În ultimele câteva luni am trăit momente CU ADEVĂRAT fascinante în lumea standardelor de identitate și de securitate. Datorită eforturilor depuse de un număr mare de experți în domeniu, am realizat progrese incredibile în finalizarea unui set amplu de standarde noi și îmbunătățite care vor optimiza atât securitatea, cât și experiențele de utilizatori ale unei generații întregi de dispozitive și servicii cloud.

Una dintre cele mai importante îmbunătățiri o reprezintă familia de specificații Token Binding aflată acum în faza de ratificare finală la Internet Engineering Task Force (IETF). (Dacă doriți să aflați mai multe despre Token Binding, urmăriți această prezentare excepțională, realizată de Brian Campbell.)

La Microsoft, considerăm că Token Binding poate îmbunătăți semnificativ securitatea în scenarii la nivel de întreprindere și de client, întrucât asigurarea identității și autentificării la nivel înalt devine accesibilă cu ușurință și pe scară largă pentru dezvoltatori din întreaga lume.

Ținând cont de impactul pozitiv pe care credem că îl poate avea acest lucru, ne-am luat un angajament ferm să lucrăm alături de comunitate pentru a crea și a adopta familia de specificații Token Binding.

Acum, când specificațiile sunt aproape ratificate, aș dori să fac două apeluri la acțiune:

1. Începeți să experimentați legarea tokenurilor și să planificați implementările.
2. Contactați furnizorii browserului și software-ului dvs., solicitându-le să vă livreze implementările pentru Token Binding cât mai repede posibil, dacă nu au făcut deja acest lucru.

Sunt încântat să anunț că Microsoft este una dintre numeroasele voci din industrie care susțin că Token Binding este o soluție importantă și de actualitate.

Pentru mai multe informații referitoare la importanța legării tokenurilor, am să îi dau cuvântul Pamelei Dingle, o voce importantă în industrie pe care mulți dintre dvs. o cunosc deja, actualmente Director de Standarde de identitate la Microsoft, în echipa Azure AD.

Cu stimă,

Alex Simons (Twitter: @Alex_A_Simons)

Director Management programe

Divizia Microsoft Identity

—————————————————————————————————————————–

Mulțumesc, Alex, și salutare tuturor,

Împărtășesc și eu entuziasmul lui Alex! Eforturile depuse ani la rând s-au concretizat în specificațiile care vor fi celebrate ca noi standarde RFC în cel mai scurt timp. Este momentul ca arhitecții să aprofundeze avantajele specifice privind identitatea și securitatea pe care le oferă Token Binding.

Dar poate că vă întrebați de ce este atât de deosebită legarea tokenurilor. Token binding produce module cookie, tokenuri de acces și tokenuri de reîmprospătare OAuth, precum și tokenuri OpenID Connect ID inutilizabile în afara contextului TLS specific clientului în care au fost emise. În mod normal, aceste tokenuri sunt „la purtător”, ceea ce înseamnă că oricine deține tokenul îl poate da la schimb pe resurse, însă Token binding îmbunătățește acest model, prin așezare pe niveluri într-un mecanism de confirmare pentru a testa materiale criptografice colectate la data emiterii tokenului în raport cu materialele criptografice colectate la data utilizării acestuia. Doar clientul potrivit, care utilizează canalul TLS potrivit, va trece testul. Acest proces de forțare a entității care prezintă tokenul pentru a oferi dovezi despre ea însăși se numește „dovada deținerii”.

Astfel, modulele cookie și tokenurile pot fi utilizate în afara contextului TLS inițial în multe moduri rău intenționate. Poate fi vorba despre module cookie de sesiune deturnată sau tokenuri de acces pierdutesau MiTM sofisticate. Iată de ce schița Cele mai bune practici privind securitatea OAuth 2 IETF recomandă Token binding și iată de ce am dublat recent recompensele în programul de bonificații privind identitatea. Solicitând dovada deținerii, transformăm utilizarea oportunistă sau premeditată, în moduri contrare scopului prevăzut, a modulelor cookie sau tokenurilor în ceva prea dificil și costisitor pentru a fi încercat de un atacator.

Asemenea oricărei dovezi privind mecanismul de deținere, Token binding ne oferă capacitatea de a ne construi apărarea până în cele mai mici detalii. Putem lucra din greu pentru a nu pierde niciodată un token, dar putem verifica, de asemenea, doar pentru siguranță. Spre deosebire de alte dovezi privind mecanismele de deținere, cum ar fi certificatele de client, Token binding este independentă și transparentă pentru utilizator, cea mai mare parte din munca grea fiind suportată de infrastructură. Sperăm că, în cele din urmă, aceasta va însemna că orice persoană va putea alege să funcționeze la un înalt nivel de asigurare a identității, însă ne așteptăm la început la o cerere masivă din partea guvernului și a segmentelor verticale financiare, întrucât acestea au cerințe imediate de reglementare pentru a face dovada deținerii. De exemplu, orice persoană care solicită clasificarea AAL3 NIST 800-63C are nevoie de acest tip de tehnologie.

