Powszechna digitalizacja usług sprawia, że coraz więcej zasobów przenoszonych jest do chmury. Chociaż takie podejście przynosi liczne korzyści, w tym elastyczność i skalowalność, to jednocześnie eksponuje te usługi na zewnątrz, zwiększając ryzyko nieautoryzowanego dostępu. Zarządzanie dostępem do zasobów w chmurze staje się coraz większym wyzwaniem, zwłaszcza w dużych organizacjach, które operują na rosnącej liczbie użytkowników, kontrahentów oraz różnorodności ról i uprawnień.
Ten proces przyciągnął uwagę globalnej społeczności, która za pomocą wytycznych i dyrektyw podkreśla znaczenie dostosowywania praktyk bezpiecznych do specyfiki danej firmy oraz sektorów, w których działa. Dyrektywa 2022/2555, znana jako dyrektywa NIS 2, jest reakcją Unii Europejskiej na zachodzące zmiany i konieczność wprowadzenia jednakowego zestawu obowiązków i standardów z zakresu bezpieczeństwa informacji w obrębie krajów wspólnoty. Najważniejsze obowiązki wynikające z dyrektywy to:
- Obowiązek wprowadzenia środków zarządzania ryzykiem i reagowania na incydenty.
- Obowiązek zgłaszania poważnych incydentów cyberbezpieczeństwa do właściwych organów.
- Wymóg współpracy między państwami członkowskimi oraz z odpowiednimi organami na poziomie UE.
- Dedykowane wymagania dla kluczowych sektorów, takich jak energia, transport, zdrowie i finanse.
Co zmieni dyrektywa NIS 2
Nowe przepisy objęły więcej sektorów i liczniejsze grono organizacji, w tym średnie i duże przedsiębiorstwa z branż krytycznych. Wprowadzono bardziej restrykcyjne wymogi dotyczące bezpieczeństwa informacji oraz obowiązki sprawozdawcze, w celu zwiększenia odporności na zagrożenia cybernetyczne. Zgodnie z Artykułem 21 punkt 3, firmy mają obowiązek zweryfikować ogólną jakość produktów i praktyk cyberbezpieczeństwa dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.
Z kolei w raporcie „Foresight Cybersecurity Threats for 2030”, ENISA (Europejska Agencja ds. Bezpieczeństwa Sieci) przedstawiła szczegółową analizę pojawiających się zagrożeń cyberbezpieczeństwa w perspektywie do roku 2030. Analitycy wśród głównych zagrożeń wskazali:
- Zakłócenie łańcucha dostaw oprogramowania
- Niedobór wykwalifikowanych specjalistów ds. cyberbezpieczeństwa
- Błędy ludzkie i eksploatowane systemy legacy
Najnowsze raporty na temat bezpieczeństwa łańcucha dostaw oprogramowania potwierdzają, że jest to jedno z największych zagrożeń dla cyberbezpieczeństwa. Raport „The State of Software Supply Chain Security 2024” od ReversingLabs wskazuje, że liczba ataków na łańcuch dostaw oprogramowania wzrosła o 289% w ciągu ostatnich czterech lat, przy czym najwięcej ataków skoncentrowało się na popularnych repozytoriach open-source, takich jak npm i PyPI. (1)
W publikacji ENISA wskazano również niebezpieczeństwo związane z rosnącą zależnością kluczowych sektorów gospodarki, od zewnętrznych usług IT. Może ona prowadzić do zwiększonej liczby interakcji w krajobrazie cyfrowym. Efektem tego procesu jest stopniowe uzależnianie się kluczowych dostawców usług od oprogramowania, którego proces powstawania nie jest certyfikowany ani zarządzany.
Jak zapewnić zgodność rozwiązań IT z dyrektywą NIS 2?
