Jericho Forum (I)
Jeg synes godt at jeg vil bruge lidt kræfter på at bringe fokus på Jericho Forums arbejde med hvad de kalder "de-perimeterisation" - afperimeterlisering (forslag til en bedre oversættelse modtages gerne).
Denne blog-post er een ud af to. Dette første afsnit beskriver Jericho Forum og er taget fra et foreløbigt kapitel i min opgave. I den anden del vil jeg gennemløbe de indslag der er kommet til "The Jericho Forum Challenge" som er en nyligt afløbet konkurrence for til bedst at beskrive hvordan en arkitektur bygget over Jericho Forums principper, kan håndtere fremtidens problemstillinger. Men mere om det senere.
En gennemgang af Jericho Forum
Jericho Forum er et forum der opererer under Open Group.
Medlemmerne i forummet deler visionen, at i en verden hvor forretning og teknologi i stadig større grad sker over et globalt netværk, vil der på sigt blive diskrepans imellem nuværende sikkerhedsmetodikker og de nye krav og udfordringer som organisationer står overfor.
Vigtigt for udviklingen er det, at der sker overensstemmelse imellem sikkerhedsarkitekturen og it-arkitektur. Dette betyder at sikkerhedsarkitekturen skal understøtte organisationens forretningsprocesser såsom samarbejde og handel over åbne netværk, uden at skelne imellem om processen finder sted indenfor eller udenfor organisations fysiske mure. Mere specifikt går udviklingen imod:
Det primære problem med den eksisterende tilgang til it-sikkerhed, mener Jericho Forum, er afhængigheden af en netværksperimeter (typisk en firewall eller proxyserver) som en beskyttelse af det 'indre' imod det 'ydre'. Denne perimeterbaserede tilgang er ufleksibel og har ikke vist sig tilstrækkelig til at dæmme op omkring et stadig voksende antal angreb som får uanfægtet adgang til organisationen igennem autoriserede porte i perimeteren.
Problemerne afstedkommer på baggrund af ændrede krav fra forretningsmiljøet. De forretningsmæssige fordele ved outsourcing og serviceorienteret arkitektur stiller især krav om fleksibilitet og interoperabilitet igennem løst koblede systemer; in- og outsourcing af services; distribuerede brugere, etc. Men der er meget der tyder på, at det kræver en væsentlig holdningsændring for at sikre udveksling af transaktioner og kritisk forretningsdata under disse nye forhold.
Moulds & van Someren (2005: 2) forstærker, med følgende situationsbeskrivelse, synspunktet om, at der er behov for et holdningsskifte i tilgangen til it-sikkerhed.
Ifølge Jericho Forum, er løsningen, at trække perimeterbeskyttelsen ind til de individuelle netværksserver og apparater på netværket og i sidste ende autorisere på individuelt data. Således er målet at fingranulere autorisation til ressourcer, hvilket står i modsætning til trenden indenfor it-arkitektur, som går imod stadig større granulering af beskeder.
Jericho Forum kalder udviklingen for "de-perimeterisation" (afperimeterlisering). Selve ordbruget formodes valgt for at skabe debat fordi, som vist i denne gennemgang, er formålet ikke at fjerne perimeterafgrænsningen, men i stedet at hver applikation har dens egen perimeterbeskyttelse som bygger på en overordnet sikkerhedsmodel.
Dette er dog en model, som skal gennemtænkes grundigt hvis resultatet ikke skal blive en administrativt tungere, og mere usammenhængende sikkerhedsmodel. Derfor er interoperabilitet igennem åbne standarder en nødvendighed for at skabe sikre løsninger som understøtter ovenstående udvikling. En sådan løsning fordrer sandsynligvis adoptionen af føderale brugerstyringsmodeller da det synes logisk at identitetsstyringen bliver det centrale element i fremtidens sikkerhedsperimeter. Men behold firewall'en indtil vi er så langt.
Denne blog-post er een ud af to. Dette første afsnit beskriver Jericho Forum og er taget fra et foreløbigt kapitel i min opgave. I den anden del vil jeg gennemløbe de indslag der er kommet til "The Jericho Forum Challenge" som er en nyligt afløbet konkurrence for til bedst at beskrive hvordan en arkitektur bygget over Jericho Forums principper, kan håndtere fremtidens problemstillinger. Men mere om det senere.
