Έχουν περάσει έξι χρόνια από την αξιοσημείωτη παραβίαση των υπηρεσιών cloud της ιστοσελίδας Salesforce.com, όταν ένας υπάλληλος διέρρευσε τον κωδικό πρόσβασής τους κατά τη διάρκεια επίθεσης phishing κατά της εταιρείας. Ως αποτέλεσμα, οι hackers ήταν σε θέση να συλλέξουν τα στοιχεία των χιλιάδων πελατών της Salesforce και στη συνέχεια να επιστρέψουν στοχεύοντάς τους με μια σειρά από phishing emails που φαινόταν να είναι από Salesforce. Έκτοτε, η Salesforce παρότρυνε τους πελάτες της να “εξετάσουν τη χρήση ταυτοποίησης δύο παραγόντων – ή αλλιώς, two-factor authentication.”
Σήμερα παρατηρούμε ότι εξακολουθούν να υφίστανται θέματα ασφάλειας στις cloud υπηρεσίες. Τον περασμένο Οκτώβριο οι hackers κατάφεραν να παρακάμψουν την ασφάλεια Creative Cloud και Revel της Adobe και να ανακτήσουν τα Adobe IDs των πελατών και τους κρυπτογραφημένους κωδικούς πρόσβασης αυτών. Αν οι πελάτες Adobe χρησιμοποιούσαν two-factor authentication, θα διασφάλιζαν την προστασία τους, επειδή οι ήδη εκτεθειμένοι κωδικοί πρόσβασης θα ήταν άχρηστοι χωρίς το δεύτερο παράγοντα ταυτοποίησης.
Είτε παρέχετε ή /και έχετε πρόσβαση σε μία δημόσια, ιδιωτική ή υβριδική cloud υπηρεσία, η χρήση two-factor authentication κρίνεται απαραίτητη. Ωστόσο σήμερα η πλειοψηφία των επιχειρήσεων που χρησιμοποιούν πολλαπλές υπηρεσίες cloud, εξακολουθούν να επιλέγουν την ευκολία σε βάρος της ασφάλειας. Αυτό οφείλεται κυρίως σε μια παρωχημένη αντίληψη ότι η εφαρμογή two-factor authentication είναι περίπλοκη – π.χ. δαπανηρή, δύσκολο να πάρει την έγκριση της διοίκησης, δύσκολο να αναπτυχθεί και είναι άβολη για τους χρήστες.
Σήμερα, η εξέλιξη των υπηρεσιών cloud έχει ανατρέψει πολλά από αυτά τα εμπόδια. Η ασφάλεια αποτελεί πλέον ένα C-level θέμα, λόγω του υψηλού κόστους της παραβίασης δεδομένων και του δυνητικά υψηλότερου κόστους από τη δυσφήμιση του brand name της εταιρείας, μέσω της μεγάλης δημοσιότητας που θα λάβει. Οι πρόσφατες εξελίξεις των networking software architectures και administrative tools έχουν μειώσει το κόστος, το χρόνο και την τεχνογνωσία που απαιτούνται για την εφαρμογή ισχυρής ταυτοποίησης για τον έλεγχο της πρόσβασης σε υπηρεσίες cloud.
Ισχυρές και προσιτές λύσεις ΟΤΡ
Οι πάροχοι Cloud υπηρεσιών (CSP) που θέλουν να υιοθετήσουν άμεσα ισχυρή ταυτοποίηση, πρέπει να ξεκινήσουν εξετάζοντας τη λύση one-time password (OTP). Οι λύσεις ΟΤΡ αυξάνουν την ασφάλεια της διαδικασίας σύνδεσης, εξασφαλίζοντας ότι το πρόσωπο που έχει πρόσβαση στο δίκτυο έχει στην κατοχή του δύο παράγοντες επαλήθευσης της ταυτότητάς του: κάτι που έχουν – τη συσκευή OTP – και κάτι που ξέρουν – ένα όνομα χρήστη και δυνητικά έναν κωδικό πρόσβασης. Οι συσκευές OTP έρχονται σε διαφορετικά form factors, όπως οι φορητοί hardware tokens, display cards, SMS και mobile application. Όλοι είναι αποτελεσματικοί τρόποι για την εφαρμογή ισχυρής ταυτoποίησης, αλλά επίσης αποτελούν άριστο παράδειγμα διαφορετικών λύσεων για διαφορετικές ανάγκες. Ένα OTP token μπορεί εύκολα να τοποθετηθεί στο μπρελόκ των κλειδιών και μια display card μέσα στο πορτοφόλι του κατόχου. Και οι δύο αποτελούν άκρως αποτελεσματικούς τρόπους παροχής επιπλέον αυθεντικοποίησης, χωρίς να είναι περίπλοκη, ωστόσο κάθε form factor έχει τα πλεονεκτήματά του.