NIS 2 jest dość ogólną dyrektywą. Nie mówi wprost, co należy zrobić i jakie działania podjąć. Niemniej jednak wytycza pewien kierunek działań z obszaru cyberbezpieczeństwa, wśród których warto podkreślić:
- zapewnienie jednolitego i sprawdzonego autoryzowanego dostępu do usług cyfrowych, zwłaszcza tych przetwarzających dane osobowe,
- zapewnienie w przedsiębiorstwach procesów stałego monitoringu oraz aktualizacji zabezpieczeń dla kluczowych punktów dostępu usług
- ustandaryzowanie procesów dostępu do usług cyfrowych wraz ze wdrożeniem systemu zarządzania tożsamością użytkowników
- raportowanie i monitorowanie stanu dostępu do autoryzowanych usługi i zbiorów danych.
Z tego względu możemy w najbliższym czasie spodziewać się wzrostu zainteresowania wdrażaniem rozwiązań klasy IAM (identity and access management). Podstawowym problemem, jest nie tylko wdrożenie samego systemu tej klasy, ale przede wszystkim możliwość dopasowania do potrzeb integracji konkretnych rozwiązań:
SSO z Keycloak– znacząco upraszcza proces uwierzytelniania i autoryzacji w organizacjach, poprawiając wygodę użytkowników oraz bezpieczeństwo systemów. Dzięki jednorazowemu logowaniu, użytkownicy mogą efektywniej korzystać z różnych aplikacji, co zwiększa produktywność.
Event Logging i alarmy– Keycloak rejestruje różnorodne zdarzenia, takie jak logowania, zmiany haseł, błędy uwierzytelniania oraz modyfikacje konfiguracji systemu. – Custom authrozation flow / na czym polega problem i dlaczego jest ważny. Alarmy pomagają w szybkiej reakcji na zagrożenia, minimalizując ryzyko naruszeń bezpieczeństwa i zwiększając ochronę zasobów w chmurze.
Custom Authorization Flow w Keycloak– pozwala na tworzenie niestandardowych procesów uwierzytelniania i autoryzacji, dostosowanych do specyficznych wymagań organizacji. Potrzeba zastosowania tego rozwiązania wynika z konieczności zapewnienia elastyczności i bezpieczeństwa w zarządzaniu dostępem do zasobów.
Identity Provieders – Integracja Keycloak z Microsoft Active Directory (AD) i Google Workspace umożliwia centralne zarządzanie tożsamościami i dostępem. Dzięki temu użytkownicy mogą korzystać z jednolitego logowania (SSO), uzyskując dostęp do wielu aplikacji za pomocą jednego zestawu danych uwierzytelniających.
Skalowanie Keycaloak– umożliwia obsługę rosnącej liczby użytkowników i aplikacji poprzez uruchamianie wielu instancji w konfiguracji klastrowej, co zapewnia równomierne rozłożenie obciążenia i wysoką dostępność.
Jak przygotować się do rozmowy na temat wdrożenia Keycloak w dużej organizacji?
Rozmowy techniczne na temat wdrożenia nowych narzędzi bywają długie i wieloetapowe, dlatego warto się do nich właściwe przygotować, aby etap konsultacji przebiegł szybko i obie strony uzyskały wystarczającą liczbę informacji. O to jak najlepiej przygotować się do wdrożenia Keycloak zapytaliśmy naszego CEO, Andrzeja Chybickiego.
Jakie są najczęstsze potrzeby firm, które szukają współpracy w obszarze cyberbezpieczeństwa?
Keycloak jest specyficznym, ale i kompleksowym rozwiązaniem, które pozwala tworzyć rozbudowane systemy zarządzania autoryzacją użytkowników. Jego największą zaletą jest możliwość wdrażania jako software on-premise.
Firmy z bogatym doświadczeniem również mogą napotkać wyzwania, wprowadzając istotną zmianę jaką jest customowy flow autoryzacji w swoich systemach logowania i często poszukują konsultacji. W takich sytuacjach szukają one partnerów, którzy mają praktykę w realizacji podobnych projektów, znają typowe problemy i posiadają sprawdzone metody ich rozwiązywania.
