyr flere katalogtjenester for forskjellige behov:

• Managed Microsoft AD: Bruker faktiske Microsoft Active Directory-instanser administrert av AWS. Egnet for avanserte AD-oppsett og tillitsforhold.
• AD Connector: Omdirigerer katalogarbeidsbelastninger til en eksisterende lokal Active Directory. Ideell for overholdelsesformål når ingen lagring eller replikering av data i AWS er nødvendig.
• Simple AD: Tilbyr begrensede funksjoner og er egnet for småskala distribusjoner (under 5 000 brukere) eller konseptbevis.

AWS Organizations og Service Control Policies (SCPs)

AWS Organizations

AWS Organizations lar deg sentralisere administrasjonen av flere AWS-kontoer.

Service Control Policies (SCPs)

SCPs brukes til å håndheve tillatelser på tvers av en organisasjon. SCPs er raske, kostnadseffektive og kan brukes på alle kontoer, spesifikke kontoer eller organisatoriske enheter (OUs).

Nøkkelpunkter:

• SCPs overstyrer IAM-tillatelser på lavere nivå.
• Organisasjoner er gratis å bruke.
• SCPs er til slutt konsistente.
• OUs er nyttige for overholdelse og separering av miljøer.

Tilgangskontroll Modeller

1. Attributt-Basert Tilgangskontroll (ABAC)

• Kilder til Attributter:
  • Brukerattributter (f.eks., rolle, avdeling).
  • Ressursattributter (f.eks., klassifiseringsnivå).
  • Miljøattributter (f.eks., tidspunkt).
  • Handlingsattributter (f.eks., type tilgang som forespørres).
• Implementering:
  • Diskresjonær Tilgangskontroll (DAC): Tilgang basert på brukeridentitet og tilgangskontrollister (ACL-er).
  • Obligatorisk Tilgangskontroll (MAC): Tilgang basert på sikkerhetsmerker og klareringer.
  • Rollebasert Tilgangskontroll (RBAC): Tilgang basert på brukerroller og tillatelser.

IAM Faser og Trinn

1. Identitetshåndtering Fase

• Trinn:
  • Registrering av nye bruker-ID-er.
  • Konfigurering av autentikatorer.

2. Tilgangshåndtering Fase

• Trinn:
  • Autentisering av brukere.
  • Autorisasjon og tilgangskontroll håndhevelse.

Tilgangskontroll Modeller i Detalj

1. Diskresjonær Tilgangskontroll (DAC)

• Beskrivelse: Tilgangskontroll basert på identiteten til forespørerne og skjønnet til ressursens eier.
• Implementering: Bruker tilgangskontrollister (ACL-er) for å spesifisere tillatelser for hver bruker.

2. Obligatorisk Tilgangskontroll (MAC)

• Beskrivelse: Tilgangskontroll basert på sammenligning av sikkerhetsmerker tildelt brukere og ressurser.
• Bell-LaPadula Modell:
  • Ingen lesing oppover: Brukere kan ikke lese data på et høyere sikkerhetsnivå.
  • Ingen skriving nedover: Brukere kan ikke skrive data til et lavere sikkerhetsnivå.

3. Rollebasert Tilgangskontroll (RBAC)

• Beskrivelse: Tilgangskontroll basert på brukerroller innenfor en organisasjon.
• Utfordringer: Rolle-eksplosjon, hvor for mange roller kompliserer håndteringen.

Distribuert Tilgangskontroll med

OAuth

1. Motivasjon for OAuth

• Å muliggjøre sikker autorisasjon på tvers av forskjellige plattformer og tjenester uten å dele legitimasjon.

2. OAuth i Aksjon

• Eksempel: En bruker autoriserer en app til å få tilgang til sine Google Photos uten å dele passordet sitt. OAuth håndterer token-utvekslingen og tilgangskontrollen.

Eksempler og Besvarelse av Oppgaver

Oppgave 1: Forklar begrepet "Entitet" i sammenheng med IAM.

En entitet er enhver distinkt enhet som kan identifiseres innenfor et system, som en person, organisasjon eller enhet.

Oppgave 2: Beskriv forskjellen mellom silomodell og føderert modell.

Silo-modellen innebærer separat identitetshåndtering for hver tjenestetilbyder, noe som fører til flere pålogginger. Den fødererte modellen bruker en sentral identitetsleverandør for flere tjenester, noe som muliggjør single sign-on.

Oppgave 3: Hva er ABAC, og hvordan kan det brukes til å implementere DAC, MAC og RBAC?

ABAC bruker attributter for å kontrollere tilgang. Det kan implementere DAC ved å bruke brukeridentiteter som attributter, MAC ved å bruke sikkerhetsmerker, og RBAC ved å bruke roller som attributter.

Referanser og Videre Lesing

• Gartner: Identity and Access Management
• OAuth 2.0 and OpenID Connect
• NIST Special Publication 800-63: Digital Identity Guidelines
• Bell-LaPadula Model

Dette grundige overblikket dekker de viktigste konseptene, modellene og implementeringsdetaljene av IAM, sammen med praktiske eksempler og ressurser for videre lesing.

Kapittel 9: IAM - Identitets- og tilgangshåndtering

Introduksjon

Identitets- og tilgangshåndtering (IAM) er en viktig del av informasjonssikkerhet som sikrer at de rette personene får tilgang til de riktige ressursene på riktig tid og av de riktige årsakene. Dette kapittelet dekker grunnleggende konsepter innen IAM, modeller, protokoller og implementering av tilgangskontrollmekanismer. Vi vil også utforske IAM-arkitekturer som silo og fødererte modeller, og gå dypere inn i avanserte emner som attributt-basert tilgangskontroll (ABAC) og distribuert tilgangskontroll med OAuth.