Token binding reprezintă un proces de lungă durată. De trei ani lucrăm la acesta și, deși ratificarea specificațiilor reprezintă o piatră de hotar extraordinară, mai avem mult de construit la nivel de ecosistem, iar pentru a avea succes, aceste specificații trebuie să funcționeze la nivel de distribuitori și de platforme. Abia așteptăm ca în lunile următoare să începem partajarea în detaliu a beneficiilor de securitate și a celor mai bune practici care decurg din adoptarea acestei funcționalități. Nutrim speranța că veți fi alături de noi susținând această tehnologie oriunde este nevoie.

Numai bine,

Pam

The post E timpul pentru legarea tokenurilor appeared first on Microsoft 365 Blog.

Îmi face plăcere să anunț astăzi implementarea capacităților de consimțământ parental recent reproiectate și îmbunătățite pentru utilizatorii unui cont Microsoft din Uniunea Europeană. Acesta reprezintă un pas important în a le oferi utilizatorilor noștri capacitățile definite în Regulamentul general privind protecția datelor (RGPD).

La Microsoft, copiii sunt considerați o parte importantă a ecosistemului nostru de utilizatori, indiferent dacă joacă Minecraft, stau la povești cu bunicii pe Skype sau se uită la Purcelușa Peppa pe Surface Book. Considerăm că este, de asemenea, important ca părinții și tutorii să dețină dispozitive de siguranță adecvate. Iată de ce Microsoft are un angajament de lungă durată în ce privește COPPA și reglementări similare în întreaga lume.

Potrivit RGPD, prelucrarea datelor cu caracter personal ale copiilor sub 16 ani se face numai cu consimțământul părinților. Statele membre ale UE pot alege să stabilească o vârstă inferioară, lucrul pe care unele l-au și făcut, dar nu sub 13 ani. Întrucât Legea de protejare a confidențialității pentru activitatea interactivă a copiilor (COPPA) din Statele Unite și RGPD au multe puncte comune, am lucrat pentru a combina și a îndeplini standardele mai stricte la toate nivelurile.

Pentru a îndeplini această cerință, sistemele noastre trebuie să știe care dintre utilizatorii de cont Microsoft sunt adulți și care nu sunt adulți, folosind o metodă care respectă diferitele cerințe legislative.

În acest scop, ne vom asigura că dispunem de data nașterii pentru toate conturile acoperite. Am început să le solicităm persoanelor care nu au furnizat această informație să indice țara și data nașterii lor. Cât privește utilizatorii sub limita de vârstă de consimțământ stabilită în țara lor, acestora li se solicită consimțământul părinților în momentul în care se conectează la propriul cont. (Rețineți că se acordă o scurtă perioadă de grație, pentru ca părinții să finalizeze procesul de verificare.)

Pentru a acorda consimțământul pentru contul copilului, părinții pot demonstra că sunt adulți prin folosirea unei cărți de credit. Oferim și alte metode de verificare a vârstei pentru părinții care nu dispun de o carte de credit sau care nu doresc să o folosească. Părinții pot contacta Serviciul pentru clienți și Asistența Microsoft pentru a verifica vârsta și identitatea pe baza unor documente corespunzătoare eliberate de autorități. După perioada de grație, accesul la contul copilului va fi blocat până când părintele finalizează procesul de verificare și de acordare a consimțământului.

Înțelegem că procesul de acordare a consimțământului parental poate consuma timp. Asemenea multora dintre partenerii noștri din industria de profil, ne bazăm pe utilizarea unei taxări a cărții de credit în cazul verificării statutului de adult a utilizatorului. Utilizarea unei cărți de credit reprezintă unul dintre mecanismele de reglementare aprobate pentru a dovedi vârsta adultă. Avem un angajament de lungă durată în vederea introducerii soluțiilor de identitate în industria standardelor care le permit părinților să își verifice propria identitate într-un mod sigur, privat și coerent în întreaga lume.

