Ir pienācis laiks pilnvaru piesaistīšanai

21. augusts, 2018

Sveiki, draugi,

Pēdējie mēneši ir bijuši ļoti aizraujoši identitātes un drošības standartu pasaulē. Lielas šīs nozares speciālistu grupas darba rezultātā esam ļoti daudz paveikuši apjomīgas jaunu un uzlabotu standartu kopas izveidē, lai uzlabotu veselas mākoņpakalpojumu un ierīču paaudzes drošību un lietotāju iespējas.

Viens no visnozīmīgākajiem uzlabojumiem ir pilnvaru piesaistīšanas specifikāciju saime, kas tagad ir nozīmīgi pietuvojusies gala ratifikācijai, ko veic interneta tehniskā atbalsta darba grupa Internet Engineering Task Force (IETF). (Ja vēlaties iegūt papildinformāciju par pilnvaru piesaistīšanu, noskatieties šo izcilo Braiena Kembela (Brian Campbell) prezentāciju.)

Korporācijā Microsoft mēs uzskatām, ka pilnvaru piesaistīšana var ievērojami uzlabot drošību gan uzņēmumu, gan patērētāju scenārijos, darot augsta līmeņa identitātes un autentifikācijas nodrošināšanu plaši un vienkārši pieejamu izstrādātājiem visā pasaulē.

Tā kā uzskatām, ka tās ietekme būs ļoti pozitīva, mēs turpināsim iesākto darbu ar kopienu, lai izveidotu un ieviestu pilnvaru piesaistīšanas specifikāciju saimi.

Tagad, kad specifikācijas ir tuvu ratifikācijai, vēlos izteikt divus aicinājumus rīkoties.

Sāciet eksperimentēt ar pilnvaru piesaistīšanu un savas izvietošanas plānošanu.
Sazinieties ar jūsu pārlūkprogrammu un programmatūras piegādātājiem un lūdziet drīzumā nodrošināt pilnvaru piesaistīšanas ieviešanas iespējas, ja tas vēl nav paveikts.

Un ar prieku paziņoju, ka Microsoft ir tikai viens no daudzajiem iesaistītajiem šajā nozarē, kas uzskata, ka pilnvaru piesaistīšana ir svarīgs risinājums, kura laiks tagad ir pienācis.

Lai sniegtu plašāku informāciju par to, kādēļ pilnvaru piesaistīšana ir nozīmīga, došu vārdu šajā nozarē plaši pazīstamajai Pamelai Dinglai (Pamela Dingle), kas tagad ir Microsoft identitātes standartu direktors Azure AD grupā.

Cieņā

Alekss Simonss (Alex Simons) (Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

—————————————————————————————————————————–

Paldies, Aleks. Sveiciens visiem klātesošajiem!

Esmu tikpat saviļņots kā Alekss! Daudz gadu un pūļu ir ieguldīts specifikācijās, kas kļūs par jaunajiem RFC standartiem pēc pavisam neilga laika. Arhitektiem ir pienācis īstais laiks iedziļināties pilnvaru saistīšanas nodrošinātajās specifiskajās identitātes un drošības priekšrocībās.

Iespējams, vēlaties jautāt, kāpēc pilnvaru saistīšana ir tik lieliska? Pilnvaru saistīšanas rezultātā sīkfaili, OAuth piekļuves pilnvaras un atsvaidzināšanas pilnvaras, kā arī OpenID savienojuma ID marķieri nav lietojami ārpus klientam specifiskā TLS konteksta, kurā tās tika piešķirtas. Parasti šādas pilnvaras ir “uzrādītāja” pilnvaras — jebkurš lietotājs, kura rīcībā ir pilnvara, var to apmainīt pret resursiem. Pilnvaru piesaistīšana uzlabo šo modeli, ieviešot apstiprinājuma mehānismu, kas paredzēts pilnvaras izdošanas laikā apkopotā kriptogrāfiskā materiāla salīdzināšanai ar pilnvaras izmantošanas laikā apkopoto kriptogrāfisko materiālu. Tikai atbilstošais klients, izmantojot atbilstošo TLS kanālu, izturēs šo pārbaudi. Šis process, kas liek pilnvaras uzrādītājam pierādīt sevi, tiek dēvēts par īpašumtiesību apliecināšanu.