Klientami naszej firmy są organizacje na różnorodnych poziomach doświadczenia z IAM – niektóre rozważają implementację, zdając sobie sprawę z korzyści płynących z zarządzania tożsamością i dostępem, ale niepewne, od gdzie zacząć. Inne już rozpoczęły wdrożenie i zainstalowały potrzebne komponenty, lecz napotykają wyzwania w sferze konfiguracji dostosowania do użytkowników, partnerów i pracowników, na przykład przy projektowaniu skomplikowanych schematów autoryzacji wymaganych przez ich działalność.
Jak przygotować się do wdrożenia Keycloak, aby przebiegło ona sprawie?
Pomagając firmom w tworzeniu wewnętrznych rozwiązań IAM nasze działania prowadzą do dwóch podstawowych pytań. Najpierw, należy ocenić czy Keycloak w porównaniu z innymi rozwiązaniami, takimi jak Okta czy AWS Cognito, które mogą oferować prostszą obsługę i automatyzację z poziomu chmury, jest najlepszym wyborem. Następnie, kluczowe staje się rozpisanie procesów autoryzacji, integracja aplikacji, typ instalacji (on-demand lub lokalnie), wsparcie techniczne oraz długofalowa strategia z akutalizacjami systemu. To są podstawowe kwestie do przedyskutowania na samym początku.
Czego klienci oczekują od nas jako od firmy kompleksowo wdrażającej Keycloak?
Nasze doświadczenie pokazuje, że największą pomocą dla naszych partnerów jest wiedza specjalistyczna zdobyta przy realizacji podobnych inicjatyw. Najczęściej poszukują specjalistów, gdy mają szczególne wymagania dotyczące dostosowania oprogramowania produkcyjnego lub potrzebują stworzyć dodatek (plugin). Oczekują od nas wsparcia, licząc na to, że wykorzystamy doświadczenia z poprzednich projektów i zaprezentujemy, jak radziliśmy sobie z podobnymi wyzwaniami w przeszłości. Przykładów jest tu bardzo wiele od zapewnienia skalowania, do konfiguracji i integracji z przepływami autoryzacji w chmurze po integrację z systemami baz danych zawierających obsługę milionów użytkowników jednocześnie. Naszym zadaniem jest świadczenie usług doradczych adekwatnych do ich zasadniczych potrzeb.
Wdrożyliśmy Keycloak, ale co potem? Czy firma musi zatrudniać programistów znających to narzędzie do zarządzania systemem po jego implementacji?
Proces wdrożenia i konfiguracji Keycloaka jest złożony, a intensywność prac w trakcie trwania projektu nie jest równomierna. Prace takie są najczęściej nadzorowane z działem bezpieczeństwa lub osobami na poziomie głównego technicznego managementu – wymagają zatem koordynacji wielu grup pracowników. Często potrzebna jest również koordynacja z zespołami wsparcia, aby ustalić optymalny czas na wprowadzanie zmian w procesach autoryzacyjnych.
Implementacja Keycloaka nie wymaga ciągłej obecności dedykowanych ekspertów w organizacji. Keycloak jest generalnie stabilnym narzędziem i kluczowe jest, aby osoby zarządzające systemem posiadały wiedzę na temat jego funkcjonowania i były w stanie obsługiwać panel administracyjny Keycloaka, wykorzystując jego funkcje bez konieczności modyfikacji.
Niemniej jednak, długoterminowe wsparcie jest kluczowe, w tym regularne aktualizacje bezpieczeństwa, które społeczność Keycloak udostępnia co kilka miesięcy. Takie aktualizacje mają charakter krytyczny i warto mieć dostęp do kompetencji i wiedzy na wypadek krytycznych problemów.
[1] https://www.enisa.europa.eu/publications/foresight-cybersecurity-threats-for-2030-update-2024-extended-report