IAM - Inero Software - Rozwiązania IT i Konsulting

Konfiguracja logowania bezhasłowego za pomocą Passkey na urządzeniu mobilnym

Marceli Formela — Wed, 12 Mar 2025 09:02:00 +0000

Nasz pierwszy wpis na temat Passkeys w Keycloak znajdziesz tu: Wprowadzenie do Passkeys w Keycloak

W naszym poprzednim wpisie pokazaliśmy, jak skonfigurować Passkeys w Keycloak, zastępując tradycyjne hasła uwierzytelnianiem opartym na WebAuthn. Omówiliśmy proces konfiguracji, kluczowe zalety oraz potencjalne ograniczenia. Ten wpis koncentruje się na konfiguracji Passkeys dla urządzeń mobilnych, zapewniając płynne i bezpieczne logowanie bez hasła.

W tym wpisie ponownie omówimy konfigurację uwierzytelniania za pomocą Passkey w Keycloak, jednak tym razem wykorzystamy więcej niż jedno urządzenie.

Korzystanie z Passkey przechowywanego na telefonie

Podczas logowania na innym urządzeniu, takim jak laptop lub komputer stacjonarny, użytkownicy mogą uwierzytelnić się za pomocą Passkey przechowywanego na telefonie. Proces ten przebiega następująco:

Wybór logowania za pomocą Passkey
Zamiast wprowadzać hasło, użytkownik wybiera opcję uwierzytelniania za pomocą Passkey. Przeglądarka na laptopie generuje żądanie uwierzytelnienia. Następnie należy nawiązać bezpieczne połączenie między telefonem (np. iPhone) a laptopem.
Skanowanie kodu QR
Interfejs logowania generuje kod QR, który użytkownik skanuje aparatem telefonu. Laptop wysyła następnie kryptograficzne wyzwanie do telefonu, prosząc o podpisanie żądania za pomocą przechowywanego Passkey. Telefon komunikuje się z laptopem w sposób bezpieczny, wykorzystując Bluetooth lub inne protokoły łączności bliskiego zasięgu (np. NFC).
Potwierdzenie tożsamości
Po otrzymaniu wyzwania telefon prosi użytkownika o uwierzytelnienie biometryczne (np. Face ID lub Touch ID). Dzięki temu weryfikuje, czy osoba próbująca się zalogować jest uprawnionym użytkownikiem.
Bezpieczne uwierzytelnienie
Laptop sprawdza odpowiedź telefonu, weryfikując podpis kryptograficzny względem klucza publicznego zarejestrowanego w usłudze. Jeśli weryfikacja przebiegnie pomyślnie, użytkownik zostaje zalogowany bez konieczności wprowadzania hasła.

Krok po kroku: Konfiguracja Passkey za pomocą smartfona

Zanim przejdziemy do niestandardowego procesu uwierzytelniania, należy upewnić się, że w danym realmie jest włączona wymagana akcja WebAuthn Register Passwordless (Authentication → zakładka Required Actions).

Dzięki temu możemy na przykład wymusić konfigurację Passkey przez użytkowników po ich następnym pomyślnym logowaniu. Należy jednak pamiętać, że jest to tylko jedna z wielu metod konfigurowania uwierzytelniania wieloskładnikowego.

Gdy potwierdzimy, że ta opcja jest aktywna, możemy przejść do konfiguracji procesu uwierzytelniania.

Ten niestandardowy proces uwierzytelniania w Keycloak został zaprojektowany tak, aby pokazać, jak użytkownicy mogą wybierać między uwierzytelnianiem opartym na haśle a uwierzytelnianiem za pomocą Passkey (WebAuthn) podczas logowania. Oto jak to działa:

- Użytkownicy muszą podać swoją nazwę użytkownika, aby kontynuować proces uwierzytelniania.
- Ten krok wymusza uwierzytelnienie, jednak użytkownicy mogą wybrać między logowaniem opartym na haśle a logowaniem za pomocą Passkey.
- Jeśli użytkownik wybierze uwierzytelnianie hasłem, wprowadza swoje dane logowania.
- Jeśli preferuje logowanie bezhasłowe przy użyciu Passkey, może uwierzytelnić się tą metodą zamiast hasła.

Na tym etapie użytkownicy mogą wprowadzić swoją nazwę użytkownika lub adres e-mail, aby kontynuować proces uwierzytelniania. Jest to krok wymagany, który zapewnia, że system identyfikuje użytkownika przed udostępnieniem opcji uwierzytelniania.

Na tym etapie możliwe jest jedynie uwierzytelnianie za pomocą hasła, ponieważ Passkey (WebAuthn) nie został jeszcze skonfigurowany. Po jego ustawieniu użytkownicy będą mieli możliwość wyboru między uwierzytelnianiem opartym na haśle a logowaniem bezhasłowym.

Zamiast rejestrowania kodu PIN urządzenia, jak wspomniano wcześniej, w tym przykładzie użyjemy uwierzytelniania za pomocą telefonu, konkretnie iPhone’a.

Teraz powinien pojawić się kod QR, umożliwiający rejestrację Passkey na naszym koncie. Zeskanujmy go za pomocą aparatu w telefonie i zweryfikujmy operację, na przykład przy użyciu Face ID.

Teraz nasz Passkey powinien być widoczny w sekcji Credentials.

Podczas następnego logowania powinna pojawić się opcja wyboru między uwierzytelnianiem za pomocą hasła a uwierzytelnianiem za pomocą Passkey.

To rozwiązanie zwiększa wygodę użytkowników, umożliwiając im wybór preferowanej metody uwierzytelniania. Passkeys zapewniają bezpieczniejsze i odporne na phishing logowanie, podczas gdy hasła pozostają dostępne dla tych, którzy preferują tradycyjne metody. Dzięki tej elastyczności można zagwarantować zarówno bezpieczeństwo, jak i łatwy dostęp, dostosowany do różnych preferencji użytkowników.

Warto pamiętać, że tradycyjne hasła stanowią słabe ogniwo w bezpieczeństwie cyfrowym i często są narażone na ataki związane z ich ponownym użyciem, phishingiem lub wyciekami danych. Passkeys oferują nowoczesną metodę uwierzytelniania bez hasła, zwiększającą zarówno bezpieczeństwo, jak i wygodę użytkowania dzięki wykorzystaniu kryptograficznych par kluczy zarządzanych przez platformowe mechanizmy uwierzytelniania. Zapewniają odporność na phishing, płynny dostęp na różnych urządzeniach oraz zgodność ze standardami uwierzytelniania wieloskładnikowego (MFA).

Najlepsze praktyki w Keycloak

Przeczytaj

Artykuł Konfiguracja logowania bezhasłowego za pomocą Passkey na urządzeniu mobilnym pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Zaufane urządzenia w Keycloak

Marta Kuprasz — Thu, 06 Mar 2025 09:50:09 +0000

Uwierzytelnianie użytkowników w systemach IT wiąże się z koniecznością znalezienia kompromisu między wygodą a bezpieczeństwem. Z jednej strony użytkownicy oczekują jak najmniejszej liczby kroków przy logowaniu, z drugiej strony konieczne jest zabezpieczenie dostępu do systemu przed nieautoryzowanym użyciem. Jednym z rozwiązań pozwalających na elastyczne zarządzanie poziomem zabezpieczeń jest mechanizm zaufanych urządzeń, który umożliwia użytkownikowi ograniczenie liczby wymaganych kroków logowania dla znanych i bezpiecznych urządzeń.

Im bardziej zacieśniamy politykę bezpieczeństwa, tym większa uciążliwość dla użytkownika.– to odwieczny dylemat administratorów systemów. Długie i skomplikowane hasła, częsta ich zmiana, czy dodatkowe składniki uwierzytelniania zwiększają ochronę, ale jednocześnie prowadzą do tego, że użytkownicy szukają sposobów na obejście procedur – zapisują hasła w notatniku lub w przeglądarkach.

Zaufane urządzenia – jak to działa?

Domyślnie Keycloak nie rozpoznaje i nie zapamiętuje urządzeń, dlatego każda sesja traktowana jest niezależnie. Dzięki rozszerzeniom można jednak dodać obsługę zaufanych urządzeń, co pozwala użytkownikowi pominąć część kroków przy kolejnym logowaniu.

CTO Inero Software, Waldemar Korłub, podkreśla:

„Stąd właśnie koncepcja zaufanych urządzeń – za pierwszym razem musimy przejść przez wszystkie kroki, ale potem aplikacja może na przykład zrezygnować z pytania o kod logowania dwuskładnikowego.”

Po oznaczeniu urządzenia jako „zaufane” system może przechowywać jego status przez określony czas, co pozwala na uproszczone logowanie. Użytkownik może nadal być okresowo proszony o ponowne uwierzytelnienie w celu zapewnienia bezpieczeństwa.

Czy zapamiętywanie urządzeń jest bezpieczne?

Choć mechanizm zaufanych urządzeń poprawia komfort użytkowania, wprowadza także dodatkowe ryzyko. Największym zagrożeniem jest kradzież lub utrata urządzenia, któremu wcześniej nadano status zaufanego.

Jak zauważa Waldemar Korłub:

„Jeśli system nie wymaga dodatkowego składnika uwierzytelniania, atakujący może uzyskać dostęp do wszystkich zapisanych aplikacji. Dlatego kluczowe jest, aby użytkownik miał możliwość zarządzania zaufanymi urządzeniami – najlepiej z poziomu panelu, gdzie w każdej chwili można je usunąć.”