Nøkkelbegreper og definisjoner

1. Nøkkelbegreper innen IAM

• Entitet: En person, organisasjon, system, økt, prosess eller annen enhet som kan identifiseres.
• Identitet: Et sett med attributter som definerer en entitet innenfor et bestemt domene. En entitet kan ha flere identiteter i ulike domener.
• Bruker-ID: En unik identifikator tildelt en entitet innenfor et domene.
• Digital Identitet: En digital representasjon av en entitets identitet, inkludert attributter som brukernavn, roller og tillatelser.
• Autentikator: En mekanisme brukt for å verifisere en entitets identitet, slik som passord, biometriske data eller token.

2. Identity and Access Management (IAM)

IAM refererer til rammeverket av policyer og teknologier som sikrer at de rette brukerne (entitetene) har tilgang til teknologiske ressurser.

IAM Modeller

1. Silomodell

• Beskrivelse: Hver tjenestetilbyder (SP) opprettholder sitt eget identitetshåndteringssystem.
• Fordeler:
  • Enkel å implementere.
  • Sterk personvernkontroll for brukere.
• Ulemper:
  • Dårlig brukeropplevelse på grunn av flere pålogginger.
  • Begrenset interoperabilitet mellom tjenester.
  • Vanskelig å håndtere for brukere med flere identiteter.

2. Føderert Modell

• Beskrivelse: Flere tjenestetilbydere bruker en felles identitetsleverandør (IdP) for autentisering.
• Fordeler:
  • Forbedret brukeropplevelse med single sign-on (SSO).
  • Sentralisert håndtering av brukeridentiteter.
• Ulemper:
  • Kompleks teknisk og juridisk oppsett.
  • Potensielle personvernhensyn på grunn av sentralisert datadeling.

Tilgangskontroll Modeller

1. Attributt-Basert Tilgangskontroll (ABAC)

• Kilder til Attributter:
  • Brukerattributter (f.eks., rolle, avdeling).
  • Ressursattributter (f.eks., klassifiseringsnivå).
  • Miljøattributter (f.eks., tidspunkt).
  • Handlingsattributter (f.eks., type tilgang som forespørres).
• Implementering:
  • Diskresjonær Tilgangskontroll (DAC): Tilgang basert på brukeridentitet og tilgangskontrollister (ACL-er).
  • Obligatorisk Tilgangskontroll (MAC): Tilgang basert på sikkerhetsmerker og klareringer.
  • Rollebasert Tilgangskontroll (RBAC): Tilgang basert på brukerroller og tillatelser.

IAM Faser og Trinn

1. Identitetshåndtering Fase

• Trinn:
  • Registrering av nye bruker-ID-er.
  • Konfigurering av autentikatorer.

2. Tilgangshåndtering Fase

• Trinn:
  • Autentisering av brukere.
  • Autorisasjon og tilgangskontroll håndhevelse.

Tilgangskontroll Modeller i Detalj

1. Diskresjonær Tilgangskontroll (DAC)

• Beskrivelse: Tilgangskontroll basert på identiteten til forespørerne og skjønnet til ressursens eier.
• Implementering: Bruker tilgangskontrollister (ACL-er) for å spesifisere tillatelser for hver bruker.

2. Obligatorisk Tilgangskontroll (MAC)

• Beskrivelse: Tilgangskontroll basert på sammenligning av sikkerhetsmerker tildelt brukere og ressurser.
• Bell-LaPadula Modell:
  • Ingen lesing oppover: Brukere kan ikke lese data på et høyere sikkerhetsnivå.
  • Ingen skriving nedover: Brukere kan ikke skrive data til et lavere sikkerhetsnivå.

3. Rollebasert Tilgangskontroll (RBAC)

• Beskrivelse: Tilgangskontroll basert på brukerroller innenfor en organisasjon.
• Utfordringer: Rolle-eksplosjon, hvor for mange roller kompliserer håndteringen.

Distribuert Tilgangskontroll med OAuth

1. Motivasjon for OAuth

• Å muliggjøre sikker autorisasjon på tvers av forskjellige plattformer og tjenester uten å dele legitimasjon.

2. OAuth i Aksjon

• Eksempel: En bruker autoriserer en app til å få tilgang til sine Google Photos uten å dele passordet sitt. OAuth håndterer token-utvekslingen og tilgangskontrollen.

Eksempler og Besvarelse av Oppgaver

Oppgave 1: Forklar begrepet "Entitet" i sammenheng med IAM.

En entitet er enhver distinkt enhet som kan identifiseres innenfor et system, som en person, organisasjon eller enhet.

Oppgave 2: Beskriv forskjellen mellom silomodell og føderert modell.

Silo-modellen innebærer separat identitetshåndtering for hver tjenestetilbyder, noe som fører til flere pålogginger. Den fødererte modellen bruker en sentral identitetsleverandør for flere tjenester, noe som muliggjør single sign-on.

Oppgave 3: Hva er ABAC, og hvordan kan det brukes til å implementere DAC, MAC og RBAC?

ABAC bruker attributter for å kontrollere tilgang. Det kan implementere DAC ved å bruke brukeridentiteter som attributter, MAC ved å bruke sikkerhetsmerker, og RBAC ved å bruke roller som attributter.

Referanser og Videre Lesing

• Gartner: Identity and Access Management
• OAuth 2.0 and OpenID Connect
• NIST Special Publication 800-63: Digital Identity Guidelines
• Bell-LaPadula Model

Dette grundige overblikket dekker de viktigste konseptene, modellene og implementeringsdetaljene av IAM, sammen med praktiske eksempler og ressurser for videre lesing.