Am monitorizat îndeaproape implementarea și am investigat în mod sârguincios orice problemă care a apărut. Una dintre tendințele pe care le-am observat are legătură cu adulții cărora li se solicită acordarea consimțământului parental. În toate cazurile am putut urmări problema până la nivel de utilizator, care, intenționat sau din greșeală, introduce o dată de naștere care îl clasifică drept minor. Adăugăm câteva mecanisme utile în această situație, însă, din nefericire, acestea nu ne obligă să stabilim că utilizatorul nu este un copil. Vom căuta în continuare noi modalități de a îmbunătăți această experiență. Desigur, obiectivul nostru este să le permitem tuturor utilizatorilor să ne ofere data corectă a nașterii, cu cât mai puține divergențe posibile.

Sper că vă veți face puțin timp să analizați această nouă caracteristică. În ce ne privește, vom continua să rafinăm și să ne îmbunătățim scenariile care îi ajută pe părinți să se asigure de siguranța copiii lor în mediul online.

Ca de obicei, ne-ar face mare plăcere să primim feedbackurile sau sugestiile dvs.

Cu stimă,

Alex Simons (Twitter: @Alex_A_Simons)

Director Management programe

Divizia Microsoft Identity

The post Prezentarea caracteristicilor legate de vârstă ale contului Microsoft pentru RGPD appeared first on Microsoft 365 Blog.

Mulți dintre dvs. probabil că utilizați deja colaborarea B2B Azure Active Directory (Azure AD) pentru a lucra îndeaproape cu partenerii externi. De la lansarea capacităților B2B Azure AD care a avut loc anul trecut, peste 800.000 de organizații le-au utilizat pentru a colabora cu partenerii lor, ceea ce a însemnat adăugarea a 8 milioane de conturi de utilizatori invitați. Uimitor, nu-i așa?!

Potrivit unuia dintre cele mai frecvente feedbackuri pe care le-am primit, aveți nevoie de asigurarea funcționării colaborării B2B în cadrul tuturor aplicațiilor, chiar dacă este vorba despre o configurație hibridă, cu aplicații locale și aplicații în cloud. De exemplu, poate că utilizați deja colaborarea B2B pentru a vă invita partenerii să acceseze aplicații în Azure sau Office 365, folosind acreditările lor externe. Dar aveți aplicații locale de mare valoare pe care organizația dvs. nu este încă pregătită să le mute în cloud.

Îmi face o deosebită plăcere să anunț astăzi lansarea unei previzualizări publice, care vă permite să le oferiți acces utilizatorilor B2B Azure AD la aplicații locale, fără a fi necesar să creați manual conturi locale pentru aceștia!

Aceste aplicații locale pot utiliza autentificarea bazată pe SAML sau autentificarea Windows integrată (IWA) cu delegare Kerberos cu restricții (KCD). Aceasta înseamnă că angajații din firmele partenere pot utiliza aceleași conturi de lucru și acreditări pe care le utilizează zilnic, iar acum pot accesa cu ușurință și în siguranță toate aplicațiile cloud și locale pe care le-ați pus la dispoziția lor. În plus, puteți utiliza politici de acces condiționat și politici de gestionare a ciclului de viață în Azure AD pentru a vă proteja resursele întocmai după cum vă puteți proteja angajații.

Pentru început, v-aș recomanda pentru a arunca o privire pe documente. Nu este dificil să le permiteți angajaților și partenerilor dvs. să colaboreze armonios chiar și într-o configurație hibridă! 

Și, ca întotdeauna, luați legătura cu noi pentru eventuale feedbackuri, discuții și sugestii. Știți că vă ascultăm! 

Cu stimă,
Alex Simons (@Twitter: @Alex_A_Simons)
Director Management programe
Divizia Microsoft Identity 

The post Colaborarea B2B Azure Active Directory pentru organizațiile hibrid appeared first on Microsoft 365 Blog.

Astăzi aș vrea să vă povestesc despre câteva noi caracteristici interesante la care am lucrat și de care cred că veți fi încântați. Mai exact, astăzi vă anunțăm că:

1. O conectare fără parolă în previzualizare limitată utilizând o cheie de securitate FIDO2 va fi disponibilă în următoarea actualizare la Windows 10 (în această primăvară).
2. Politicile de acces condiționat la Azure AD pot verifica acum starea dispozitivului așa cum este raportată de Protecția avansată Windows Defender împotriva amenințărilor.
3. Reviziile accesului la Azure AD, caracteristicile Privileged Identity Management și Condiții de utilizare sunt acum toate disponibile pe scară largă.
4. Prin adăugarea listelor de domenii permise și interzise, Colaborarea Azure AD B2B vă oferă acum capacitatea de a controla cu ce organizații partenere lucrați.

Pentru mai multe detalii, continuați să citiți!