Wprowadzenie panelu zarządzania urządzeniami oraz opcji cofnięcia statusu zaufanego urządzenia w sytuacji jego utraty to niezbędne elementy zapewniające bezpieczeństwo.

Jak administratorzy mogą kontrolować dostęp w Keycloak?

Administratorzy mogą ograniczać mechanizm zapamiętywania urządzeń, np. do określonych sieci lub firmowych urządzeń.

Waldemar Korłub wyjaśnia:

„Możemy ten mechanizm ograniczyć na przykład do komputerów, które są w sieci lokalnej – jeśli użytkownicy korzystają z firmowego VPN-a, możemy rozpoznać sprzęt firmowy i tam udostępnić opcję zaufanych urządzeń.”

Dzięki takim rozwiązaniom można uniknąć sytuacji, w której użytkownicy nadają status zaufanego prywatnym urządzeniom, nad którymi organizacja nie ma kontroli.

Zaufane urządzenia w Keycloak – kluczowe wnioski

- Zaufane urządzenia pomagają w uproszczeniu logowania, ale wymagają odpowiednich zabezpieczeń

Mechanizm zaufanych urządzeń w Keycloak pozwala użytkownikom na pominięcie niektórych kroków uwierzytelniania, takich jak podawanie kodu 2FA. Jest to wygodne rozwiązanie, które usprawnia codzienną pracę, ale jednocześnie wymaga wdrożenia odpowiednich mechanizmów ochrony. Należy określić czas ważności zaufanego urządzenia, a także monitorować zmiany w sposobie logowania, aby nie dopuścić do nadużyć.

- Administratorzy mogą kontrolować politykę dostępu do zaufanych urządzeń

Nie każde urządzenie powinno być oznaczane jako zaufane, dlatego administratorzy mogą ograniczyć tę funkcję do firmowych komputerów lub wymagać połączenia z siecią VPN. W ten sposób można zapobiec sytuacji, w której użytkownik nadaje status zaufanego urządzenia prywatnemu komputerowi, nad którym organizacja nie ma kontroli.

- Panel zarządzania urządzeniami zwiększa bezpieczeństwo

Aby zapewnić użytkownikom większą kontrolę nad ich sesjami, warto wdrożyć panel pozwalający na przegląd i usuwanie zaufanych urządzeń. Dzięki temu w przypadku utraty sprzętu lub podejrzenia nieautoryzowanego logowania użytkownik może szybko cofnąć nadane uprawnienia.

- Możliwość usunięcia urządzenia chroni przed przejęciem konta

Jeśli urządzenie zostanie skradzione lub zgubione, a system nie wymaga dodatkowej autoryzacji, atakujący może uzyskać dostęp do konta użytkownika. Dlatego ważne jest, aby w każdej chwili można było usunąć zaufane urządzenie i wymusić ponowną weryfikację. Takie rozwiązanie pozwala na większą elastyczność, a jednocześnie zmniejsza ryzyko przejęcia konta przez osoby nieuprawnione.

Kiedy warto wykorzystać funkcje zaufane urządzenia w Keycloak?

Funkcja zaufanych urządzeń w Keycloak pozwala na zwiększenie wygody logowania, przy jednoczesnym utrzymaniu wysokiego poziomu bezpieczeństwa. To zastosowanie sprawdza się szczególnie w środowiskach korporacyjnych oraz modelach BYOD (Bring Your Own Device), gdzie użytkownicy regularnie korzystają z tych samych urządzeń. Oznaczenie urządzenia jako zaufanego pozwala zmniejszyć liczbę żądań drugiego czynnika uwierzytelniania (2FA), wydłużyć sesję oraz dynamicznie dostosować politykę bezpieczeństwa, np. wymagając ponownej autoryzacji przy podejrzanych logowaniach. Dzięki temu można ograniczyć ryzyko przejęcia konta przez atakujących, nawet jeśli uzyskają hasło i kod 2FA, ponieważ logowanie z nowego urządzenia może wymagać dodatkowej weryfikacji. Implementacja mechanizmu zaufanych urządzeń w Keycloak pomaga w równoważeniu bezpieczeństwa i wygody użytkowników.

Mechanizm zaufanych urządzeń w Keycloak to sposób na poprawę wygody logowania bez nadmiernego obniżenia poziomu cyberbezpieczeństwa. Odpowiednie wdrożenie polityki zapamiętywania urządzeń w Keycloak pozwala na zrównoważenie ochrony systemu i wygody użytkowników. Administratorzy powinni jednak zapewnić mechanizmy zarządzania listą zaufanych urządzeń oraz wymuszać okresowe potwierdzanie ich statusu, aby uniknąć potencjalnych zagrożeń

Pomożemy Ci we wdrożeniu Keycloak

Chcesz wdrożyć Keycloak lub dodać nowe funkcjonalności? Umów spotkanie, by poznać możliwości.

Umów spotkanie

Artykuł Zaufane urządzenia w Keycloak pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Wprowadzenie do Passkey w Keycloak

Marceli Formela — Wed, 26 Feb 2025 08:54:28 +0000

Tradycyjne hasła od dawna stanowią słaby punkt zabezpieczeń cyfrowych. Często te same hasła są wykorzystywane w wielu miejscach, co zwiększa ryzyko ich przejęcia i ułatwia ataki phishingowe. Passkeys to nowoczesne rozwiązanie, które zastępuje hasła kryptograficznymi parami kluczy przypisanymi do konkretnej aplikacji i zarządzanymi przez mechanizmy wbudowane w platformę. Dzięki wykorzystaniu wielu czynników weryfikacyjnych spełniają wymagania MFA (wieloskładnikowego uwierzytelniania) i są zgodne z powszechnie stosowanymi standardami.

W tym wpisie pokażemy, jak skonfigurować Passkeys na podstawie ustawień Keycloak omówionych we wcześniejszych artykułach (zobacz Zabezpieczanie endpointów Java Spring za pomocą Keycloak lub Praktyczne Keycloak SSO: od konfiguracji do integracji). Choć Passkeys zapewniają wygodne i bezpieczne logowanie, ich wdrożenie w istniejącym systemie może wiązać się z pewnymi wyzwaniami. Przeprowadzimy Cię przez podstawowy proces konfiguracji. Jeśli chcesz unowocześnić swoją strategię zabezpieczeń, to idealne miejsce, by zacząć.

Jak działają Passkeys?

Passkeys to metoda logowania, zaprojektowana jako bezpieczniejsza i wygodniejsza alternatywa dla tradycyjnych haseł. W przeciwieństwie do nich, które mogą zostać wyłudzone, skradzione lub zapomniane, passkeys eliminują te zagrożenia dzięki wykorzystaniu kryptograficznych par kluczy przechowywanych w zaufanym narzędziu uwierzytelniającym, takim jak smartfon, inne urządzenie lub menedżer haseł. Zamiast ręcznie tworzyć i zapamiętywać hasło, użytkownik korzysta z autoryzowanego narzędzia do generowania i zarządzania passkey.

Passkey składa się z dwóch elementów:

- Klucz publiczny – przechowywany przez aplikację
- Klucz prywatny – bezpiecznie zapisany w narzędziu uwierzytelniającym użytkownika

Klucz prywatny nigdy nie opuszcza urządzenia, co gwarantuje, że nawet w przypadku naruszenia klucza publicznego konta pozostają bezpieczne.

Podczas logowania aplikacja wysyła wyzwanie do narzędzia uwierzytelniającego.
Użytkownik potwierdza swoją tożsamość za pomocą biometrii (Face ID, Touch ID), kodu PIN lub hasła.
Narzędzie uwierzytelniające podpisuje wyzwanie kluczem prywatnym i odsyła je do weryfikacji.
Jeśli podpis jest poprawny, dostęp zostaje przyznany – bez konieczności używania hasła.

Zalety Passkeys

- W przeciwieństwie do haseł, passkeys nie mogą zostać skradzione w wyniku ataków phishingowych. Są powiązane z konkretną stroną internetową lub aplikacją, co oznacza, że nie zadziałają na fałszywych stronach logowania. Nawet jeśli użytkownik wejdzie na stronę phishingową, nie zostanie poproszony o użycie passkey, a logowanie nie nastąpi, co zapobiega kradzieży danych uwierzytelniających.
- Użytkownicy nie muszą zarządzać wieloma hasłami do różnych kont – logowanie sprowadza się do użycia biometrii (Face ID, Touch ID) lub kodu PIN urządzenia.
- Hasła można odgadnąć, ponownie wykorzystać lub wyciekają – passkeys nie. Nawet niektóre metody 2FA, takie jak kody SMS, są podatne na phishing i ataki typu SIM-swapping, podczas gdy passkeys są na nie odporne. Dzięki wykorzystaniu kryptografii klucza publicznego nie mogą zostać przechwycone ani skradzione w wyniku naruszenia danych.
- Passkeys są przechowywane w platformowych narzędziach uwierzytelniających (np. Google Password Manager, Windows Hello). Mogą być automatycznie synchronizowane między urządzeniami, co zapewnia dostęp bez potrzeby ręcznego przenoszenia kluczy.

