זהויות מבוזרות Entra Verified ID
זהויות היא אחת התשתיות הקריטיות והחשובות ביותר, וכמו כל תשתית ומערכת יש לה יתרונות וחסרונות, כאשר החסרונות עלולים להיות קריטיים ולהוביל לבעיות אבטחה קשות. מכיוון שתשתית זהויות היא תשתית ליבה אנו חייבים לוודא שישנה ארכיקטורה עם מבט כולל על התשתית, רכיבים קריטים, יישויות, אינטגרציה מול צד שלישי, היכרות עם נקודות תקיפה וכן הלאה. ברגע שיש את התמונה המלאה ניתן ליישם מדיניות אבטחה בצורה יעילה יותר.
תשתיות ענניות או השילוב עם הסביבה המקומית שמו את הזהויות במקום אחר לגמרי והרבה יותר קריטי מאשר בעבר בגלל אינספור סיבות, ולכן ארטיקטורה לניהול זהויות וגישה הם חשובים מאוד כי ללא ארכיקטורה נכונה אנו ניצור מיסקונפיגורציות, פערי אבטחה, בעיות בחיבור מול כלים צד שלישי ועוד – זה הסטורי של כל ארגון, ובמצבים כאלה ישנם הפרות נתונים, חטיפת זהויות ועוד שלל השלכות ובעיות אבטחה.
המאמר מתמקד במבט כללי על Microsoft Entra Verified ID. מידע נוסף לגבי Entra בפוסט המצורף.
https://misconfig.blog/microsoft-entra-1/
אימות רב -תקיפתי. כידוע, ספקי זהות ובפרט התשתיות המוצעות סופגות כבר תקופה ארוכה מקרים קשים של אירועי אבטחה, כמו, גניבת זהויות, חטיפת עוגיות, מניפולציות על טוקנים, והמרכזית שבהם היא עקיפה של אלמנטים כמו MFA, אלמנט שעד לא מזמן הוריד את משטח התקיפה באופן משמעותי.
כאשר Entra נחשפה, הדבר הראשון שבדקתי הוא מה השתנה בתשתית ומה הולך להשתנות, והיה אפשר לראות חזון מעניין, שאם יתממש הוא בהחלט יכול לשנות את התמונה וצורת העבודה, וחשוב יתן כלים חדשים להתמודדות עם סיכוני אבטחה. לצד כל זה חשוב לזכור שיש עדיין פערי אבטחה.
כל אחד מאיתנו זקוק לזהות דיגיטלית שתהיה בבעלותנו, כזו שמאחסנת באופן מאובטח ופרטי את כל מרכיביה. זהות בבעלות עצמית חייבת להיות קלה לשימוש ולהעניק לנו שליטה מלאה על אופן הגישה לנתוני הזהות שלנו וכן השימוש בהם.
משהו מהשטח
רגע לפני שנתמקד ביכולת של Entra VID בוא נדמה את מה שקיים לנו כיום, ומשם נוכל להבין מהו Entra VID ואת השיפורים. הדוגמה הקלאסית כאן היא רישיון דיגיטלי או מטבעות דיגיטליים.
רישיונות נהיגה דיגיטליים מוכרים לנו מהיומיום, ובעוד שניתן להראות את הרישיון באופן פיזי לאחרים, אנו יכולים להשתמש בו באופן דיגיטלי מחוץ למטרה המיועדת של הרשות המנפיקה, למשל, להשתמש ברישיון הנהיגה הדיגיטלי בעת מעבר בשדה התעופה, למשל, מאופשר בחלקים מסויימים בארה”ב, וצד זה ישנם רשויות רבות בעולם שעשות שימוש ברישיון דיגיטלי לצרכים אחרים כחלק מדיגיטציה. המקרה המוכר ביותר הוא של Apple, רישיונות נהיגה ותעודות זהות של מדינות בארנק הדיגטלי
כאשר צריך להוכיח זהות או אפילו את הבעלות על רישיון נהיגה לשירות מסוים, ניתן להציג את רישיון הנהיגה (מתוך הארנק למשל) כמזהה מאומת אל מול שירות צד שלישי.