O conectare fără parolă în previzualizare limitată utilizând o cheie de securitate FIDO2 va fi disponibilă în următoarea actualizare la Windows 10 (în această primăvară).

Dacă doriți să îmbunătăți în mod semnificativ postura dumneavoastră de securitate, să reduceți riscul atacurilor de phishing și costurile de gestionare a parolelor, vă va plăcea ceea ce facem pentru a adăuga suport FIDO2 la Windows 10.

Cu următoarea actualizare de Windows 10, adăugăm o previzualizare limitată a asistenței noastre pentru cheia de securitate FIDO2. Această capacitate nouă va oferi angajaților dvs. posibilitatea de a se conecta la un PC cu Windows 10 asociat la Azure Active Directory fără un nume de utilizator sau parolă. Tot trebuie să facă este să introducă cheia de securitate conformă FIDO2 în portul USB și în filă. Aceștia vor fi conectați automat la dispozitiv și, de asemenea, vor primi acces de tip sign-on unic la toate resursele dvs. cloud protejate de Azure AD.

Vedeți cum funcționează în acest videoclip:

Mai avem mult de lucru aici, desigur, inclusiv să adăugăm asistență pentru crearea de chei delegate și asistență pentru medii hibride. Dar acesta va fi un pas URIAȘ în efortul nostru de a elimina definitiv parolele și suntem foarte entuziasmați de el.

Politicile de acces condiționat la Azure AD pot verifica acum starea dispozitivului așa cum este raportată de Protecția avansată Windows Defender împotriva amenințărilor.

De asemenea, dorim să anunțăm îmbunătățiri importante la Accesul condiționat Azure AD, bazate pe o nouă integrare cu Intune și Protecția avansată Windows Defender împotriva amenințărilor. Acum puteți crea politici de acces bazate pe nivelul de risc detectat în punctele finale ale Windows 10, ceea ce vă ajută să vă asigurați că doar utilizatori de încredere de pe dispozitive de încredere pot accesa datele corporației dvs. Cu această nouă integrare, Accesul condiționat Azure AD poate primi acum informații despre activitatea suspectă din dispozitivele asociate la domeniu și poate bloca automat accesarea resurselor corporației de către respectivele dispozitive.

Avem un videoclip pe care îl puteți urmări ca să aflați mai multe despre modul în care funcționează această integrare.

Mai multe actualizări!

Avem și alte câteva actualizări pe care dorim să vi le împărtășim și credem că vă veți bucura să aflați despre ele.

În cadrul Ignite 2017, am anunțat previzualizarea publică a reviziilor accesului la Azure AD, Privileged Identity Management (PIM) pentru Azure și a Condițiilor de utilizare și acum ne bucurăm că vă putem anunța disponibilitatea pe scară largă a acestor trei caracteristici în Azure AD Premium!

• Reviziile accesului: Am creat revizii ale accesului pentru a vă ajuta să gestionați devierea în timp a drepturilor de acces. Datorită disponibilității pe scară largă, puteți planifica reviziile accesului să ruleze regulat. În plus, rezultatele reviziilor pot fi aplicate automat pentru a contribui la asigurarea de revizii de conformitate „curate”.
  
• PIM Azure AD pentru Resursele Azure: Acum puteți folosi capacitățile de acces și atribuire bazate pe timp ale PIM Azure AD pentru a asigura accesul la Resursele Azure. De exemplu, puteți impune autentificarea multi-factor sau un flux de lucru de aprobare de fiecare dată când un utilizator solicită sporirea privilegiilor pentru a primi rolul de Colaborator Mașini virtuale. 
  
• Condiții de utilizare: Mulți clienți ne-au spus că au nevoie de o modalitate de a le arăta angajaților și partenerilor cum ar trebui să folosească datele pe care urmează să le acceseze, mai ales că se apropia data intrării în vigoare a GDPR, 25 mai 2018. Condițiile de utilizare Azure AD sunt acum disponibile pe scară largă. Am adăugat de curând asistență pentru condițiile de configurare în mai multe limbi și noi rapoarte detaliate indicând momentul în care anumiți utilizatori au fost de acord cu un set de condiții de utilizare și care anume a fost acel set.
  

Prin adăugarea listelor de domenii permise și interzise, Colaborarea Azure AD B2B vă oferă acum capacitatea de a controla cu ce organizații partenere lucrați.

Nu în cele din urmă, acum puteți specifica cu ce organizații partenere doriți să partajați și să colaborați în cadrul Colaborării Azure AD B2B. Pentru a face acest lucru, puteți alege să creați o listă de domenii permise sau interzise specifice. Când un domeniu este blocat folosind aceste capacități, angajații nu mai pot trimite invitații persoanelor din respectivul domeniu.