Ograniczenia Passkeys

- Nie wszystkie strony internetowe i aplikacje obsługują passkeys, co oznacza, że użytkownicy mogą nadal musieć polegać na hasłach w niektórych usługach.
- Utrata dostępu do głównego urządzenia lub konta w chmurze może zablokować użytkownika, wymagając opcji odzyskiwania, takich jak urządzenia zapasowe.
- Wielu użytkowników nie zna jeszcze passkeys, a przejście z haseł wymaga edukacji.
- Ponieważ passkeys nie wymagają ręcznego wpisywania, użytkownicy mogą odczuwać brak kontroli nad swoimi danymi logowania w porównaniu do tradycyjnego zarządzania hasłami.

Konfiguracja Passkey dla Realm

Keycloak oferuje elastyczne opcje uwierzytelniania, tradycyjnie opierając się na hasłach i uwierzytelnianiu wieloskładnikowym (MFA) z wykorzystaniem jednorazowych kodów (OTP). Jednak wraz z rosnącą popularnością metod bezhasłowych, Keycloak obsługuje również WebAuthn Passwordless (Passkeys). W tej konfiguracji wyłączymy zarówno hasła, jak i uwierzytelnianie OTP, zapewniając, że użytkownicy mogą logować się wyłącznie za pomocą Passkeys.

Kolejność mechanizmów uwierzytelniania określa przebieg logowania w Keycloak. Pozostawiamy uwierzytelnianie za pomocą plików cookie, aby użytkownicy mogli utrzymywać aktywne sesje. Aby obsłużyć uwierzytelnianie zewnętrzne, włączamy Identity Provider Redirect, co pozwala na logowanie za pomocą dostawców tożsamości, takich jak Google lub inna instancja Keycloak.

Następnie konfigurujemy właściwy formularz logowania. Domyślnie browser flow w Keycloak obejmuje nazwę użytkownika, hasło i uwierzytelnianie wieloskładnikowe (MFA). Możemy wyłączyć wszystkie te elementy i zastąpić je jednym krokiem – dodaniem WebAuthn Passwordless Authenticator, co zapewni, że użytkownicy będą mogli logować się wyłącznie za pomocą Passkeys.

Końcowa konfiguracja powinna wyglądać następująco:

Gdy WebAuthn Passwordless Authenticator zostanie skonfigurowany, kolejnym krokiem jest powiązanie go z przebiegiem logowania w przeglądarce.

Teraz pozostaje już tylko wymusić reset hasła dla przykładowego użytkownika, ustawiając wymaganą akcję na WebAuthn Register Passwordless.

Po kliknięciu linku w otrzymanym e-mailu Keycloak wyświetli okno dialogowe z instrukcją rejestracji passkey.

Wystarczy kliknąć, aby zarejestrować passkey.

Na ekranie pojawi się platformowy mechanizm uwierzytelniania urządzenia, prezentujący dostępne opcje potwierdzenia tożsamości użytkownika. Załóżmy, że chcemy skorzystać z Windows Hello i zweryfikować tożsamość za pomocą kodu PIN – tego samego, który jest używany do logowania do konta Windows.

Passkey powinien być teraz widoczny w sekcji poświadczeń wybranego użytkownika.

Teraz możemy przejść do strony logowania w danym realm i spróbować użyć passkey zamiast standardowej nazwy użytkownika i hasła.

Twój platformowy mechanizm uwierzytelniania powinien ponownie się pojawić, oferując użycie zarejestrowanego passkey.

Passkeys nie są rozwiązaniem idealnym, ale dla większości użytkowników ich zalety przewyższają ograniczenia. Wraz z rosnącą adopcją wiele z tych niedoskonałości zostanie wyeliminowanych. Jednak w krótkim okresie zarówno użytkownicy, jak i organizacje muszą być świadomi potencjalnych wyzwań związanych z ich wdrażaniem.

Organizacje, które chcą zintegrować passkeys ze swoimi systemami uwierzytelniania, mogą skorzystać z narzędzi takich jak Keycloak. Dzięki takiej integracji użytkownicy zyskują bezpieczny, bezhasłowy dostęp do aplikacji, przy jednoczesnym wykorzystaniu kluczowych funkcji Keycloak, takich jak Single Sign-On (SSO), uwierzytelnianie wieloskładnikowe (MFA) oraz szczegółowa kontrola dostępu.

Artykuł Wprowadzenie do Passkey w Keycloak pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Cyberbezpieczeństwo to nie tylko programy antywirusowe

Marta Kuprasz — Tue, 18 Feb 2025 12:19:03 +0000

Dla wielu osób pierwszym skojarzeniem, gdy mowa o cyberbezpieczeństwa, są programy antywirusowe. Współczesne zagrożenia w cyberprzestrzeni wykraczają jednak znacznie dalej niż tylko klasyczne wirusy komputerowe. Choć oprogramowanie antywirusowe pozostaje ważnym elementem ochrony, skuteczna strategia zapobiegania i ograniczająca ryzyko ataku i utraty danych lub pieniędzy, musi uwzględniać znacznie szerszy zakres narzędzi i procesów.

Cyberprzestępcy mają bardzo szeroki arsenał technik i metod ataków. W przestrzeni publicznej bardzo często wymieniane są takie hasła jak phishing, ransomware, ataki typu DDoS (Distributed Denial of Service), czy inżynieria społeczna.

Na które zagrożenia należy zwrócić szczególną uwagę w 2025?

Eksperci w zakresie cyberbezpieczeństwa zwracają uwagę, że techniki te wciąż ewoluują i dostosowują się by lepiej wpływać na potencjalne ofiary. W 2025 warto zwrócić uwagę na trzy zagadnienia:

Klucze dostępu zastępują hasła

Hasła pozostają słabym ogniwem. Wraz ze wzrostem liczby ataków phishingowych i uwierzytelniających firmy przechodzą na klucze dostępu — biometryczne lub kryptograficzne metody uwierzytelniania, które zwiększają bezpieczeństwo i komfort użytkownika. Giganci tacy jak Google i Apple przewodzą tej zmianie.

Phishing staje się hiperpersonalizowany

Ogólne wiadomości e-mail phishingowe należą już do przeszłości. Atakujący wykorzystują teraz dogłębne badania i dane z mediów społecznościowych do tworzenia wysoce ukierunkowanych kampanii, które wydają się legalne. Wiadomości generowane przez sztuczną inteligencję naśladują prawdziwe rozmowy, dzięki czemu inżynieria społeczna jest skuteczniejsza. Organizacje muszą inwestować w zaawansowane wykrywanie i świadomość pracowników.

Deepfakes stanowią rosnące zagrożenie

Technologia deepfake oparta na AI stanowi coraz większe zagrożenie dla cyberbezpieczeństwa. Przestępcy wykorzystują generowane przez sztuczną inteligencję profile podszywające się pod managerów lub inne zaufane osoby, aby ominąć zabezpieczenia i manipulować pracownikami, aby ujawnili poufne informacje. Jedna ze znanych metod polega na stosowaniu filtrów podczas rozmów wideo w celu podszywania się pod kogoś innego w czasie rzeczywistym. Firmy muszą wzmocnić protokoły weryfikacji i edukować pracowników w zakresie wykrywania deepfake’ów.

Gdy program antywirusowy to za mało

Programy antywirusowe to oprogramowanie zaprojektowane do wykrywania, blokowania i usuwania złośliwego oprogramowania, takiego jak wirusy, trojany czy spyware. Ich działanie opiera się na bazach danych znanych już zagrożeń. Techniki wykorzystywane przez cyberprzestępców ewoluują jednak w sposób, który znacznie wykracza poza możliwości tradycyjnych programów antywirusowych. Ataki typu phishing, ransomware, inżynieria społeczna czy deepfake nie są bezpośrednio powiązane z klasycznym złośliwym oprogramowaniem i często wymagają bardziej zaawansowanych metod ochrony.

Jak zachować bezpieczeństwo?

Przede wszystkim wdrażając nowoczesne metody uwierzytelniania, zarządzania tożsamościami oraz wykrywania incydentów, które mogą świadczyć o próbie ataku. Obejmuje to zastosowanie wieloskładnikowego uwierzytelniania (MFA), integrację z systemami zarządzania tożsamością jak Keycloak, oraz monitorowanie aktywności poprzez narzędzia klasy SIEM (Security Information and Event Management). Takie podejście pozwala na bieżąco identyfikować i reagować na nietypowe zachowania, które mogą być oznaką kompromitacji systemu.

O tym dlaczego warto zintegrować Keycloak z programem typu Security Information and Event Management (SIEM) pisaliśmy tu.

Zacznij od ułożenia procesu

Dobrze ułożony proces dotyczący cyberbezpieczeństwa zaczyna się od gruntownej oceny ryzyka i identyfikacji zagrożeń. Na tym etapie organizacja dokonuje inwentaryzacji wszystkich zasobów IT, takich jak urządzenia, systemy, aplikacje i dane. Kluczowe jest określenie, które z tych zasobów są najbardziej wrażliwe i wymagają szczególnej ochrony. Następnie należy przeprowadzić analizę ryzyka, która polega na ocenie potencjalnych zagrożeń, ich wpływu na działalność firmy oraz prawdopodobieństwa ich wystąpienia. Dzięki temu można zidentyfikować najważniejsze obszary wymagające ochrony.

Kolejnym krokiem jest stworzenie kompleksowej polityki bezpieczeństwa. Obejmuje ona zestaw zasad i procedur regulujących wszystkie aspekty korzystania z technologii w organizacji – od zarządzania hasłami i dostępem do systemów, po zasady korzystania z urządzeń przenośnych i pracy zdalnej. Na tym etapie niezwykle istotne jest uwzględnienie obowiązujących przepisów prawnych, takich jak RODO, oraz standardów branżowych.