ביישום ריבון עצמי ומבוזר אפשר לקבל אישור Entra Verified ID (למשל, רשות התחבורה) שמוכיח את הבעלות על רישיון נהיגה. במידה ומאחסנים את המזהה המאומת בארנק דיגיטלי, היישום המזהה של Microsoft Entra הוא המאמת הראשי, ואנו מאפשרים לאותו גורם מאמת את היכולת לאחסן ולהציג אישורי זיהוי מאומתים.
דוגמה נוספת מהיומיום שלהו היא מטבעות דיגטיליים. מטבעות מבוזרים או מטבעות קריפטוגרפיים הם אמצעים דיגיטליים להעברת ערך, לצורך מגוון פעולות, כגון, תשלום, שנוצרו באמצעים טכנולוגיים וערכם לא נקבע לפי ערך סחורה או לפי קביעה של גוף מרכזי אחד, אלא לפי הסכמה בין רשת המשתמשים.
הטכנולוגיה מאחורי מטבעות אלו נקראת בלוקציין. מערכת שמבוססת על גבי מחשוב שמחוברים זה לזה, ומנהלים מעין מאגר נתונים, הרעיון המרכזי מאחורי בלוקציין הוא יצירת מערכת לניהול עסקאות והעברת מידע ללא גורם מרכזי המנהל או מתווך בין משתתפי ההעברה.
באופן כללי, בסיס הנתונים המרכזי מנהל את החוליה החלשה באבטחת מידע, מכיוון שניתן לחדור אליה, לשנותה או לפגום ברשומותיה. הבלוקציין, לעומת זאת, מנוהל באופן מבוזר.
ביזור וריכוזיות
ניהול זהויות מרוכז מסתמך על איסוף ואחסון של נתוני זהות. עם ניהול זהויות מרוכז, משתמשים יכולים לגשת לכל היישומים, אתרי ווב או מערכות אחרות עם אותה קבוצת אישורים. פעולה זו משפרת את חוויית המשתמש מכיוון שצריך להזין שם משתמש וסיסמה אחד עם מזהה נוסף (MFA), אך הדבר עלול להוביל לפגיעות מוגברת אם האישורים שלך נפגעים או נעקפים.
גישה לזהויות – כיום רוב הארגונים משתמשים בתשתית זהויות מרכזיות כדי לספק ליוזרים גישה לנכסים. בנוסף לכך ארגונים עובדים עם שיטות שונות כדי להנגיש את הנכסים לשותפים, ספקים וגורמים מוסמכים בגבולות האמון. שיטות אלה כוללות אינטגרציה, חיבור אפליקציות צד שלישי, יצירה וניהול של חשבונות אורחים וחיצוניים באמצעות מערכות שונות, כגון Azure AD B2B, ויצירת נאמנויות מפורשות עם גורמים מוסמכים.
זהויות ריכוזיות – גישות מרכזיות עדיין פועלות לא רע ברוב המקרים, כגון, כאשר יישומים ורכיבים מסתמכים על מנגנוני האמון המשמשים בתחום או בגבול אמון. במערכות זהויות מרכזיות, ספק הזהויות (IDP) שולט במחזור החיים של האובייקט והזיהוי ע”י אישורים שונים.
ביזור (decentralization) הוא תהליך של חלוקה מחדש או של פיזור סמכויות (או במקרה שלנו זהויות) או תפקידים שמרוכזים במיקום מרכזי או בידי סמכות מרכזית.