Izrādās, ka sīkfailus un pilnvaras var izmantot ārpus sākotnējā TLS konteksta dažādos ļaunprātīgos veidos. Tie var būt nolaupīti sesijas sīkfaili vai nopludinātas piekļuves pilnvaras, vai arī sarežģītas MiTM. Tāpēc IETF OAuth 2 drošības labākās pašreizējās prakses projektā ir ieteikta pilnvaru piesaistīšana un tāpēc mēs nesen divkāršojām atlīdzību mūsu identitātes atlīdzības programmā. Pieprasot īpašumtiesību apliecināšanu, sīkfailu vai pilnvaru oportūnistiska vai iepriekšēji plānota izmantošana mērķiem, kādiem tie nav paredzēti, kļūst potenciālajiem uzbrucējiem pārāk sarežģīta un dārga.

Kā jebkurš cits īpašumtiesību apliecināšanas mehānisms, pilnvaru piesaistīšanas metode mums nodrošina iespēju izveidot padziļinātu aizsardzību. Mēs varam pielikt visas pūles, lai netiktu zaudēta neviena pilnvara, bet varam arī pārbaudīt, lai būtu droši. Atšķirībā no citiem īpašumtiesību pierādīšanas mehānismiem, piemēram, klienta sertifikātiem, pilnvaru piesaistīšana ir pašpietiekama un caurspīdīga lietotājam, kā arī visgrūtāko darbu paveic infrastruktūra. Ceram, ka nonāksim pie tā, ka ikviens varēs izvēlēties darboties ar augstu identitātes apliecināšanas līmeni, kā arī prognozējam, ka sākotnēji saņemsim lielu pieprasījumu no valsts un finanšu iestādēm, jo tām ir regulējošas prasības attiecībā uz īpašumtiesību pierādīšanu. Piemēram, ikvienam, kam nepieciešama NIST 800 63C AAL3 kategorizēšana, ir nepieciešama šāda tehnoloģija.

Līdz pilnvaru piesaistīšanai ir ejams garš ceļš. Ir pagājuši jau trīs gadi. Lai gan specifikāciju ratifikācija ir nozīmīgs atskaites punkts, mums kā ekosistēmai vēl ir jāizveido ļoti daudz un šai specifikācijai sekmīgi jādarbojas pie dažādiem piegādātājiem un dažādās platformās. Ar prieku gaidām nākamos mēnešus, lai sāktu padziļināti informēt par drošības ieguvumiem un labākajām praksēm, ko nodrošina šī funkcionalitāte, un ceram, ka pievienosities mums, atbalstot šo tehnoloģiju, lai arī kur tā jums būtu nepieciešama.

Uz redzēšanos,

Pamela

Saistītās ziņas

24. maijs, 2022

Sadarbību veicinošu programmu veidošana ar Microsoft Teams
14. jūlijs, 2021

Iepazīstinām ar jaunu hibrīdās personiskās skaitļošanas ēru: Windows 365 mākoņdatoru
14. jūlijs, 2021

No sadarbības programmām programmā Microsoft Teams līdz Windows 365 — lūk, kas ir jauns risinājumu struktūrā Microsoft 365 pasākumā Inspire
25. maijs, 2021

Izveidojiet nākamās paaudzes sadarbību veicinošās programmas hibrīdajam darbam

Saistītās ziņas

Sadarbību veicinošu programmu veidošana ar Microsoft Teams

Iepazīstinām ar jaunu hibrīdās personiskās skaitļošanas ēru: Windows 365 mākoņdatoru

No sadarbības programmām programmā Microsoft Teams līdz Windows 365 — lūk, kas ir jauns risinājumu struktūrā Microsoft 365 pasākumā Inspire

Izveidojiet nākamās paaudzes sadarbību veicinošās programmas hibrīdajam darbam