Aceasta vă permite să controlați accesul la resursele proprii, în timp ce permite o experiență fără probleme pentru utilizatorii aprobați.

Această caracteristică de Colaborare B2B este disponibilă pentru toți clienții Azure Active Directory și poate fi utilizată împreună cu caracteristicile Premium ale Azure AD, precum accesul condiționat și protecția identității, pentru un control mai granular al momentului și modului în care utilizatorii business externi se conectează și obțin acces.

Accesați aici pentru a afla mai multe.

În concluzie

Suntem încântați că vă putem aduce noi modalități de a gestiona parole, proteja identități și reduce impactul amenințărilor. Conectarea fără parolă la Windows cu ajutorul caracteristicii Azure AD va fi curând în previzualizare limitată, așa că anunțați-ne dacă doriți să vă trecem pe lista de așteptare ca să o încercați.

Și, ca întotdeauna, dacă aveți orice feedback sau sugestii, spuneți-ne! Așteptăm cu nerăbdare opiniile dvs.

Cu stimă,

Alex Simons (Twitter: @Alex_A_Simons)

Director Management programe

Divizia Microsoft Identity, Colaborator Mașini virtuale

The post Conectarea fără parolă la Windows 10 și Azure AD folosind FIDO2 va fi disponibilă în curând (plus alte știri interesante)! appeared first on Microsoft 365 Blog.

Sper că veți considera postarea de azi la fel de interesantă cum mi se pare mie. Conține informații care dau de gândit și oferă o perspectivă interesantă asupra viitorului identităților digitale.

În ultimele 12 luni am investit în incubarea unui set de idei de utilizare a blockchainului (și a altor tehnologii de tip registru distribuit) pentru a crea noi tipuri de identități digitale, create de la zero pentru a îmbunătăți confidențialitatea, securitatea și controlul personal. Suntem foarte încântați de rezultate și de parteneriatele noi pe care le-am încheiat pe parcurs. Astăzi profităm de ocazia de a vă împărtăși orientarea și ideile noastre. Acest articol face parte dintr-o serie și se bazează pe postarea de pe blogul lui Peggy Johnson în care aceasta anunță că Microsoft s-a alăturat inițiativei ID2020. Dacă nu ați citit deja postarea lui Peggy, vă recomand să faceți mai întâi acest lucru.

L-am rugat pe Ankur Patel, PM al echipei mele care gestionează aceste incubări, să demareze discuția despre identitățile digitale descentralizate. Postarea sa se axează pe câteva dintre lucrurile esențiale pe care le-am învățat și câteva principii rezultate pe care le aplicăm pentru a direcționa pe viitor investiții în acest domeniu.

Și, ca întotdeauna, ne-ar face plăcere să ne transmiteți opiniile și feedbackul dvs.

Cu stimă,

Alex Simons (Twitter: @Alex_A_Simons)

Director Management programe

Divizia Microsoft Identity

———-

Salutare tuturor! Sunt Ankur Patel din Divizia Microsoft Identity. Am onoarea să vă vorbesc despre câteva dintre concluziile și direcțiile viitoare, care au la bază eforturile noastre de a incuba identități descentralizate bazate pe blockchain sau o tehnologie de tip registru distribuită.

Cum vedem noi lucrurile

Așa cum probabil că mulți dintre voi constatați în fiecare zi, lumea trece printr-o transformare digitală în care realitățile digitală și fizică se întrepătrund într-un singur stil de viață modern și integrat. Această lume nouă are nevoie de un nou model de identitate digitală, care să îmbunătățească securitatea și confidențialitatea din lumea fizică și cea digitală.

Sistemele de identitate din cloud ale Microsoft le oferă deja câtorva mii de dezvoltatori, organizații și câtorva miliarde de persoane posibilitatea de a lucra, de a se juca și de a realiza mai multe. Și totuși putem face mult mai mult pentru a le da tuturor această șansă. Ne dorim o lume în care miliardele de oameni care în prezent nu au o identitate digitală fiabilă să își poată îndeplini visele pe care le avem cu toții, cum ar fi educarea copiilor, îmbunătățirea calității vieții sau începerea unei afaceri.

Pentru ca această viziune să devină realitate, credem că este esențial ca oamenii să dețină și să controleze toate aspectele identității lor digitale. În loc să își dea consimțământul larg pentru o mulțime de aplicații și servicii și pentru transmiterea datelor lor de identificare către mai mulți furnizori, oamenii au nevoie de un hub digital criptat și securizat unde să poată să își stocheze datele de identificare și să controleze cu ușurință accesul la acestea.