Po opracowaniu polityk, niezbędne jest wdrożenie odpowiednich technologii zabezpieczających oraz narzędzi jak wspomniany już wcześniej Keycloak. Na tym etapie wprowadzane są do organizacji zabezpieczenia jak uwierzytelnianie wieloskładnikowe (MFA), szyfrowanie danych oraz systemy monitorujące infrastrukturę IT, takie jak SIEM (Security Information and Event Management). Równolegle należy wprowadzić mechanizmy regularnych aktualizacji oprogramowania i tworzenia kopii zapasowych, co pozwala na szybkie przywrócenie systemów w razie incydentu.

Opracowując proces, należy mieć świadomość, że często najsłabszym ogniwem zabezpieczeń jest po prostu człowiek. Bardzo ważne jest zwiększanie świadomości pracowników poprzez programy szkoleniowe, które zapoznają ich z różnymi technikami ataków i przykładami z życia wziętymi, pomagając im rozpoznawać różne zagrożenia.

Ostatnim, ale nie mniej ważnym elementem jest monitorowanie i reagowanie na incydenty. Organizacja powinna mieć jasno określone procedury reagowania na naruszenia bezpieczeństwa, które pozwalają na szybkie wykrycie, analizę i minimalizację skutków ataków.

Pomożemy Ci wdrożyć Keycloak

Umów spotkanie, aby dowiedzieć się jak możemy pomóc Ci z wdrożeniem oraz kompleksowym utrzymaniem Keycloak w Twojej organizacji.

Umów spotkanie

Artykuł Cyberbezpieczeństwo to nie tylko programy antywirusowe pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Systemy Security Information and Event Management. Dlaczego warto dodać do nich Keycloak?

Marta Kuprasz — Thu, 06 Feb 2025 08:35:21 +0000

Systemy Security Information and Event Management (SIEM) pozwalają na zbieranie i analizowanie informacji na temat aktywności użytkowników, dostępu do systemów i zdarzeń związanych z cyberbezpieczeństwem, aby wykrywać zagrożenia i reagować na incydenty w czasie rzeczywistym. Z kolei informacji o aktywności użytkowników dostarczają systemy typu IAM (Identity and Access Management). Z tego bloga dowiesz się, jak Keycloak może wspierać Twój system SIEM.

W raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w 2023 roku przygotowanym przez CSIRT GOV, wskazano, że wśród zagrożeń utrzymujących się w cyberprzestrzeni RP w omawianym roku, które miały szczególny wpływ na ocenę ryzyka, należy wymienić ataki socjotechniczne oraz ataki typu brute-force. Ataki socjotechniczne polegają na manipulacji użytkownikami w celu uzyskania nieautoryzowanego dostępu do systemów, podczas gdy ataki brute-force opierają się na automatycznym próbowaniu różnych kombinacji haseł w celu złamania zabezpieczeń.

Odpowiednie zarządzanie tożsamościami i monitoring logów to kluczowe elementy ochrony przed takimi atakami. Właśnie dlatego integracja Keycloak z SIEM pozwala organizacjom skuteczniej wykrywać zagrożenia i natychmiast na nie reagować.

Dlaczego warto integrować SIEM z Keycloak?

Każda organizacja korzystająca z systemu SIEM dąży do wykrywania jak największej liczby zagrożeń i możliwie szybkiej reakcji na incydenty. Informacje o tym, kto, skąd i kiedy próbował uzyskać dostęp do systemów, mogą być kluczowe w wykrywaniu ataków oraz nieautoryzowanych prób logowania. Właśnie tutaj Keycloak – popularna platforma IAM typu open source – może znacząco wzbogacić ekosystem SIEM, dostarczając cennych informacji o procesach uwierzytelniania, autoryzacji i zarządzania sesjami.

Keycloak jest rozwijany przez społeczność Red Hat i oferuje kompleksowe rozwiązania do uwierzytelniania i autoryzacji użytkowników w aplikacjach webowych, mobilnych i usługach backendowych. Opisaliśmy go dokładnie tu https://inero-software.com/pl/keycloak/

Keycloak może dostarczyć danych o:

Próbach logowania – zarówno udanych, jak i nieudanych, wraz z informacją o źródłowym adresie IP.

Wymuszeniach resetu hasła i zmianach w polityce dostępów – pozwala to monitorować potencjalne próby przejęcia konta.

Sesjach użytkowników – w tym nietypowych logowaniach z nowych lokalizacji lub urządzeń.

Wykrytych zagrożeniach, takich jak podejrzane próby wielokrotnego logowania (np. ataki brute-force, polegające na łamaniu haseł lub kluczy kryptograficznych w celu sprawdzenia wszystkich możliwych kombinacji).

Z kolei system SIEM może analizować te dane i korelować je z innymi zdarzeniami, np.:

Próby logowania z nietypowej lokalizacji powiązane z podejrzanym ruchem sieciowym.

Wielokrotne błędne logowania pochodzące z jednego IP – sygnał ataku brute-force.

Nagłe zmiany uprawnień użytkownika powiązane z podejrzanym dostępem do systemu.

Jako przykład skutecznej integracji możemy wskazać sytuację, w której użytkownik wielokrotnie wprowadza błędne hasło w krótkim czasie, Keycloak rejestruje to jako podejrzaną aktywność. SIEM może połączyć te dane z próbami logowania z różnych lokalizacji i podjąć działania, np. tymczasowo blokując konto lub wymuszając dodatkowe uwierzytelnienie.

Jak Keycloak uzupełnia system SIEM?

Keycloak i systemy Security Information and Event Management służą różnym celom w zakresie zarządzania tożsamością i bezpieczeństwa IT, ale świetnie się uzupełniają.

Cecha	SIEM (Security Information and Event Management)	IAM (Identity and Access Management – Keycloak)
Główna funkcja	Monitorowanie i analiza zdarzeń bezpieczeństwa	Zarządzanie tożsamością i dostępem użytkowników
Zakres działania	Zbieranie logów, analiza incydentów, wykrywanie zagrożeń	Uwierzytelnianie, autoryzacja, kontrola dostępu
Rodzaje danych	Logi systemowe, ruch sieciowy, alerty bezpieczeństwa	Sesje użytkowników, logi uwierzytelniania, żądania autoryzacji
Sposób działania	Agregacja i korelacja zdarzeń z wielu źródeł	Weryfikacja tożsamości użytkowników i ich uprawnień
Główne zastosowania	Wykrywanie anomalii, reagowanie na incydenty, compliance	Single Sign-On (SSO), federacja tożsamości, MFA
Przykłady zagrożeń	Ataki DDoS, malware, eskalacja uprawnień	Próby ataku brute-force, przejęcie konta, nadużycie uprawnień
Reakcja na zagrożenia	Generowanie alertów, automatyczne blokady, raportowanie	Blokowanie kont, wymuszanie MFA, zarządzanie sesjami
Integracja z innymi systemami	Tak – zbiera logi z systemów SIEM, IDS, firewalli	Tak – integracja z LDAP, AD, bazami danych, SIEM

Jak wdrożyć Keycloak?

Integracja Keycloak z systemem SIEM pozwala zwiększyć poziom bezpieczeństwa IT, ponieważ dostarcza dodatkowych informacji o użytkownikach i ich zachowaniu. Dzięki temu organizacje mogą lepiej wykrywać zagrożenia oraz szybciej reagować na incydenty.

Jeśli zastanawiasz się jak wdrożyć i skonfigurować Keycloak dla swojej organizacji koniecznie przeczytaj artykuły „Praktyczne wprowadzenie do Keycloak SSO: Od konfiguracji do integracji” https://inero-software.com/pl/praktyczne-wprowadzenie-do-keycloak-sso-od-konfiguracji-do-integracji/?utm_source=chatgpt.com oraz „Przewodnik integracji Keycloak: Zabezpieczanie punktów końcowych Java Spring za pomocą Keycloak” https://inero-software.com/pl/zabezpieczanie-punktow-koncowych-java-spring-za-pomoca-keycloak/ .

Dostarczają one praktycznych wskazówek dotyczących konfiguracji i integracji Keycloak z różnymi systemami. Co ważne, jedną z kluczowych funkcji Keycloak jest zdolność do integracji z katalogami Lightweight Directory Access Protocol (LDAP), o których pisaliśmy tu https://inero-software.com/pl/integracja-keycloak-i-lightweight-directory-access-protocol/?utm_source=chatgpt.com.

Na rynku dostępnych jest wiele rozwiązań SIEM, dlatego przed podjęciem decyzji warto przeprowadzić audyt bezpieczeństwa w organizacji, aby dokładnie zidentyfikować potencjalne słabe punkty. Wybór i wdrożenie odpowiedniego systemu zarządzania incydentami, wzbogaconego o integrację z Keycloak, pozwoli skuteczniej monitorować zagrożenia i zwiększyć ochronę danych w organizacji.

Chcesz wdrożyć Keycloak?

Skorzystaj z naszego doświadczenia. Zrealizowaliśmy liczne wdrożenia dla SME oraz dużych organizacji. Chętnie porozmawiamy o możliwościach współpracy.