זהויות מבוזרות (DIDs) הם סוג חדש של מזהה המאפשר זהות דיגיטלית ניתנת לאימות ומבוזרת. DID מתייחס לכל נושא ואובייקט, למשל, אדם, ארגון, מודל נתונים, ישות מופשטת ועוד. כפי שנקבע על ידי התקן הוובי של DID. בניגוד למזהים טיפוסיים, DID תוכנן כך שניתן יהיה לנתק אותו מרישומים מרכזיים, מספקי זהויות ומספקי אישורים אחרים. בעוד שגורמים עשויים לסייע בגילוי מידע הקשור ל DID, הגורם הראשי של DID יכול להוכיח שליטה עליו מבלי לדרוש אישור מגורם אחר. DIDs הם URI המקשרים נושא DID עם מסמך DID המאפשר אינטראקציות מהימנות.
כל אובייקט DID יכול לבטא משהו קריפטוגרפי, שיטות אימות או רכיבים ספציפיים, המספקים קבוצה של מנגנונים המאפשרים לגורם DID להוכיח שליטה. השירותים מאפשרים אינטראקציות מהימנות המשויכות לנושא DID.
ישנם סיטואציות שבהם שימוש מבוזר עם אישורים הניתנים לאימות יכולים לספק תרחישי מפתח כגון:
- קליטה מאובטחת של זהויות משתמשי הארגון, כולל תרחישי גישה מרחוק.
- גישה למשאבים בתוך גבול האמון הארגוני בהתבסס על קריטריונים ותנאים ספציפיים.
- גישה למשאבים מחוץ לגבול האמון, כגון גישה למשאבים משותפים, באמצעות אישור שהונפק.
יכולות עיקריות
היכולות של Microsoft Entra Verfied ID מתבססות על תקנים וסטנדרטים מוכרים או חדשים בתעשיה, לצד פיתוח אותם תקנים אל מול תשתית Azure AD, ובין היתר אפשר ללמנות את היכולות הבאות של Entra VID:
הנפקת אישורים – תשתיות Azure AD יכולים כעת לעצב ולהנפיק אישורים הניתנים לאימות כדי לייצג הוכחות או תביעות אחרות. בעל אישור יכול להחליט מתי, ועם מי, לשתף אותו. כל אישור חתום במפתחות הצפנה שהמשתמש מחזיק ושולט בהם. ניתן להציג ולאמת אישורים אלה גם אם המוסד המנפיק אינו קיים עוד.
בקשות ואימות אישורים – בניגוד לאישורים שהונפקו על-ידי מערכות זהויות מרכזיות נוכחיות, אישורים הניתנים לאימות מבוססים על סטנדרטים, ולכן זה מפשט את ההבנה של מפתחים ואינו דורש אינטגרציות מותאמות אישית. יישומים יכולים לבקש ולאמת את האותנטיות של אישורים מכל ארגון באמצעות ממשקי API הכלולים כחלק מהשירות.
הצגת אישורים ופרטיות – משתמשים יכולים לנהל ולהציג אישורים באמצעות Entra VID. החלק שהופך את היכולת לייחודית, היא שזה מאפשר למשתמשים לשלוט מי יכול לגשת אליהם, גם אם אישורים מונפקים על ידי ארגונים. ולכל זה נוסיף יכולות כמו גילוי סלקטיבי, תנאים (למשל הוכחת גיל במקום תאריך לידה) ומאיפיינים או פרמטרים המונעים קורלציה.
שחזור אישורים – משתמשים יכולים לנהל אישורים באמצעות Entra VID ולהתאושש מאובדן באמצעות יכולת ספצפית לשחזור.
אלמנטים מבוזרים
במערכות זהויות מבוזרות, השליטה על מחזור החיים והשימוש באישורים משותפת בין המנפיק, המחזיק והצד המסתמך שצורך את האישור. אז מהם האלמנטיים והגורמים בזהויות מבוזרות?
מנפיק הוא תפקיד שישות יכולה לבצע על ידי קביעת טענות על נושא אחד או יותר, יצירת אישור הניתן לאימות על סמך טענות אלה והעברת האישור הניתן לאימות למחזיק.
מחזיק הוא תפקיד שישות יכולה לבצע על ידי החזקת אישור אחד או יותר הניתנים לאימות. מחזיק הוא בדרך כלל, אך לא תמיד, נושא של האישורים הניתנים לאימות שהם מחזיקים.