Fiecare dintre noi are nevoie de o identitate digitală proprie, una care să stocheze în siguranță și confidențial toate elementele.  Această identitate privată trebuie să fie ușor de folosit și să ne ofere control deplin asupra modului în care datele noastre de identificare sunt accesate și utilizate.

Știm că activarea acestui tip de identitate digitală privată este mai importantă decât orice companie sau organizație. Ne angajăm să lucrăm îndeaproape cu comunitatea, clienții și partenerii noștri pentru a crea o nouă generație de experiențe bazate pe identitatea digitală și suntem încântați să colaborăm cu atâția oameni din domeniu care au contribuții incredibile.

Ce am învățat

În acest scop, astăzi împărtășim cele mai bune idei ale noastre bazate pe incubarea identităților descentralizate, un efort care are ca obiectiv crearea unor experiențe mai diverse, consolidarea încrederii și reducerea divergențelor, oferindu-i fiecărei persoane oportunitatea de a deține controlul asupra propriei identități digitale.

1. Dețineți controlul asupra propriei identități. În prezent, utilizatorii își dau consimțământul larg pentru o mulțime de aplicații și servicii privind colectarea, utilizarea și păstrarea datelor în afara controlului lor. Din cauza breșelor de date și furturilor de identitate mai sofisticate și mai frecvente, utilizatorii au nevoie de o modalitate prin care să dețină controlul asupra propriei identități. După examinarea sistemelor de stocare descentralizate, a protocoalelor prin consens și a unei game variate de standarde emergente, suntem de părere că tehnologia și protocoalele blockchain sunt potrivite pentru activarea identificatorilor descentralizați (DID).
2. Confidențialitate prin modul de proiectare, încorporată de la zero.
   În prezent, aplicațiile, serviciile și organizațiile oferă experiențe personalizate, previzibile și comode care depind de controlul datelor de identitate. Avem nevoie de un hub digital criptat și securizat (hub de identitate) care poate interacționa cu datele utilizatorului, oferindu-i totodată confidențialitate și control.
3. Încrederea persoanelor se câștigă, încrederea comunității se construiește.
   Sistemele de identitate tradiționale sunt în principal orientate spre autentificare și gestionarea accesului. Un sistem de identitate privat se axează pe autenticitate și pe modul în care se câștigă încrederea în comunitate. Într-un sistem descentralizat, încrederea se bazează pe certificări, afirmații susținute de alte entități, care demonstrează aspectele identității cuiva.
4. Aplicații și servicii orientate spre utilizator.
   Cele mai interesante aplicații și servicii actuale sunt cele care oferă experiențe personalizate pentru utilizatori prin accesarea datelor cu caracter personal ale acestora. Identificatorii descentralizați și huburile de identitate le pot permite dezvoltatorilor accesul la un set de certificări mai exact, scăzând riscurile juridice și de conformitate la care se expun prin procesarea unor astfel de informații, în loc să le controleze în numele utilizatorului.
5. Platformă interoperabilă deschisă.
   Pentru a crea un ecosistem solid de identități descentralizate accesibil tuturor, acesta trebuie să se bazeze pe tehnologii open source, protocoale și implementări de referință standard. În ultimul an am contribuit la Decentralized Identity Foundation (DIF) cu persoane și organizații care au motivații similare pentru a face față acestei provocări. Dezvoltăm în colaborare următoarele componente cheie:
   

• Identificatori descentralizați (DID): o specificație W3C care definește un format de document comun pentru descrierea stării unui identificator descentralizat
  
• Huburi de identitate: un depozit de date de identitate criptat cu funcții de transmitere a mesajelor/intențiilor, gestionarea certificărilor și puncte finale de calcul specifice identității. 
  
• Rezolvator universal pentru DID: un server care rezolvă DID-uri folosind blockchainuri
  
• Acreditări care se pot verifica: o specificație W3C care definește un format de document pentru codificarea certificărilor bazate pe DID-uri.   
  

6. Gata pentru implementarea în întreaga lume:
   Pentru a accepta un număr mare de utilizatori, organizații și dispozitive, trebuie ca tehnologia subiacentă să fie capabilă de scalare și performanțe echivalente cu cele ale sistemelor tradiționale. Anumite tehnologii blockchain publice (Bitcoin [BTC], Ethereum, Litecoin, printre altele) oferă o bază solidă pentru deblocarea prin rooting a DID-urilor, înregistrarea operațiunilor DPKI și ancorarea certificărilor. Deși unele comunități blockchain au crescut capacitatea tranzacțiilor la nivelul lanțului (de exemplu, prin creșteri ale mărimii blocului), această abordare afectează de obicei negativ starea descentralizată a rețelei și nu poate procesa milioanele de tranzacții pe secundă generate de sistem la scară mondială. Pentru a depăși aceste obstacole tehnice, colaborăm la protocoale descentralizate de nivelul 2, care rulează în paralel cu aceste blockchainuri publice pentru performanțe la scară globală, păstrându-și totodată atributele unui sistem DID de talie mondială.
   