Η δημιουργία ΟΤΡ μέσω μηνυμάτων κειμένου (SMS) και mobile application καθίσταται ακόμη πιο οικονομική λύση για την παροχή two-factor authentication, ιδιαίτερα σήμερα όπου η τάση BYOD αποτελεί τον κανόνα. Το προσωπικό της σημερινής επιχείρησης διαθέτει τουλάχιστον μία φορητή συσκευή – είτε πρόκειται για ένα smartphone είτε ένα tablet. Χρησιμοποιώντας αυτές τις κινητές συσκευές ως OTP token, εξοικονομεί χρήματα και μειώνει την πολυπλοκότητα.
Υπάρχουν δύο τρόποι χρήσης των φορητών συσκευών για εφαρμογή OTP authentication:
1. SMS. Αυτό επιτρέπει στο χρήστη να ζητήσει ένα OTP όταν συνδέεται σε ένα συγκεκριμένο ιστότοπο/δίκτυο. Ο χρήστης λαμβάνει ένα SMS από το δίκτυο, βάσει του αριθμού του κινητού του που είναι καταχωρημένο στο αρχείο της εταιρείας. Αυτό παρέχει εξίσου ισχυρή ταυτοποίηση, αλλά χωρίς την ανάγκη αγοράς ή/και ανάπτυξης επιπρόσθετου hardware.
2. Smartphone Application. Με την έκρηξη των app stores, εισήχθησαν εφαρμογές OTP οι οποίες συνεργάζονται με όλα τα δημοφιλή mobile OS. Όταν ζητηθεί από το χρήστη να εισάγει ένα OTP για ισχυρή ταυτοποίηση, το μόνο που έχει να κάνει είναι να μπει στην εφαρμογή, η οποία στη συνέχεια δημιουργεί ένα OTP. Με αυτόν τον τρόπο εξαλείφεται η ανάγκη για πρόσθετες συσκευές, καθιστώντας αυτήν τη μέθοδο οικονομική και φιλική προς το χρήστη.
Οι Οργανισμοί μπορούν να επιλέξουν ανάμεσα σε μια μεγάλη ποικιλία συσκευών και mobile λειτουργικών συστημάτων. Για τις εταιρείες που ερευνούν λύσεις OTP, ένας άλλος σημαντικός παράγοντας που πρέπει να εξετάζεται, είναι πως η λύση που επιλέγεται, πρέπει να συμμορφώνεται κατά τα πρότυπα Open Authentication Organization (OATH). Μια λύση που πληροί αυτά τα industry-wide πρότυπα ταυτοποίησης, βοηθά στη μείωση του κόστους και την παράκαμψη των μειονεκτημάτων των proprietary λύσεων μακροπρόθεσμα.
Ανάλογα με την περίπτωση και την εφαρμογή των υπηρεσιών cloud, οι CSPs πρέπει να εξετάσουν το ζήτημα από πολλές οπτικές γωνίες, προτού προβούν στην προσφορά OTP Authentication.
