Bu yardımda net güvenlik görüşmesinde, OpenID Vakfı genel müdürü Gail Hodges, vakfın FAPI 2.0 uygulamalarında küresel tutarlılığı nasıl sağladığını ve sağlık hizmetleri de dahil olmak üzere farklı endüstrilere nasıl yardımcı olduğunu tartışıyor.
Hodges ayrıca uygunluk testi ve stratejik ortaklıkların sektörler arasında güvenlik ve birlikte çalışabilirliği korumaya nasıl yardımcı olduğunu açıklıyor.
OpenId Vakfı, FAPI 2.0 uygulamalarında, özellikle sağlık hizmetleri gibi sektörlerde bu ölçekte tarihsel olarak kullanmayan sektörlerde küresel tutarlılığı sağlamak için nasıl bir rol oynuyor?
1. Standartlar
Kâr amacı gütmeyen bir teknik standart organı olarak, OpenId Vakfı’nın birincil rolü, küresel topluluğa güvenli, birlikte çalışabilir, gizliliği koruyan ve açıkça mevcut olan kimlik standartları oluşturmada liderlik etmektir. FAPI 2.0 güvenlik profili durumunda, özel ve hassas verileri paylaşan çeşitli sektörlerdeki ekosistemleri destekliyoruz. Uygulayıcıların hedeflerine ulaşmak için bu olgun ve kanıtlanmış spesifikasyonların faydalarını gerçekleştirmelerini sağlamaya çalışıyoruz.
FAPI 2.0 spesifikasyonu, OAuth 2.0’ın güvenli ve birlikte çalışabilir bir profilidir. Veri paylaşımı ve diğer işlevler için ekosistem katılımcıları arasında güvenli ‘raylar’ sağlar. Bu standart, tek bir şirket, tek bir ekosistem veya ekosistemler ve sınırlar arasında seçilebilir ve dağıtılabilir. Protokolün kendisi, taraflar arasında değiştirilen verilerin agnostiktir. En çok finans, sigorta veya kimlik veri paylaşımı için seçilmiş olsa da, FAPI 2.0, herhangi bir sektörde yüksek riskli verileri veya ‘kargo’ bu raylarda paylaşmak için kullanılabilir.
2. Uygulama testi ve sertifikası
İkinci sorumluluğumuz, ekosistemlerin uygulamalarının FAPI 2.0 spesifikasyonlarına uygun olarak tamamlanmasını sağlamasına yardımcı olmaktır ve sonuçta bu uygulamaların güvenli ve birlikte çalışabilir olduğunu garanti etmektir. OpenId Foundation, satıcılar, ekosistem yönetim organları ve bireysel uygulamalar için mevcut kapsamlı bir uygunluk test programı işletmektedir.
Deneyimlerimize göre, en başarılı ekosistemler spesifikasyonlarımızın temiz profillerini uygulamıştır ve tüm katılımcılar için zorunlu uygunluk testini zorunlu kılmıştır.
3. Genel ekosistem desteği
OpenId Vakfı, konseptten dağıtım aşamalarına geçtikleri için yıllar boyunca birçok ekosistemi destekledi. Desteğimiz, profil oluşturma spesifikasyonlarına yardımcı olduğumuz, uygulamayı destekleyen testler sağladığımız, dağıtım yapılandırması, uygunluk testi, kendi kendine sertifika desteği ve yol haritası ve yönetişim tavsiyesi sunan testler sağladığımız stratejik ilişkilere geçiş yapıyor.
Canlı FAPI uygulamaları olan ülkeler arasında İngiltere, Brezilya, Suudi Arabistan, Almanya, BAE ve Avustralya bulunmaktadır. OpenId Vakfı ayrıca dört kıtadaki diğer beş ülkede FAPI’nin ilk kez geliştirilmesini ve konuşlandırılmasını aktif olarak desteklemektedir.