Umów spotkanie

Artykuł Systemy Security Information and Event Management. Dlaczego warto dodać do nich Keycloak? pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Organizacje w Keycloak: Zarządzanie i personalizacja autentykacji

Marta Kuprasz — Thu, 05 Dec 2024 13:26:13 +0000

Keycloak w wersji 26 przyniósł kilka ciekawych rozwiązań, które mogą z powodzeniem być wykorzystywane w średnich i dużych przedsiębiorstwach. Jednym z nich jest funkcja „Organizacje”, na której skupimy się w poniższym tekście. Omówimy sposób korzystania, konfiguracji oraz to, w jaki sposób może usprawnić zarządzanie użytkownikami w złożonych środowiskach.

Czym są organizacje w Keycloak?

Organizacja w Keycloak reprezentuje podmiot. Może nim być klient lub partner biznesowy. Funkcja ta pozwala na:

Przypisywanie użytkowników jako członków konkretnej organizacji.
Definiowanie dedykowanego administratora dla organizacji.
Ustalanie specyficznych procesów autentykacji dla każdej organizacji.

Dzięki zastosowaniu tej funkcji Keycloak umożliwia tworzenie indywidualnych procesów logowania dla różnych klientów w ramach jednego systemu. Na przykład użytkownicy mogą być rozpoznawani na podstawie domeny ich adresu e-mail, co automatycznie kieruje ich do odpowiedniego procesu logowania.

Funkcjonalność organizacji jest szczególnie istotna w środowiskach korporacyjnych i międzyorganizacyjnych, gdzie zarządzanie użytkownikami jest złożone. Organizacje w Keycloak rozwiązują problem obsługi różnorodnych procesów logowania i personalizacji uwierzytelniania. Przykładowo:

Firmy świadczące usługi dla wielu klientów mogą tworzyć różne metody logowania i integracji z systemami klientów.
Organizacje składające się z wielu jednostek biznesowych mogą niezależnie zarządzać użytkownikami i ich uprawnieniami.
Systemy wymagające federacji z zewnętrznymi dostawcami tożsamości mogą korzystać z dedykowanych flow autentykacji.

Organizacje vs. Grupy – jakie są różnice?

W Keycloak 26 funkcjonalność organizacji i grup pełni różne role, mimo że oba mechanizmy służą do zarządzania użytkownikami. Organizacje są przeznaczone do obsługi bardziej złożonych scenariuszy, takich jak zarządzanie użytkownikami w kontekście różnych klientów lub partnerów biznesowych. Skupiają się na flow autentykacji oraz federacji tożsamości, umożliwiając precyzyjne dopasowanie procesów uwierzytelniania do potrzeb zewnętrznych podmiotów. Z kolei grupy lepiej sprawdzają się przy organizowaniu użytkowników w ramach jednej aplikacji, na przykład do przypisywania uprawnień lub definiowania dostępu do zasobów.

Konfiguracja organizacji

W przypadku rozbudowanych systemów uwierzytelniania funkcjonalność organizacji pozwala na bardziej precyzyjne zarządzanie użytkownikami i ich dostępem w ramach określonych struktur. W dalszej części artykułu pokażemy, jak krok po kroku skonfigurować organizacje w Keycloak, od aktywacji tej funkcji w ustawieniach realmu, po przypisywanie użytkowników do konkretnych grup.

1. Włączenie funkcjonalności organizacji w realmie
Aby skorzystać z funkcji organizacji, należy ją aktywować w ramach ustawień realmu:
Przejdź do Realm Settings > General, a następnie włącz opcję Switch Organizations.
Po aktywacji w menu po lewej stronie pojawi się nowa zakładka: Organizations.

2. Tworzenie nowej organizacji
Wejdź w zakładkę Organizations, wybierz Add Organization, a następnie wypełnij kluczowe pola:

- Name: Unikalna nazwa organizacji, wyświetlana w interfejsie.
- Alias: Unikalny alias używany w URL’ach (niezmienny po zapisaniu).
- Redirect URL: Adres, na który użytkownik zostanie przekierowany po rejestracji lub zaakceptowaniu zaproszenia.
- Domains: Domena używana do rozpoznawania organizacji na podstawie adresu e-mail użytkownika.

Automatyczne przypisywanie na podstawie domeny:
Podczas logowania użytkownik podaje adres e-mail. Keycloak analizuje jego domenę i automatycznie przypisuje go do odpowiedniej organizacji. Dzięki temu użytkownik korzysta z dedykowanego flow autentykacji. Warto zaznaczyć, że Keycloak obsługuje wildcardy w konfiguracji domen, co pozwala na przypisywanie subdomen (np. *.example.com) do tej samej organizacji.

3. Dodawanie użytkowników do organizacji
Użytkowników można przypisać do organizacji na kilka sposobów:

- Istniejący użytkownicy: Dodaj użytkowników już obecnych w realmie (Organizations > Members > Add Realm User).
- Zaproszenia: Wyślij zaproszenie do nowego lub istniejącego użytkownika (Organizations > Members > Add Member > Invite Member).
- Identity Provider: Powiąż dostawcę tożsamości z organizacją, aby automatycznie przypisywać użytkowników (Organizations > Identity Providers > Link Identity Provider).

4. Wyświetlanie użytkowników w organizacji
Lista użytkowników organizacji jest dostępna w sekcji Organizations > [Nazwa Organizacji] > Members. Informacja o przynależności do organizacji może być zawarta w tokenach jako claim organization. Dzięki temu aplikacje mogą różnicować uprawnienia użytkowników.

5. Zarządzanie flow autentykacji
Organizacje w Keycloak umożliwiają zastosowanie dedykowanych flow autentykacji dla użytkowników.

- Identity-first login: Użytkownik podaje najpierw adres e-mail lub nazwę użytkownika, co pozwala Keycloakowi rozpoznać organizację i zastosować dedykowany flow.
- Customizacja flow: Każda organizacja może mieć własny flow autentykacji, co pozwala dostosować procesy logowania do specyficznych wymagań klientów.

Dzięki zastosowaniu funkcji organizacji Keycloak umożliwia zaawansowaną personalizację w systemach IAM, upraszczając jednocześnie zarządzanie użytkownikami i ich dostępem w złożonych środowiskach.

Nowa funkcja zarządzania organizacjami w Keycloak umożliwia tworzenie i administrowanie strukturami organizacyjnymi, takimi jak działy czy zespoły, co znacząco może usprawnić procesy takie jak onboarding czy offboarding pracowników oraz kwestie bezpieczeństwa z nimi związane. Przykładowo, podczas onboardingu nowy pracownik może zostać przypisany do odpowiedniej jednostki organizacyjnej, co automatycznie nadaje mu właściwe uprawnienia i dostęp do niezbędnych zasobów, które mogą mieć także charakter tymczasowy (np. dla pracowników tymczasowych). Analogicznie, w przypadku offboardingu usunięcie pracownika z danej jednostki powoduje natychmiastowe cofnięcie jego uprawnień i dostępu do firmowych zasobów, zwiększając tym samym bezpieczeństwo danych. Dzięki tej funkcji zarządzanie dostępami staje się bardziej zautomatyzowane i bezpieczne, co upraszcza procesy kadrowe w organizacji.

dr inż. Andrzej Chybicki CEO Inero Software

Napisz do nas

Zapewniamy kompleksowe wdrożenie i administrację systemami typu IAM

Napisz wiadomość

Artykuł Organizacje w Keycloak: Zarządzanie i personalizacja autentykacji pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Wyzwania i korzyści integracji Keycloak: zgodność z dyrektywą NIS 2 oraz praktyczne porady na wdrożenie

Marta Kuprasz — Tue, 16 Jul 2024 07:35:44 +0000

Powszechna digitalizacja usług sprawia, że coraz więcej zasobów przenoszonych jest do chmury. Chociaż takie podejście przynosi liczne korzyści, w tym elastyczność i skalowalność, to jednocześnie eksponuje te usługi na zewnątrz, zwiększając ryzyko nieautoryzowanego dostępu. Zarządzanie dostępem do zasobów w chmurze staje się coraz większym wyzwaniem, zwłaszcza w dużych organizacjach, które operują na rosnącej liczbie użytkowników, kontrahentów oraz różnorodności ról i uprawnień.

Ten proces przyciągnął uwagę globalnej społeczności, która za pomocą wytycznych i dyrektyw podkreśla znaczenie dostosowywania praktyk bezpiecznych do specyfiki danej firmy oraz sektorów, w których działa. Dyrektywa 2022/2555, znana jako dyrektywa NIS 2, jest reakcją Unii Europejskiej na zachodzące zmiany i konieczność wprowadzenia jednakowego zestawu obowiązków i standardów z zakresu bezpieczeństwa informacji w obrębie krajów wspólnoty. Najważniejsze obowiązki wynikające z dyrektywy to:

1. Obowiązek wprowadzenia środków zarządzania ryzykiem i reagowania na incydenty.
2. Obowiązek zgłaszania poważnych incydentów cyberbezpieczeństwa do właściwych organów.
3. Wymóg współpracy między państwami członkowskimi oraz z odpowiednimi organami na poziomie UE.
4. Dedykowane wymagania dla kluczowych sektorów, takich jak energia, transport, zdrowie i finanse.

Co zmieni dyrektywa NIS 2

Nowe przepisy objęły więcej sektorów i liczniejsze grono organizacji, w tym średnie i duże przedsiębiorstwa z branż krytycznych. Wprowadzono bardziej restrykcyjne wymogi dotyczące bezpieczeństwa informacji oraz obowiązki sprawozdawcze, w celu zwiększenia odporności na zagrożenia cybernetyczne. Zgodnie z Artykułem 21 punkt 3, firmy mają obowiązek zweryfikować ogólną jakość produktów i praktyk cyberbezpieczeństwa dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.