1. CSP-IaaS. Με αυτήν τη λύση, o CSP δημιουργεί και διατηρεί έναν Authentication Server στις δικές του εγκαταστάσεις. Ένα καλό παράδειγμα είναι το Amazon Web Services (AWS), όντας ένας από τους πρώτους CSPs που προσέφερε ισχυρή ταυτοποίηση, υπό την ονομασία Amazon Multi-Factor Authentication Web Services (AWSMFA), εξασφαλίζοντας στο χρήστη επιπλέον ασφάλεια κατά την πρόσβασή του στο λογαριασμό του. Όταν ένας διαχειριστής ή προγραμματιστής, χρησιμοποιώντας την υποδομή των AWS ζητάει πρόσβαση στην εφαρμογή ή τα δεδομένα τους, του ζητείται το όνομα χρήστη και ο κωδικός πρόσβασής τους, καθώς και ο κωδικός ταυτοποίησης από τη συσκευή AWS MFA που διαθέτει. Οι χρήστες των cloud υπηρεσιών πρέπει να ζητούν από τους CSPs εάν προσφέρουν ισχυρή ταυτοποίηση, όπως την παρέχουν άλλοι ανταγωνιστές, αναγνωρίζοντας τις σύγχρονες ανάγκες.
2. CSP-PaaS.Παρομοίως με τη SaaS παροχή ασφαλούς πρόσβασης σε διαχειριστές και προγραμματιστές, οι CSPs παρέχουν outsourced platforms για τους χρήστες του συστήματος των επιχειρήσεων, ώστε να έχουν ασφαλή πρόσβαση μέσω OTP σε προνομιακές πληροφορίες. Ανάλογα με την απαιτούμενη πολιτική ασφαλείας και πρόσβασης, οι CSPs μπορούν να προσφέρουν αυτήν την υπηρεσία στους πελάτες των επιχειρήσεων που αναζητούν ασφάλεια των ευαίσθητων εφαρμογών και δεδομένων τους, μέσω εξωτερικής ανάθεσης (outsourcing).
3. CSP-SaaS. Οι χρήστες cloud-based εφαρμογών εκφράζουν όλο και περισσότερο τις ανησυχίες τους σχετικά με την ασφάλεια των προσωπικών τους στοιχείων και συναλλαγών. Οι πάροχοι SaaS, είτε σε συνδυασμό με τον πάροχο IaaS είτε ανεξάρτητα, μπορεί να παρέχουν OTP στους τελικούς πελάτες τους, ως «Authentication-as-a-Service”. Και πάλι, ανάλογα με τη φύση των ευαίσθητων πληροφοριών ή των συναλλαγών, η υπηρεσία αυτή είναι απαραίτητη για τους χρήστες που αναζητούν ασφαλή πρόσβαση σε εφαρμογές των CSPs τους.
Το cloud computing δεν είναι μια προσωρινή τάση. Ο Forrester προβλέπει σχετικά με την παγκόσμια αγορά για το cloud computing, πως θα αυξηθεί σε περισσότερα από 241 δισεκατομμύρια δολάρια το 2020 – και όπως το CDW αναφέρει το 2013 στο “State of The Cloud Report”, το 75% των επιχειρήσεων ανέφεραν ότι χρησιμοποιούν κάποιο είδος cloud πλατφόρμας. Τόσο το cloud όσο και οι έξυπνες φορητές συσκευές έχουν φέρει τις επιχειρήσεις σε μια νέα εποχή για την παραγωγικότητα, την αποδοτικότητα και την ευκολία – αλλά μερικές φορές εις βάρος της ασφάλειας. Για να αξιοποιηθούν πλήρως οι δυνατότητες του cloud, οι CSPs πρέπει να προσφέρουν ισχυρότερες μεθόδους ταυτοποίησης. Πλέον είναι πιο εύκολο και οικονομικό από ποτέ και η διαδικασία μπορεί να είναι τόσο απλή όσο η χρήση των συσκευών που όλοι γνωρίζουμε και κατέχουμε -τα smartphones μας – ως “κάτι που έχουμε” όταν συνδεόμαστε σε μια υπηρεσία cloud.
Του Thomas Flynn
Vice President of Gemalto Identity
and Access in North America