Norveç, sağlık sektöründe FAPI’yi ölçekte kullanan ilk ülkedir ve güvenlik ve birlikte çalışabilirlik risklerini hafifletirken tüm Norveç sağlık ağında sağlık verilerinin değişimine izin verir. OpenId Foundation ve FAPI çalışma grubu, NHN’nin henüz FAPI 2.0’ı dağıtmak için en büyük ekosistem olarak liderlik ettiğini görmekten mutluluk duyuyor. Bu, NHN’nin bugüne kadar çalıştığımız diğer ağlardan FAPI dağıtan ve birlikte çalışabilirlik sağlayan daha fazla varlık olduğu anlamına gelir. Başarıları etkileyici ve en iyi uygulamaları değiştirmek ve ekosistemlerini ölçeklendirmelerine, sürdürmelerine ve geliştirmelerine yardımcı olabilecek ek desteği kapsamak için NHN ile ortaklık kuruyoruz.
Sağlık sektörü için OpenID Foundation teknik özelliklerinin kullanılması yeni değildir. İlk standardımız OpenID Connect, İngiltere Ulusal Sağlık Servisi ve ABD Sağlık Verileri için Hızlı FHIR protokolünde aktif olarak kullanılmaktadır. İlginç bir gözlem, OpenID Connect uygulayıcılarının genellikle standardı alması ve kendi amaçları için şirket içinde değiştirilmesine rağmen, FAPI ekosistem uygulayıcılarının OpenID Vakfı’na daha yakın kalma eğiliminde olmalarıdır. İki yönlü bir uygulama deneyimi alışverişi yaparlar ve çoğu devam eden uygunluk testimizi ve kendi kendine sertifikasyonumuzu kullanırlar. Bu, güvenlik, birlikte çalışabilirlik ve operasyonel faydaların zamanla sürdürülebilmesini sağlar.
FAPI 2.0, DPOP ve JWT-Güvenli Yetkilendirme Talepleri gibi önlemleri içerir. Protokol süitine aşina olmayan güvenlik liderleri için, temel yenilikleri tehdit azaltma perspektifinden nasıl tanımlarsınız?
Genel olarak, bu mekanizmalar güvenlik risklerini azaltmak için kullanılır. İlk inovasyon, FAPI 2.0 profil geliştirmenin, FAPI 2.0’ın koruma sağlamayı amaçladığı risk ve senaryoları açıklayan karşılık gelen bir ‘saldırgan modeli’ ile yapıldığıydı. Bu güvenlik hedefleri şu şekilde özetlenebilir:
- Hiçbir saldırgan korumalı kaynaklara erişemez
- Başka bir kullanıcının kimliği altında hiçbir saldırgan giriş yapamaz
- Hiçbir saldırgan bir kullanıcıyı saldırganın kimliği altında oturum açmaya zorlayamaz
- Ve hiçbir saldırgan bir kullanıcıyı saldırganın kaynaklarını kullanmaya zorlayamaz.
İkinci inovasyon, FAPI güvenlik profillerinin Stuttgart Üniversitesi siber güvenlik araştırmacıları tarafından akademik olarak değerlendirilmesidir. Saldırgan modelinde açıklandığı gibi İnternet’i, protokolü ve gerekli güvenlik özelliklerini resmi olarak modellerler ve protokol ve profilin belirtilen güvenlik hedeflerini karşıladığını kanıtlayabilirler. Bunu destekleyen hakemli akademik makaleler var.
DPOP (RFC 9449), ‘Gönderen-kısıtlı erişim belirteçlerini’ oluşturmak ve doğrulamak için FAPI 2.0’ın kullandığı iki yöntemden biridir. Diğer seçenek de benzer bir etkiye mtls kullanır. Bunlar, erişim belirteci sızıntısı veya hırsızlık ile ilişkili riskleri azaltmak için kullanılır. Gönderen kısıtlama olmadan erişim belirteçleri, korunan veri ve hizmetlerle etkileşim kurmak için başka bir taraf tarafından alınabilir ve kullanılabilir. Bu, özel bir anahtara bağlı olduğu için gönderen kısıtlı bir erişim belirteci ile mümkün değildir ve gönderen kısıtlamalı erişim belirteci sunulduğunda bu bağlı anahtarı kullanan bir imzalama mekanizması gereklidir.
JWT-Güvenli Yetkilendirme Talepleri (RFC 9101), ek onaylanmayan özellikler sağlamak için FAPI 2.0 mesaj imzalama uzantısında kullanılır. Bazı ekosistemler, yetkilendirme talebinin kökeni ve bütünlüğü hakkında güvence gerektirir.