7. Accesibilitate pentru toți:
   Ecosistemul blockchain actual este încă format în mare parte din primii utilizatori, care sunt dispuși să investească timp, efort și energie pentru a gestiona chei și a securiza dispozitive. Nu ne așteptăm la aceste lucruri din partea utilizatorilor obișnuiți. Trebuie să facem operațiunile de gestionare a cheilor, cum ar fi recuperarea, rotirea și accesul securizat, intuitive și ușor de folosit.
   

Pașii următori

Sistemele noi și ideile mărețe sunt ușor de înțeles în stadiul de proiect. Explicațiile sunt logice și presupunerile solide. Însă echipele de produse și de inginerie învață cel mai mult după livrare.

În prezent, aplicația Microsoft Authenticator are deja milioane de utilizatori care trebuie să se autentifice zi de zi. Urmează să facem experimente cu identitățile descentralizate oferind asistență pentru utilizatori în Microsoft Authenticator. După obținerea consimțământului, Microsoft Authenticator va putea juca rolul de Agent utilizator pentru a gestiona datele de identitate și cheile criptografice. În acest proiect, numai ID-ul este deblocat prin rooting la nivelul lanțului. Datele de identitate sunt stocate într-un hub de ID-uri off-chain (la care Microsoft nu are acces) criptat cu aceste chei criptografice.

Când vom adăuga această capacitate, aplicațiile și serviciile vor putea să interacționeze cu datele utilizatorului utilizând un canal de mesagerie comun, solicitând consimțământul granular. Inițial, vom accepta un grup select de implementări DID în blockchainuri și cel mai probabil vom adăuga mai multe în viitor.

Perspectivă

Suntem onorați și încântați în fața acestei provocări majore, dar știm că nu ne putem descurca singuri. Contăm pe sprijinul și contribuția partenerilor noștri, a membrilor Decentralized Identity Foundation și a ecosistemului Microsoft divers, format din designeri, factori de decizie politică, parteneri de afaceri, dezvoltatori de hardware și software. Dar, în primul rând, vom avea nevoie ca dvs., clienții noștri, să trimiteți feedback pe durata testării primei serii de scenarii.

Aceasta este prima postare despre activitatea noastră la Decentralized Identity. În postările viitoare vă vom oferi informații despre conceptul nostru și date tehnice despre aspectele cheie menționate mai sus.

Așteptăm cu nerăbdare să fiți alături de noi în această inițiativă!

Resurse cheie:

• Urmăriți @AzureAD pe Twitter
  
• Alăturați-vă Decentralized Identity Foundation (DIF)
  
• Contribuiți la W3C Credentials Community Group
  

Cu stimă,

Ankur Patel (@_AnkurPatel)

Manager principal de program

Divizia Microsoft Identity

The post Identitățile digitale descentralizate și blockchainul: Viitorul așa cum îl vedem noi appeared first on Microsoft 365 Blog.

Întrucât în ultimii câțiva ani au avut loc multe breșe în serviciile de identitate din cloud, primim o mulțime de întrebări privind modul în care securizăm datele clienților. Așadar, blogul de astăzi oferă detalii despre cum protejăm datele clienților din Azure AD.

Securitatea centrelor de date și a serviciilor

Să începem cu centrele noastre de date. În primul rând, toți membrii personalului centrelor de date Microsoft trebuie să treacă de o verificare a antecedentelor. Accesul la centrele noastre de date este strict reglementat și toate intrările și ieșirile sunt monitorizate. În aceste centre de date, serviciile de bază Azure AD care stochează datele clienților se găsesc pe servere rack speciale, blocate, cu acces fizic mult restricționat și monitorizare video non-stop. În plus, dacă unul dintre aceste servere este scos din funcțiune, toate discurile sunt distruse logic și fizic pentru a evita pierderile de date.