מאמת הוא תפקיד שישות מבצעת על-ידי קבלת אישור אחד או יותר הניתנים לאימות, באופן אופציונלי ניתנים לאימות לצורך עיבוד.
אישור הוא סדרה של טענה אחת או יותר של מנפיק. אישור הניתן לאימות הוא אישור הניתן לזיהוי ואחד שניתן לאמת באופן קריפטוגרפי. ניתן להשתמש באישורים הניתנים לאימות וגם ניתן לאמת באופן קריפטוגרפי. הטענות יכולות להיות על נושאים שונים.
מזהה מבוזר הוא מזהה נייד מבוסס URI, הידוע גם בשם DID, המשויך לישות. מזהים אלה משמשים לעתים קרובות באישור הניתן לאימות והם משויכים לנושאים, מנפיקים ומאמתים.
מזהה מבוזר המכונה גם אובייקט או מסמך DID, הוא אובייקט הנגיש באמצעות רישום נתונים הניתן לאימות ומכיל מידע הקשור למזהה מבוזר ספציפי, למשל, מאגר המשויך ומידע המפתח הציבורי.
מערכת אמון היא הבסיס לביסוס אמון בין יישויות ומערכות מבוזרות. זה יכול להיות אפילו רישום מבוזר וזה יכול להיות DID Web.
רישום חשבונות מבוזר הוא מערכת לתיעוד אירועים. מערכות אלה יוצרות ביטחון מירבי כדי שהמשתתפים יוכלו להסתמך על הנתונים שנרשמו על ידי אחרים כדי לקבל החלטות תפעוליות. הם בדרך כלל משתמשים במסדי נתונים מבוזרים שבהם צמתים שונים משתמשים בפרוטוקול כדי לאשר את הבקשות החתומות באופן קריפטוגרפי. הקישור של הבקשות חתומות דיגיטלית לאורך זמן הופך לעתים קרובות את ההיסטוריה של הרישום לבלתי ניתן לשינוי.
הפתרון של Entra VID משתמש ברשת של הזהויות (ION) בכדי לספק יכולת מבוזרת של תשתית מפתח ציבורי (PKI). כחלופה לרכיב ION, מוצע גם DID Web כמערכת האמון.
כיצד פועל זיהוי מבוזר
בתשתית זהויות מבוזרות, למנפיק, למשתמש ולגורם המסתמך יש תפקיד בביסוס והבטחה של חילופי אישורים מהימנים אחד אל מול השני. המפתחות הציבוריים של DIDs ושל השחקנים ניתנים לפתרון באמצעות מערכת האמון, המאפשרת אימות חתימה ולכן צריך אמון בכל אובייקט, כולל אישור הניתן לאימות.
הצדדים המסתמכים יכולים לצרוך אישורים הניתנים לאימות מבלי ליצור קשרי אמון עם המנפיק. במקום זאת, המנפיק מספק לנושא אישור להציג כהוכחה לצדדים המסתמכים. כל התעבורה בין הצדדים חתומות על גבי DID, שהם גם מנפיקים ומאמתים וצריכים גם להיות הבעלים של תחומים מסויימים שיצרו את הבקשות.
התממשקות על גבי פרופיל DIF שמבוסס על תקן אל מול ספקים כמו IBM, Workday, Ping בכדי שכל אחד יוכל לבנות ארנקים דיגיטליים תואמים. הפרופיל מאפשר למפתחים דרך עקבית לנהל אישורים כחלק מפיתוח ארנקים הדיגיטליים.
תרחישים מרכזיים
קליטה מהירה יותר מרחוק: אמת פרטי זהות עבור הרשמה מהימנה בשירות עצמי וצמצום זמן הגיוס.
אמת גישה לאפליקציות בעלות ערך גבוה: אמת במהירות את האישורים והסטטוס של אדם כדי להעניק גישה עם הרשאות מינימליות בביטחון.