Norveç Sağlık Ağı’nın (NHN) ulusal sağlık altyapısında FAPI 2.0’ın piyasaya sürülmesi türünün ilk örneğidir. Hangi teknik veya örgütsel faktörler bu konuşlandırmayı böyle bir ölçekte mümkün kıldı?
OpenId Vakfı’nın bakış açısından, bu basitti. FAPI 2.0’ın seçimi ve ekosistemindeki tüm uygulayıcıların aynı spesifikasyona uygulanması için veri alışverişi yapılması gereken gereksinimdi.
Nihai başarı ve tanıma NHN ve tüm katılımcı sağlık hizmeti sağlayıcılarına aittir. Seçenekleri analiz etmek, FAPI 2.0 kullanmaya karar veren, dağıtımlarına entegre etmek, birlikte çalışabilirliği test etmek ve daha sonra her uygulamayı üretime taşıyan sıkı çalışma yapanlardır. Bunlar yönetmek için zor projelerdir, ancak NHN Team’den anladığımız gibi FAPI 2.0 ve OpenID Foundation’dan destekleyici unsurlar çeşitli risklerin hafifletilmesine neden olur.
OpenId Vakfı, aşağıdaki risk azaltma kategorilerinin NHN’nin FAPI 2.0’ı benimseyecekleri sonucuna varmasına yardımcı olduğuna inanıyor:
- Dünya çapında çok geniş gözden geçirme ve uygulama deneyimi ile desteklenen açık güvenlik riski azaltma
- Çok spesifik ve açıkça tanımlanmış bir güvenlik profili aracılığıyla birlikte çalışabilirlik riskinin azaltılması
- Güvenlik profilinin yazılım satıcıları ve servis sağlayıcıları tarafından desteklenmesi
- Ve gelecekteki herhangi bir sorunun, OpenId Vakfı üyeleri, katkıda bulunanlar ve uygulayıcılar topluluğu ile fikir birliğine dayalı bir şekilde ele alacağına olan güven.
NHN, DPOP ve diğer FAPI 2.0 mekanizmalarını dağıttıktan sonra jeton hırsızlığı riskinde bir azalma bildirdi. Bu sonuçlar diğer dağıtımlarda gördüğünüz şeyle tutarlı mı ve bunun düzenleyicileri ve cisos’u nasıl etkileyeceğini düşünüyorsunuz?
Token hırsızlığının hafifletilmesi, FAPI 1.0’ın başlangıcından itibaren FAPI WG için kilit tasarım hedeflerinden biri olmuştur. Güvenlik analizi, bu hedefe ulaştığımızı kanıtlamıştır ve uygunluk testi, uygulamaların doğru bir şekilde konuşlandırıldığını ve protokolün hedeflerinin gerçekleştirildiğini kanıtlamaktadır.
Ekosistem ortaklarımızdan herhangi birinden FAPI 1.0 veya FAPI 2.0 protokolü ile ilgili herhangi bir uzlaşma duymadık. Son kullanıcılara sahtekarlığa yol açan kimlik avı saldırıları ile ilgili konuları duyduk, ancak bunlar protokol güvenliği ile ilgisi yok ve tüketici farkındalığı ve eğitim ihtiyaçları ile daha tutarlı. Ayrıca ekosistem bozulmasına yol açan rızayı yönetmede hatalar duyduk, ancak bu operasyonel bir meseleydi, başka bir deyişle insan hatası.
En yaygın olarak, güvenlik sorunları ekosistem ortaklarımız tarafından sertifika ve uygunluk süreci ve serbestçe mevcut olan OpenId Foundation Open kaynak test süitlerine karşı devam eden gerçek zamanlı testler aracılığıyla tespit edilir. Testlerimizi geçemeyen uygulamalarının herhangi bir kısmı, geliştiriciye tetiklemek ve geçene kadar iyileştirmek için işaretlenir.