Z kolei w raporcie „Foresight Cybersecurity Threats for 2030”, ENISA (Europejska Agencja ds. Bezpieczeństwa Sieci) przedstawiła szczegółową analizę pojawiających się zagrożeń cyberbezpieczeństwa w perspektywie do roku 2030. Analitycy wśród głównych zagrożeń wskazali:

Zakłócenie łańcucha dostaw oprogramowania

Niedobór wykwalifikowanych specjalistów ds. cyberbezpieczeństwa

Błędy ludzkie i eksploatowane systemy legacy

Najnowsze raporty na temat bezpieczeństwa łańcucha dostaw oprogramowania potwierdzają, że jest to jedno z największych zagrożeń dla cyberbezpieczeństwa. Raport „The State of Software Supply Chain Security 2024” od ReversingLabs wskazuje, że liczba ataków na łańcuch dostaw oprogramowania wzrosła o 289% w ciągu ostatnich czterech lat, przy czym najwięcej ataków skoncentrowało się na popularnych repozytoriach open-source, takich jak npm i PyPI. (1)

W publikacji ENISA wskazano również niebezpieczeństwo związane z rosnącą zależnością kluczowych sektorów gospodarki, od zewnętrznych usług IT. Może ona prowadzić do zwiększonej liczby interakcji w krajobrazie cyfrowym. Efektem tego procesu jest stopniowe uzależnianie się kluczowych dostawców usług od oprogramowania, którego proces powstawania nie jest certyfikowany ani zarządzany.

Jak zapewnić zgodność rozwiązań IT z dyrektywą NIS 2?

NIS 2 jest dość ogólną dyrektywą. Nie mówi wprost, co należy zrobić i jakie działania podjąć. Niemniej jednak wytycza pewien kierunek działań z obszaru cyberbezpieczeństwa, wśród których warto podkreślić:

zapewnienie jednolitego i sprawdzonego autoryzowanego dostępu do usług cyfrowych, zwłaszcza tych przetwarzających dane osobowe,
zapewnienie w przedsiębiorstwach procesów stałego monitoringu oraz aktualizacji zabezpieczeń dla kluczowych punktów dostępu usług
ustandaryzowanie procesów dostępu do usług cyfrowych wraz ze wdrożeniem systemu zarządzania tożsamością użytkowników
raportowanie i monitorowanie stanu dostępu do autoryzowanych usługi i zbiorów danych.

Z tego względu możemy w najbliższym czasie spodziewać się wzrostu zainteresowania wdrażaniem rozwiązań klasy IAM (identity and access management). Podstawowym problemem, jest nie tylko wdrożenie samego systemu tej klasy, ale przede wszystkim możliwość dopasowania do potrzeb integracji konkretnych rozwiązań:

SSO z Keycloak– znacząco upraszcza proces uwierzytelniania i autoryzacji w organizacjach, poprawiając wygodę użytkowników oraz bezpieczeństwo systemów. Dzięki jednorazowemu logowaniu, użytkownicy mogą efektywniej korzystać z różnych aplikacji, co zwiększa produktywność.

Event Logging i alarmy– Keycloak rejestruje różnorodne zdarzenia, takie jak logowania, zmiany haseł, błędy uwierzytelniania oraz modyfikacje konfiguracji systemu. – Custom authrozation flow / na czym polega problem i dlaczego jest ważny. Alarmy pomagają w szybkiej reakcji na zagrożenia, minimalizując ryzyko naruszeń bezpieczeństwa i zwiększając ochronę zasobów w chmurze.

Custom Authorization Flow w Keycloak– pozwala na tworzenie niestandardowych procesów uwierzytelniania i autoryzacji, dostosowanych do specyficznych wymagań organizacji. Potrzeba zastosowania tego rozwiązania wynika z konieczności zapewnienia elastyczności i bezpieczeństwa w zarządzaniu dostępem do zasobów.

Identity Provieders – Integracja Keycloak z Microsoft Active Directory (AD) i Google Workspace umożliwia centralne zarządzanie tożsamościami i dostępem. Dzięki temu użytkownicy mogą korzystać z jednolitego logowania (SSO), uzyskując dostęp do wielu aplikacji za pomocą jednego zestawu danych uwierzytelniających.

Skalowanie Keycaloak– umożliwia obsługę rosnącej liczby użytkowników i aplikacji poprzez uruchamianie wielu instancji w konfiguracji klastrowej, co zapewnia równomierne rozłożenie obciążenia i wysoką dostępność.

Jak przygotować się do rozmowy na temat wdrożenia Keycloak w dużej organizacji?

Rozmowy techniczne na temat wdrożenia nowych narzędzi bywają długie i wieloetapowe, dlatego warto się do nich właściwe przygotować, aby etap konsultacji przebiegł szybko i obie strony uzyskały wystarczającą liczbę informacji. O to jak najlepiej przygotować się do wdrożenia Keycloak zapytaliśmy naszego CEO, Andrzeja Chybickiego.

Jakie są najczęstsze potrzeby firm, które szukają współpracy w obszarze cyberbezpieczeństwa?

Keycloak jest specyficznym, ale i kompleksowym rozwiązaniem, które pozwala tworzyć rozbudowane systemy zarządzania autoryzacją użytkowników. Jego największą zaletą jest możliwość wdrażania jako software on-premise.

Firmy z bogatym doświadczeniem również mogą napotkać wyzwania, wprowadzając istotną zmianę jaką jest customowy flow autoryzacji w swoich systemach logowania i często poszukują konsultacji. W takich sytuacjach szukają one partnerów, którzy mają praktykę w realizacji podobnych projektów, znają typowe problemy i posiadają sprawdzone metody ich rozwiązywania.

Klientami naszej firmy są organizacje na różnorodnych poziomach doświadczenia z IAM – niektóre rozważają implementację, zdając sobie sprawę z korzyści płynących z zarządzania tożsamością i dostępem, ale niepewne, od gdzie zacząć. Inne już rozpoczęły wdrożenie i zainstalowały potrzebne komponenty, lecz napotykają wyzwania w sferze konfiguracji dostosowania do użytkowników, partnerów i pracowników, na przykład przy projektowaniu skomplikowanych schematów autoryzacji wymaganych przez ich działalność.

Jak przygotować się do wdrożenia Keycloak, aby przebiegło ona sprawie?

Pomagając firmom w tworzeniu wewnętrznych rozwiązań IAM nasze działania prowadzą do dwóch podstawowych pytań. Najpierw, należy ocenić czy Keycloak w porównaniu z innymi rozwiązaniami, takimi jak Okta czy AWS Cognito, które mogą oferować prostszą obsługę i automatyzację z poziomu chmury, jest najlepszym wyborem. Następnie, kluczowe staje się rozpisanie procesów autoryzacji, integracja aplikacji, typ instalacji (on-demand lub lokalnie), wsparcie techniczne oraz długofalowa strategia z akutalizacjami systemu. To są podstawowe kwestie do przedyskutowania na samym początku.

Czego klienci oczekują od nas jako od firmy kompleksowo wdrażającej Keycloak?

Nasze doświadczenie pokazuje, że największą pomocą dla naszych partnerów jest wiedza specjalistyczna zdobyta przy realizacji podobnych inicjatyw. Najczęściej poszukują specjalistów, gdy mają szczególne wymagania dotyczące dostosowania oprogramowania produkcyjnego lub potrzebują stworzyć dodatek (plugin). Oczekują od nas wsparcia, licząc na to, że wykorzystamy doświadczenia z poprzednich projektów i zaprezentujemy, jak radziliśmy sobie z podobnymi wyzwaniami w przeszłości. Przykładów jest tu bardzo wiele od zapewnienia skalowania, do konfiguracji i integracji z przepływami autoryzacji w chmurze po integrację z systemami baz danych zawierających obsługę milionów użytkowników jednocześnie. Naszym zadaniem jest świadczenie usług doradczych adekwatnych do ich zasadniczych potrzeb.

Wdrożyliśmy Keycloak, ale co potem? Czy firma musi zatrudniać programistów znających to narzędzie do zarządzania systemem po jego implementacji?

Proces wdrożenia i konfiguracji Keycloaka jest złożony, a intensywność prac w trakcie trwania projektu nie jest równomierna. Prace takie są najczęściej nadzorowane z działem bezpieczeństwa lub osobami na poziomie głównego technicznego managementu – wymagają zatem koordynacji wielu grup pracowników. Często potrzebna jest również koordynacja z zespołami wsparcia, aby ustalić optymalny czas na wprowadzanie zmian w procesach autoryzacyjnych.

Implementacja Keycloaka nie wymaga ciągłej obecności dedykowanych ekspertów w organizacji. Keycloak jest generalnie stabilnym narzędziem i kluczowe jest, aby osoby zarządzające systemem posiadały wiedzę na temat jego funkcjonowania i były w stanie obsługiwać panel administracyjny Keycloaka, wykorzystując jego funkcje bez konieczności modyfikacji.

Niemniej jednak, długoterminowe wsparcie jest kluczowe, w tym regularne aktualizacje bezpieczeństwa, które społeczność Keycloak udostępnia co kilka miesięcy. Takie aktualizacje mają charakter krytyczny i warto mieć dostęp do kompetencji i wiedzy na wypadek krytycznych problemów.