שחזור חשבון קל: החלף שיחות תמיכה ושאלות אבטחה בתהליך שירות עצמי יעיל כדי לאמת זהויות.
גישת API מאפשרת לשלב אישורים הניתנים לאימות באפליקציות קיימות ומאפשרת מודל אימוץ פשוט לשיפור יכולת האימות והתאימות, גם במצבים שאפליקציות ורכיבים עשויים להיות מאוחסנים באופן מקומי או בספקי ענן אחרים, כמו, AWS.
תחילת העבודה עם Entra Verified ID עוד היום
בדומה למוניטין, DIDs מתחילים את מחזור החיים ללא ראיות להוכחה, ולכן הם מייצגים זהויות ריקות, ורק הבעלים יכול להוכיח את החזקה של אותו DID. כדי לצבור ראיות לגיטימיות, DIDs דורשים אישורים מספקי אמון ותהליכים קיימים. מערכות מבוססות DID מספקות מנגנון ליצירת אישורים הכוללים אימות עצמאי של מי הוציא אישור ומתי. על סמך צבירת אישורים אלה ממערכות אמון מרובות, זהות יכולה לבסס ביטחון רב יותר לאורך זמן כדי להתאים לרמת הסיכוון ביכולת לגשת לאפליקציה או לשירות.
נקודות נוספות
ניתן להשתמש בתשתית זהויות מבוזרות כדי לשפר פתרונות קיימים ולספק יכולות חדשות. כדי לממש את השאיפות של זהות מבוזרת (DIF) וכן W3C Design, יש לקחת בחשבון את הנקודות הבאות בעת תכנון או בניית פתרון:
– אין נקודות מרכזיות של ביסוס אמון בין שחקנים במערכת. כלומר, גבולות האמון אינם מורחבים באמצעות הפדרציה מכיוון ששחקנים סומכים על קרנות הון סיכון ספציפיות.
– מערכת האמון מאפשרת גילוי של המזהה המבוזר של כל שחקן (DID).
– הפתרון מאפשר למאמתים לאמת כל אישור הניתנות לאימות מכל מנפיק.
– הפתרון אינו מאפשר למנפיק לשלוט בהרשאה של הנבדק או של המאמת.
– השחקנים פועלים באופן מופרד, כל אחד מהם מסוגל להשלים את הפעולות.
– מנפיקים נותנים שירות לכל בקשת ואינם מפלים את הבקשות המטופלות.
– הנבדקים הם הבעלים שלהם לאחר ההנפקה.
– מאמתים יכולים לאמת בקשות מכל נושא או מנפיק.
לסיכום
חשוב לתכנן את פתרון הזהויות הניתן לאימות, כך שבנוסף להנפקה או אימות של אישורים, תהיה תמונה מלאה של האישורים, אופן הזיהוי, תהליכים והפשעות על הפתרון שלך. התכנון מכיל מרכיבים מגוונים רובים, כמו, גישה לזהות, שילוב מערכות ריכוזיות ומובזרות, שחקנים ידועים מראש, גישה וגבולות אמון, אינגטרציה עם שחקנים צד שלישי ושלל אלמנטים נוספים.
למרות שישנה מגמה ליצור זהויות מאובטחות ופחות ניתנות לפריצה, הביזור במטבעות דיגיטליים הראה לנו כמו במקרים האחרים שאין מנגנון חסין.
<
p dir=”rtl”>איך מתכננים Entra VID ואיך מגדירים? במאמרים הבאים!
2 Responses
[…] 'תעודה מזהה' מאומתת היא טכנולוגיה שמכה גלים ומשנה את האופן שבו אנו מבצעים אימות. זו הסיבה לכך שעליך להשתמש בתעודה מזהה מאומתת. […]
[…] ‘תעודה מזהה’ מאומתת היא טכנולוגיה שמכה גלים ומשנה את האופן שבו אנו מבצעים אימות. זו הסיבה לכך שעליך להשתמש בתעודה מזהה מאומתת. […]