Mai mult, limităm numărul persoanelor care au acces la serviciile Azure AD și chiar și cei care au permisiuni de acces lucrează fără a beneficia zilnic de aceste privilegii atunci când se conectează. Dacă au nevoie de privilegii pentru a accesa serviciul, trebuie să folosească autentificarea multi-factor, utilizând o cartelă inteligentă pentru a-și confirma identitatea și a face o solicitare. După aprobarea solicitării, privilegiile acordate utilizatorilor sunt valabile pentru accesul la timp. Aceste privilegii sunt retrase automat după un anumit interval și orice persoană care are nevoie de mai mult timp trebuie să parcurgă din nou procesul de solicitare și aprobare.

După acordarea privilegiilor, accesul se face de pe o stație de lucru cu administrare gestionată (conform Instrucțiunilor pentru stațiile de lucru cu acces privilegiat publicate). Acest lucru este prevăzut prin politică și conformitatea este strict monitorizată. Aceste stații de lucru utilizează o imagine fixă și toate programele software de pe computer sunt gestionate complet. Pentru a minimiza incidența riscurilor, sunt permise doar activități selectate și utilizatorii nu pot evita accidental modul în care este proiectată stația de lucru de administrare, deoarece nu au privilegii de administrator acordate. Pentru a oferi protecție sporită stațiilor de lucru, accesul se face pe bază de cartelă inteligentă și fiecare accesare este limitată la un anumit grup de utilizatori.

În sfârșit, avem un număr mai mic (maximum cinci) de conturi cu acces în regim de urgență. Aceste conturi sunt rezervate numai situațiilor de urgență și sunt securizate prin proceduri de urgență cu mai mulți pași. Orice utilizare a acestor conturi este monitorizată și declanșează avertizări.

Detectarea amenințărilor

Există mai multe verificări automate pe care le facem periodic, la câteva minute, pentru a ne asigura că totul funcționează așa cum trebuie, chiar și atunci când adăugăm funcții noi cerute de clienți:

• Detectarea breșelor: Căutăm modele care indică prezența breșelor. Setul de detectări se extinde regulat. Folosim și teste automatizate care declanșează aceste modele, prin urmare verificăm și dacă logica de detectare a breșelor funcționează corect!
  
• Teste de penetrare: Aceste teste rulează în permanență. Prin ele încercăm să facem tot felul de operațiuni pentru a ne compromite serviciile și ne așteptăm să nu reușească deloc. Dacă reușesc, știm că ceva nu este în regulă și putem remedia imediat problema.
  
• Auditare: Toate activitățile administrative sunt înregistrate în jurnal. Orice activitate care nu este anticipată (de exemplu, un administrator care creează conturi cu privilegii) declanșează avertizări care ne determină să facem o verificare complexă a acțiunii respective pentru a ne asigura că este obișnuită.
  

V-am spus că criptăm toate datele din Azure AD? Exact! Folosim BitLocker pentru a cripta toate datele de identitate inactive din Azure AD. Dar datele în circulație? Ne ocupăm și de ele! Toate API-urile Azure AD sunt bazate pe web și folosesc SSL prin HTTPS pentru criptarea datelor. Toate serverele Azure AD sunt configurate pentru a utiliza TLS 1.2. Acceptăm conexiunile de intrare prin TLS 1.1 și 1.0 pentru a oferi suport pentru clienții externi. Refuzăm în mod explicit orice conexiune prin versiunile moștenite de SSL, inclusiv SSL 3.0 și 2.0. Accesul la informații este restricționat prin autorizarea pe bază de token și datele fiecărei entități găzduite sunt accesibile doar pentru conturile care au acces la acea entitate. În plus, API-urile noastre interne au cerința suplimentară de a utiliza autentificarea pentru client/server SSL cu certificate acreditate și lanțuri de emitere.

Notă finală

Azure AD poate fi folosit în două moduri, iar această postare descrie securitatea și criptarea pentru serviciul de public livrat și operat de Microsoft. Pentru întrebări similare despre instanțele noastre cloud naționale operate de partenerii de încredere, vă rugăm să luați legătura cu echipa contului dvs.

(Notă: Ca regulă generală simplă, dacă gestionați sau accesați serviciile Microsoft Online prin URL-uri care se termină cu .com, din această postare puteți afla cum vă protejăm și criptăm datele.)

Securitatea datelor dvs. este o prioritate pentru noi și o tratăm FOARTE serios. Sper că veți considera reconfortantă și utilă această prezentare a protocolului nostru de securitate și criptare a datelor.

Cu stimă,

Alex Simons (Twitter: @Alex_A_Simons)

Director Management programe

Divizia Microsoft Identity

[actualizată pe 10.03.2017 pentru a adăuga informații specifice versiunii despre modul în care utilizăm TLS și SSL]

The post Cum vă securizăm datele din Azure AD appeared first on Microsoft 365 Blog.