Network World, США
Идентичность пользователей и объектов составляет инфраструктуру, способную в будущем стать основой для защиты и управления на базе правил для среды распределенных вычислений
Учитывая то, что ИТ-руководители все больше начинают ценить надежность защиты и эффективность администрирования при управлении идентичностью пользователей, некоторые эксперты считают, что те же преимущества могут быть распространены на маршрутизаторы, коммутаторы, приложения, Web-сервисы и другие компоненты за счет создания общей интероперабельной модели идентичности.
Идея заключается в том, что оба эти понятия — идентичность пользователей и объектов — составляют инфраструктуру, способную в будущем стать основой для защиты и управления на базе правил для среды распределенных вычислений.
По мнению экспертов, создание такой модели нацелено на то, чтобы обеспечить централизованное администрирование защиты и управление работой на основе набора правил или допусков, которые можно применять с учетом идентичности субъекта.
Как подчеркнул Фред Веттлинг, председатель совета директоров Network Applications Consortium (NAC), группы пользователей, специализирующейся на вопросах интероперабельности, метакаталоги, виртуальные каталоги, системы распространения, управления доступом, Security Assertion Markup Language и множество других технологий в первую очередь ориентированы на людей. По его мнению, настало время обратить внимание на такие сущности сети, как устройства, приложения, службы и другие ИТ-объекты, которыми необходимо управлять и защиту которых необходимо обеспечивать.
Обилие стандартов
Вопросами управления идентичностью занимаются также органы стандартизации и ведущие ИТ-компании, в том числе Boeing, Lockheed Martin, Chevron/Texaco, GlaxoSmithKline и другие известные члены NAC.
Недавно NAC, Open Group и Distributed Management Task Force (DMTF) совместными усилиями начали создавать оболочку, которая описывает общий идентификатор объектов.
Данная проблема в центре внимания и другой группы. Комитет Extensible Resource Identifier (XRI) Technical Committee, входящий в состав ассоциации Organization for the Advancement of Structured Information Standards (OASIS), разрабатывает общий идентификатор для сетевых ресурсов, который мог бы совместно использоваться разными компаниями.
«Речь идет об идентификаторах. Необходимо некое место, где регистрируют всю корреспонденцию, — заметил Марти Шлейфф, специалист по вопросам киберидентичности компании Boeing. — Место, куда можно передать фрагменты информации и объединить их. Эти объединенные данные и определяют идентичность с точки зрения того, какой объект будет использовать данную информацию, например устройство или приложение».
Сейчас существует множество идентификаторов, в частности URL, адреса контроля доступа к носителям, IP-адреса, цифровые сертификаты, защитные микросхемы в ПК, номера телефонов и символы Universal Product Code, работающие в точно определенном контексте.
Кроме того, DMTF имеет протоколы, такие как Common Information Model и Systems Management Architecture for Server Hardware, которые применяют эту концепцию идентичности в конкретном контексте.
Эксперты считают, что недостает общей оболочки, которая позволила бы обмениваться идентификаторами между системами, приложениями и компаниями.
Можно привести простой пример работы технологии USB. Пользователи подключают мышь, которая сообщает ПК о своей идентичности, а ПК, в свою очередь, распознает мышь и знает, что она может делать.
Реальная общая картина
В глобальном масштабе неодушевленные элементы сети могли бы выражать свою идентичность и сообщать набор атрибутов — функции, возможности и ограничения — во многом аналогично устройству USB. Приложения, которые взаимодействуют друг с другом так же, как в модели архитектуры, ориентированной на сервисы, могли бы удостоверять подлинность и проверять ее, обращаясь к каталогу или независимому источнику на основе своей идентичности.
«Семантика идентификаторов должна быть такой, чтобы можно было использовать управление доступом, управление на основе ролей и все системы защиты, которые сейчас ориентированы на пользователей, для поддержки объектов другого рода, таких как приложения», — подчеркнул Шлейфф.
Эти неодушевленные идентичности, во многом так же, как и в мире идентичности пользователей, стали бы базой для использования разрешений, так называемых ролей и правил, которые управляют применением и действиями любого объекта или группы объектов в сети или между сетями. Идентичности для пользователей и объектов могли бы объединяться по единому правилу. Например, по щелчку мыши всем объектам в сети, задействованным в подготовке финансового отчета в конце года, предоставлять определенное качество обслуживания.
«Можно посмотреть на это в контексте доверительных вычислений, — сказал Джеми Льюис, президент Burton Group. — Если вы намерены перейти на grid-системы и доверительные вычисления, критически важное значение имеет наличие возможности без вмешательства человека обеспечить уникальную идентификацию и аутентификацию конкретной машины, конкретного фрагмента кода и подтверждение того, что системы взаимодействуют с корректной конечной точкой».
Льюис отметил, что основная задача состоит в идентификации этих элементов. В этой ситуации возникают те же вопросы, которые решаются при управлении идентичностью пользователей: резкое увеличение числа хранилищ, избыточная информация, фрагментация и многочисленные способы корреляции данных.
«Но в итоге все сводится к наименованию. Как присвоить чему-либо уникальное имя и в каком контексте это имя должно быть уникальным? Должно ли оно быть уникальным в галактике, на планете, в стране, в штате, в городе или в компании? Чем обширнее контекст, тем труднее это сделать, поскольку необходимо согласовывать пространство имен с большим количеством людей, — сказал он. — Именно над этой проблемой сейчас работают OASIS и тройка, состоящая из NAC, Open Group и DMTF».
Месяц назад группы провели совместное совещание и анализировали модели идентичности, в том числе Uniform Resource Identifier консорциума World Wide Web Consortium и Common Core Identifier (URI) организации Open Group, которая объединяет пару Universally Unique ID, механизм для вычисления идентификаторов. DMTF сообщила о своих «коррелируемых» метаданных и технологии ID образцов для объединения различных свойств, связанных с объектом, которые формируют идентичность.
По мнению Криса Хардинга, руководителя форума управления каталогами и идентичностью Open Group, модель Common Core Identifier довольно проста, при условии, что количество идентификаторов, которыми приходиться управлять, невелико. Хардинг отметил, что существует список требований, в том числе касающихся стабильности, сохраняемости во времени и поддержки различных уполномоченных, выпускающих идентификаторы в противоположность центральному уполномоченному по регистрации.
Идентификация в широком понимании
Корпоративным пользователям становятся ясны преимущества управления идентичностью для обеспечения безопасности и управления деятельностью предприятия. В связи с этим возникает желание применить те же принципы к другим элементам сетей, таким как маршрутизаторы, приложения и Web-сервисы