OpenId Foundation’ın kendisi, yukarı akış spesifikasyonlarından birinde potansiyel bir güvenlik sorunu tespit etti. FAPI 2.0 ile ilgisi olmayan resmi bir güvenlik analizi sırasında keşfedilen bir güvenlik açığıdır. Bu potansiyel güvenlik açığı tespit edildiğinde, NHN gibi ekosistemlerle olan ilişkimizden, gerekirse hafifletici eylemler alabilmeleri için onları bilgilendirmek için kullanabildik. Bu, OpenID Vakfı ve birbirleriyle ortaklaşa çalışan ekosistemlerin faydalarını örneklendirir. Bu kritik altyapının güvenliğini toplu olarak sağlayabiliriz.
Finale gitmeden önce bile seçtikleri için FAPI 2.0’ı tercih eden daha fazla düzenleyici ve CISO görüyoruz. Ekosistem ortaklarımızın birçoğu, iyileştirmelerden yararlanmak için FAPI 1.0’dan FAPI 2.0’a yükseltmeyi zaten takip ediyor ya da ciddi şekilde düşünüyor. Ayrıca, şirket içi, önceden var olan veya tescilli API’lere sahip uygulayıcıların FAPI 2.0’a geçişini görmeye başlıyoruz, bu da başkalarının liderliklerini takip edebileceğini gösteriyor.
OpenId Vakfı küçük bir ekiptir, bu nedenle açık bankacılık ve açık verileri takip eden 90’dan fazla ülke ile her karar vericiyi proaktif olarak tanımlayamayız ve FAPI 2.0’ı dikkate alması veya dikkate alması gereken her ekosistemi destekleyemiyoruz.
OpenId Vakfı Kurulu, üçüncü taraf test evlerinin akreditasyonunu araştırmak gibi kapasitemizi ölçeklendirmek için çalışıyor, ancak karar vericilerden topluluğa ulaşmak ve bilgilendirmek için bir dizi kanala güveneceğiz. Uygulamada, buna OpenID Foundation Standartlar uzmanları ve üyeleri, FAPI sertifikalı satıcılar, konferanslar ve düzenleyiciler arasında ağızdan ağıza söz konusudur.
Giderek, Dünya Bankası, UNDP ve açık kaynak STK’lar gibi kuruluşlar aracılığıyla gelişmekte olan ve daha az gelişmiş ülkelerin ihtiyaçları konusunda uzmanlarla da ilgileniyoruz. Ayrıca, yardım net güvenliği gibi uzman raporlamanın, sektörler ve paydaşlar arasındaki standardın farkındalığını ve değerlendirilmesini artırmaya yardımcı olabileceğini umuyoruz.
Sağlık sistemleri genellikle eski entegrasyonla mücadele eder. NHN’nin aşamalı göç stratejisinden hangi dersler FAPI 2.0’a geçmeyi düşünen diğer sektörler için yararlı olabilir?
Bu gerçekten NHN ekibi tarafından en iyi cevaplanan bir soru olsa da, söyleyebileceğim şey, OpenId Vakfı, FAPI 1.0 ve FAPI 2.0’ın uygulayıcılarını yıllarca işten İngiltere’de olduğu gibi ölçekte konuşlandırmaya geçtik. Ayrıca Suudi Arabistan ve BAE’de ölçekte konuşlandırılacak aylarca çalışmaya.
Bir ekosistemdeki tüm uygulayıcılar aynı testlere dayandığında ve standart varsayılan olarak birlikte çalışabilirliğe izin verdiğinde, uygulayıcılar çok partili entegrasyon ve testlere ulaşmadan önce kendi uygulamalarındaki hataların büyük çoğunluğunu ortadan kaldırabilirler. Bu, ekosistemin ihtiyaçlarına özgü diğer yönetişim kararlarına ve entegrasyon zorluklarına odaklanmasını sağlar.
Ağa bağlı işlerde 25 yılı aşkın bir süredir çalıştıktan sonra, özel kuruluşların Visa ve MasterCard gibi ortak kurallar ve Apple Pay gibi ortak API’ler aracılığıyla ekosistem ölçeğini nasıl yönlendirebileceğini gördüm.
FAPI 2.0’ın güzelliği, kamu ve özel ekosistemlerin FAPI 2.0 özelliklerinin ve testlerinin güvenlik, ölçek, birlikte çalışabilirlik ve operasyonel faydalarından yararlanabilmeleri ve kaynaklarının daha azını entegrasyona ve ekosistemlerine benzersiz bir şekilde getirebilecekleri değere odaklamalarına izin verebilmesidir.