[1] https://www.enisa.europa.eu/publications/foresight-cybersecurity-threats-for-2030-update-2024-extended-report

Artykuł Wyzwania i korzyści integracji Keycloak: zgodność z dyrektywą NIS 2 oraz praktyczne porady na wdrożenie pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Najlepsze praktyki w Keycloak. Zadbaj o bezpieczeństwo w 5 krokach

Marta Kuprasz — Mon, 13 May 2024 12:35:16 +0000

Keycloak to narzędzie do zarządzania tożsamością i dostępem, które zapewnia bezpieczeństwo aplikacji i usług webowych. Aby maksymalnie zabezpieczyć swoje środowisko przy jego użyciu, warto wdrożyć najlepsze praktyki. Oto 5 kluczowych kroków, które Ci w tym pomogą.

Włącz HTTPS i używaj silnych certyfikatów

Pierwszym i najważniejszym krokiem jest zapewnienie, że cała komunikacja z serwerem Keycloak odbywa się przez bezpieczny protokół HTTPS. Używanie certyfikatów SSL/TLS od zaufanych dostawców chroni przed przechwyceniem i manipulacją danymi.

W tym kroku:

– Skonfiguruj serwer Keycloak: Ustaw serwer, aby korzystał wyłącznie z HTTPS, odrzucając wszystkie niezaszyfrowane żądania HTTP.

– Uaktualnij certyfikaty: Regularnie odnawiaj i uaktualniaj certyfikaty SSL/TLS, aby uniknąć ryzyka wykorzystania przestarzałych kluczy.

Zastosuj wieloskładnikowe uwierzytelnianie (Multi-Factor Authentication, MFA)

Ta funkcja dodaje warstwę bezpieczeństwa poprzez jednoczesne użycie kilku metod weryfikacji tożsamości użytkownika. 2FA (uwierzytelnianie dwuskładnikowe) to popularna forma MFA, która zazwyczaj wymaga od użytkownika podania hasła i potwierdzenia tożsamości za pomocą drugiego składnika, na przykład kodu z aplikacji uwierzytelniającej.

W tym kroku:

Aktywuj uwierzytelnianie wieloskładnikowe w Keycloak: Włącz MFA dla wszystkich użytkowników, szczególnie tych z dostępem administracyjnym i do danych wrażliwych.
Wybierz metody uwierzytelniania: Keycloak obsługuje różne metody MFA – najczęściej używane to aplikacje uwierzytelniające (np. Microsoft Authenticator).

Przeczytaj także:

Wprowadź silne polityki haseł i zarządzanie sesjami

Zarządzanie hasłami i sesjami jest kluczowe dla ochrony tożsamości użytkowników i zapobiegania nieautoryzowanemu dostępowi. Są pierwszą linią obrony przed atakami, takimi jak brute force czy phishing. Keycloak w tym zakresie daje szerokie pole możliwości konfiguracji polityki ustawiania haseł, które są konfigurowalne z poziomu konsoli administracyjnej.

W tym kroku:

– Skonfiguruj politykę haseł: ustal dokładne zasady wyboru haseł, aby wymagały określonej długości, skomplikowania (np. obecność znaków specjalnych, dużych i małych liter) oraz określ czas życia hasła i jego historię.

– Ogranicz czas życia sesji: Ustaw krótkie, ale praktyczne czasy życia sesji i tokenów, aby zminimalizować okno dla potencjalnych ataków. Automatyczne wylogowywanie użytkowników po określonym czasie nieaktywności jest ważne dla zapobiegania przypadkowemu pozostawieniu sesji otwartej na współdzielonych lub publicznych urządzeniach.

Przeczytaj także:

- Praktyczne wprowadzenie do Keycloak SSO: Od konfiguracji do integracji
- Wpowadzenie do Passkey w Keycloak

Zabezpiecz punkty końcowe API i używaj kontroli dostępu opartej na rolach (RBAC)

Kontrola dostępu oparta na rolach (Role-Based Access Control) pozwala na definiowanie ról, przypisywanie ich użytkownikom i zarządzanie uprawnieniami, co umożliwia kontrolę operacji na API zależnie od roli.

W tym kroku:

Zabezpieczanie punktów końcowych API: Aby zabezpieczyć punkty końcowe API, kluczowe jest zastosowanie odpowiednich mechanizmów autoryzacji i uwierzytelniania:

- Uwierzytelnianie: Implementuj protokoły uwierzytelniania, takie jak OAuth 2.0 i OpenID Connect, aby użytkownicy i aplikacje musiały udowodnić swoją tożsamość przed uzyskaniem dostępu do API.
- Tokeny dostępu: Wykorzystuj tokeny dostępu (access tokens), które zawierają informacje o uprawnieniach użytkownika, do weryfikacji uprawnień dostępu do różnych zasobów API.
- HTTPS: Zapewnij, że wszystkie żądania do API są przesyłane przez HTTPS, chroniąc dane przed przechwyceniem i modyfikacją.

Kontrola dostępu oparta na rolach (RBAC): Role-Based Access Control pozwala na zarządzanie uprawnieniami użytkowników na podstawie ich ról w organizacji:

- Definiowanie ról: Ustal role, które odzwierciedlają różne poziomy dostępu w aplikacji, np. administrator, użytkownik, gość itp.
- Przypisywanie ról: Przypisz użytkownikom role, które określają, do jakich zasobów i operacji mogą uzyskać dostęp.
- Zarządzanie uprawnieniami: Skonfiguruj zasady dostępu w Keycloak, aby kontrolować, które operacje mogą być wykonane przez użytkowników z daną rolą na określonych punktach końcowych API.

Przeczytaj także:

Regularnie aktualizuj i monitoruj środowisko

Aktualizacja i stałe monitorowanie środowiska Keycloak jest niezbędne do utrzymania wysokiej ochrony przed nowymi zagrożeniami i lukami w zabezpieczeniach. Aktualizacje Keycloak pojawiają się co kilka miesięcy, a informacje na ich temat można znaleźć na oficjalnej stronie projektu lub w dokumentacji Keycloak.

W tym kroku:

– Aktualizacje: Regularnie aktualizuj Keycloak do najnowszych stabilnych wersji.

– Monitoring i logowanie: Użyj narzędzi do monitorowania, aby śledzić wszelkie niezwykłe zachowania i szybko reagować na potencjalne incydenty bezpieczeństwa. Skonfiguruj systemy logowania, aby zbierać kluczowe informacje o działaniu systemu. Korzystając na przykład z Kubernetes, można efektywnie zarządzać i skalować narzędzia do monitorowania i logowania, takie jak Prometheus i ELK Stack. Kubernetes ułatwia wdrażanie i zarządzanie kontenerami z tymi narzędziami, automatyzując ich rozmieszczanie, skalowanie i naprawę, co jest kluczowe dla utrzymania ciągłości działania i bezpieczeństwa w rozproszonych systemach.

– Postaw na sprawdzonego Partnera: Jeśli wdrożenie najlepszych praktyk Keycloak wydaje Ci się na tym etapie pracochłonnym procesem, który mocno obciąży Twój zespół, skorzystaj z pomocy specjalistów w tej dziedzinie.

Przeczytaj także:

Inero Software posiada bogate doświadczenie we wdrażaniu zaawansowanych rozwiązań w dziedzinie cyberbezpieczeństwa. Tworzymy kompleksowe systemy do zarządzania użytkownikami i ich rolami, które są dostosowane do złożonych infrastruktur IT i spełniają wysokie wymagania korporacyjne. Nasz zespół, składający się z ekspertów w dziedzinie cyberbezpieczeństwa, implementuje zaawansowane schematy autoryzacji zgodnie z renomowanymi standardami bezpieczeństwa. Dzięki naszej wiedzy i doświadczeniu, zapewniamy skuteczną ochronę przed zagrożeniami i zgodność z korporacyjną polityką bezpieczeństwa.

Skontaktuj się z nami, aby poznać możliwości wspólnego wdrożenia najlepszych praktyk Keycloak w Twojej organizacji.

Artykuł Najlepsze praktyki w Keycloak. Zadbaj o bezpieczeństwo w 5 krokach pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Tożsamość cyfrowa w dobie pracy zdalnej

Andrzej Chybicki — Mon, 21 Mar 2022 11:02:59 +0000

Cyfrowa tożsamość w dobie pracy zdalnej i pandemii

Okres pracy zdalnej i postępująca cyfryzacja usług przyczyniła się do popularyzacji narzędzi i systematów informatycznych w naszej codziennej pracy. Obok powszechnie znanych narzędzi takich jak systemy Office, Outlook, komunikatory, narzędzia telekonferencje typu Microsoft Teams czy Google Meets, zdalnie pracujemy także z coraz bardziej wyspecjalizowanymi systemami takimi jak systemy obiegu dokumentacji, fakturowania czy inne. Aby uwzględnić wymagania prawne i zapewnić bezpieczeństwo danych w tych systemach, dostęp do nich musi być odpowiednio zabezpieczony i skonfigurowany. Z jednej strony, ważne jest aby użytkownicy mogli z nich korzystać możliwie w łatwy sposób, np. bez konieczności wpisywania loginu hasła za każdym razem kiedy chcą uzyskać do nich dostęp. Z drugiej, istotnym jest także, aby osoby postronne, dostawcy nie mogli bez odpowiedniej autoryzacji uzyskać dostępu do zasobów zawartych w tych systemach, zgodnie z polityką bezpieczeństwa naszej organizacji.