En gennemgang af Jericho Forum
Jericho Forum er et forum der opererer under Open Group.
Medlemmerne i forummet deler visionen, at i en verden hvor forretning og teknologi i stadig større grad sker over et globalt netværk, vil der på sigt blive diskrepans imellem nuværende sikkerhedsmetodikker og de nye krav og udfordringer som organisationer står overfor.
Vigtigt for udviklingen er det, at der sker overensstemmelse imellem sikkerhedsarkitekturen og it-arkitektur. Dette betyder at sikkerhedsarkitekturen skal understøtte organisationens forretningsprocesser såsom samarbejde og handel over åbne netværk, uden at skelne imellem om processen finder sted indenfor eller udenfor organisations fysiske mure. Mere specifikt går udviklingen imod:
- Stigende online kollaboration og samhandel på tværs af et mangefold af forretningsentiteter - herunder håndtering af sensitiv og forretningskritisk information.
- Globale trends går imod en stigende anvendelse af outsourcing og offshoring af supportaktiviteterne i virksomhedernes værdikæde
Det primære problem med den eksisterende tilgang til it-sikkerhed, mener Jericho Forum, er afhængigheden af en netværksperimeter (typisk en firewall eller proxyserver) som en beskyttelse af det 'indre' imod det 'ydre'. Denne perimeterbaserede tilgang er ufleksibel og har ikke vist sig tilstrækkelig til at dæmme op omkring et stadig voksende antal angreb som får uanfægtet adgang til organisationen igennem autoriserede porte i perimeteren.
Problemerne afstedkommer på baggrund af ændrede krav fra forretningsmiljøet. De forretningsmæssige fordele ved outsourcing og serviceorienteret arkitektur stiller især krav om fleksibilitet og interoperabilitet igennem løst koblede systemer; in- og outsourcing af services; distribuerede brugere, etc. Men der er meget der tyder på, at det kræver en væsentlig holdningsændring for at sikre udveksling af transaktioner og kritisk forretningsdata under disse nye forhold.
Moulds & van Someren (2005: 2) forstærker, med følgende situationsbeskrivelse, synspunktet om, at der er behov for et holdningsskifte i tilgangen til it-sikkerhed.
In fact, the majority of the IAM (Identity & Authorization Management) market seems firmly rooted in the traditional perimeter world focused on administrative functions associated with weak password based authentication of users. Products place relatively little emphasis on security and are deployed âsafely' behind the perimeter. In some deployments security does come into play in the context of strong authentication i.e. the use of legacy tokens or smart cards, but here the emphasis is placed on authenticating select groups of remote users through the perimeter or providing physical building access to secure facilities. Rarely do these deployments extend to strengthening the collaboration and commercial activities that take place once initial access has been granted.
Ifølge Jericho Forum, er løsningen, at trække perimeterbeskyttelsen ind til de individuelle netværksserver og apparater på netværket og i sidste ende autorisere på individuelt data. Således er målet at fingranulere autorisation til ressourcer, hvilket står i modsætning til trenden indenfor it-arkitektur, som går imod stadig større granulering af beskeder.
Jericho Forum kalder udviklingen for "de-perimeterisation" (afperimeterlisering). Selve ordbruget formodes valgt for at skabe debat fordi, som vist i denne gennemgang, er formålet ikke at fjerne perimeterafgrænsningen, men i stedet at hver applikation har dens egen perimeterbeskyttelse som bygger på en overordnet sikkerhedsmodel.
Dette er dog en model, som skal gennemtænkes grundigt hvis resultatet ikke skal blive en administrativt tungere, og mere usammenhængende sikkerhedsmodel. Derfor er interoperabilitet igennem åbne standarder en nødvendighed for at skabe sikre løsninger som understøtter ovenstående udvikling. En sådan løsning fordrer sandsynligvis adoptionen af føderale brugerstyringsmodeller da det synes logisk at identitetsstyringen bliver det centrale element i fremtidens sikkerhedsperimeter. Men behold firewall'en indtil vi er så langt.
0 TrackBacks
Listed below are links to blogs that reference this entry: Jericho Forum (I).
TrackBack URL for this entry: http://www.wickedpixel.net/cgi-bin/mt/mt-tb.cgi/905
Leave a comment