W dużych zespołach korporacyjnych, których pracownicy są fizyczne rozmieszczeni w różnych lokalizacjach, miastach a nawet krajach, kwestia ta ma jeszcze większe znaczenie. Mimo że osoby zatrudnione w takich zespołach pracują z różnych miejsc to wiele zasobów musi być ze sobą zintegrowanych, a ujednolicony dostęp do nich usprawnia pracę i ułatwia komunikację oraz zarządzanie. Prostym przykładem takich zintegrowanych rozwiązań mogą być systemy obiegu dokumentów i fakturowania. Dla przykładu, pracownik posiadający dostęp do systemu zarządzania umowami obsługuje również system fakturowy. Dla bardziej złożonych procesów biznesowych, logowanie się do różnych systemów działających w obrębie korporacji może być jednak uciążliwe. Każdy z pracowników musi pamiętać swoje unikatowe login i hasło, które w ogólności powinny być różne dla każdego z wykorzystywanych systemów. Jednocześnie, każdy pracownik logując się do dowolnego z tych systemów, chce mieć jedną tożsamość, ponieważ tak naprawdę zawsze reprezentuje tą samą, fizyczną osobę i w każdym z tych systemów podlega konkretnej grupie autoryzacji i uprawnień wynikających z przypisanego mu stanowiska, obowiązków służbowych oraz innych. W takich sytuacjach właśnie stosuje się systemy zarządzania tożsamością (ang. IAM – Identity and Access Management).

Czym jest cyfrowa tożsamość – digital identity?
Cyfrowa tożsamość to zbiór indywidualnych loginów i haseł, z których korzystamy w różnych systemach. Jeżeli posiadamy ich wiele, to dysponujemy dużą ilością danych logowania. W dłuższej perspektywie może być to uciążliwe, szczególnie w sytuacjach, kiedy użytkownik zapomni jednego z haseł, przez co później musi je odzyskiwać. W takim przypadku jest to trudne do zarządzania zarówno ze strony użytkowników, jak i administratorów.

IAM to narzędzie, które zapewnia skuteczne zarządzanie dostępem do zasobów informacyjnych. Za pomocą takiego rozwiązania można z wykorzystaniem jednego mechanizmu obsługiwać konta zarówno istniejących jak i nowo utworzonych. System zarządzania tożsamością pomaga również w administrowaniu danymi użytkowników, którzy odeszli z organizacji lub zmienili się ich status. W ten sposób można bez problemu zmienić lub wygasić ich uprawnienia.

Jednym z częściej pojawiających się pojęć podczas tworzenia IAM jest pojęcie SSO (Single-Sign-On). SSO to koncepcja budowania rozwiązań autoryzacji, która pozwala nam logować się do wielu systemów przy wykorzystaniu z jednego wspólnego punktu logowania. Charakteryzuje się on również tym że że posiada jeden wspólny moduł zarządzania użytkownikami, ich uprawnieniami oraz autoryzacją dla wszystkich systemów. Pozwalają one na zarządzanie naszą cyfrową tożsamością w zunifikowany sposób. W efekcie, użytkownik posiada jeden login i hasło do wielu systemów, za pomocą których może się autentyfikować.

Wpływ COVID-19 na zintegrowane zarządzenie autoryzacją

W ostatnich dwóch latach systemy klasy IAM są coraz częściej stosowane z uwagi na konieczność pracy zdalnej lub hybrydowej. IAM ma ogromne znaczenie w zabezpieczeniu zasobów cyfrowych. Ważne jest aby wiedzieć iż narzędzia te zapewniają nie tylko podstawowe uwierzytelnianie i autoryzację w celu zabezpieczenia danych pracownika, ale także dają możliwość autoryzacji wieloetapowej (ang. Mutli-factor authorization – MFA) np. z wykorzystaniem SMSów, mailów, komunikatorów, powiadomień zdalnych czy innych.

Kiedy ważne jest zarządzanie tożsamością i dostępem?

Zarządzanie cyfrową tożsamością odbywa się tak naprawdę zawsze gdy korzystamy ze swojego unikalnego loginu. Prostym przykładem użycia cyfrowej tożsamości może być integracja konta Google z przeglądarką Chrome. W przypadku korporacyjnych rozwiązań nasza tożsamość musi być dokładniej uwierzytelniana, dlatego za każdym razem gdy logujemy się do np. poczty przez przeglądarkę internetową musimy podawać swój login i hasło.

„Według raportu Verizon Data Breach Investigations, ponad 70% pracowników wielokrotnie używa tych samych haseł w pracy. Raport stwierdza, że 81% naruszeń związanych z hakowaniem wykorzystywało skradzione lub słabe hasła”

Podstawową zasadą tworzenia systemów IAM jest to, żeby nie tworzyć nowych rozwiązań w zakresie bezpieczeństwa, ale przede wszystkim wykorzystywać standardy i sprawdzone metody zabezpieczeń. Narzędzia, które pozwalają nam na wykorzystanie standardowych podejść do zapewnienia bezpieczeństwa i wygody użytkowania w zakresie autoryzacji dla różnych scenariuszy połączeń rozmaitych systemów, to między innymi:

Azure B2C
OAuth2
Open ID Connect
Identity Server
Active Directory
KeyCloak
Amazon Cognito
Google IAM

Wspominając o zarządzaniu cyfrową tożsamością konieczne jest wskazanie różnic pomiędzy autoryzacją a autentyfikacją. Autoryzacja daje możliwość dostępu do potwierdzania czy dana osoba jest dopuszczona do skorzystania z jakiegoś zasobu (np. modułu, funkcji lub bazy danych), a autentyfikacja oznacza potwierdzanie tożsamości.

5 zalet zarządzania tożsamością i dostępem

Zwiększenie cyber bezpieczeństwa

Dzięki rozwiązaniom IAM, firmy mogą wdrażać wspólne i zunifikowane polityki zabezpieczeń we wszystkich połączonych systemach. Korzystając z takich narzędzi administratorzy mogą bez problemu usuwać niepożądane uprawnienia dostępu w razie potrzeby, poprzez zapewnienie jednego spójnego systemu kont i haseł.

Mniejsze koszty operacyjne w zakresie zarządzania infrastrukturą i bezpieczeństwem IT

Wykorzystując zintegrowane systemy przedsiębiorstwa mogą obniżyć koszty w zakresie zarządzania infrastrukturą informatyczną minimalizując czas potrzebny na rozwiązywanie problemów związanych z kontem użytkownika.

Wygodniejsze korzystanie z systemów przez użytkowników i administratorów

Poprzez wdrożenie narzędzi IAM administratorzy są w stanie stworzyć unikalną tożsamość dla każdego użytkownika w prosty i szybko sposób. Nie muszą oni więc zarządzać dziesiątkami kont dla różnych aplikacji lub innych zasobów. Użytkownicy posiadają dostęp do systemów niezależnie od ich lokalizacji, czasu lub aktualnie wykorzystanego urządzenia.

Możliwość łatwiejszego dostosowania się do regulacji polityk bezpieczeństwa korporacyjnego

Korporacje zamawiając albo tworząc oprogramowanie wdrażają polityki bezpieczeństwa mówiące o tym co może, a co nie może być dopuszczalne w konkretnych systemach informatycznych. Jeżeli mamy do czynienia z jednym systemem logowania kont, to o wiele łatwiej jest zarządzać taką polityką.

Łatwiejsze odzyskiwanie i zarządzanie hasłami

Dzięki rozwiązaniom IAM, problemy związane z bezpieczeństwem haseł zostaną zminimalizowane. Pomagają one administratorom wdrażać lepsze praktyki dotyczące zarządzania zabezpieczeniami. Mowa tutaj o częstych aktualizacjach danych logowania czy silniejszym uwierzytelnianiu.

Zarządzanie tożsamością i dostępem – podsumowanie

Jeżeli przedsiębiorstwa chcą zapewnić swoim pracownikom bezpieczeństwo i zwiększyć ich produktywność, powinny zdecydować się na zintegrowane zarządzanie tożsamością i dostępem. Po zalogowaniu się do głównego systemu użytkownicy nie muszą martwić się posiadaniem odpowiedniego hasła do innych struktur. Pracownik otrzymuje więc dostęp do idealnego zestawu narzędzi, dzięki którym może zwiększyć swoją produktywność.

„72% organizacji przekłada bezpieczeństwo nad wydajność operacyjną (52%) i zapobieganie naruszeniom (47%) co jest kluczowym czynnikiem rozwoju narzędzi IAM.”

~Według 2020 IAM Report, Cybersecurity Insiders

Cyfrowe zarządzanie tożsamością to proces, który może być wdrażany etapami. Nie trzeba integrować wszystkich systemów w zakresie autoryzacji za jednym razem. Przedsiębiorstwo może zdecydować się na wprowadzanie pojedynczych systemów i z czasem dołączać kolejne struktury.

Inero Software oferuje wiedzę i doświadczenie w zakresie skutecznego wykorzystywania najnowocześniejszych technologii i danych do kształtowania korporacyjnych produktów cyfrowych przyszłości w zakresie IAM, sztucznej inteligencji czy rozwiązań webowych.

W sekcji BLOG można znaleźć inne artykuły dotyczące nowoczesnych rozwiązań dla przedsiębiorstw.

Artykuł Tożsamość cyfrowa w dobie pracy zdalnej pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.