Merkezi olmayan kimlik (DID) çekiş kazanıyor ve CISO’lar için veri koruma, gizlilik ve kontrol konusunda uzun vadeli planlamanın bir parçası haline geliyor. Daha fazla kuruluş doğrulanabilir kimlik bilgilerini ve kendini terkedilen kimlik modellerini denedikçe, bir soru ortaya çıkıyor: Tek bir varlık dizginleri tutmadığında sistemi kim yönetiyor?
Yönetişim Boşluğu
Geleneksel kimlik sistemleri yerleşik yönetişim ile birlikte gelir. Merkezi yetkililer kullanıcıları doğrular, kimlik bilgileri verir ve iptal ve denetim için politikalar belirler. Merkezi olmayan ekosistemlerde, bu sorumluluklar birçok aktöre yayılmıştır: ihraççılar, sahipler, doğrulayıcılar ve defter operatörü. Bu dağılım esnekliği ve gizliliği artırır, ancak aynı zamanda kontrolü de karmaşıklaştırır.
Allegro Solutions CEO’su Karen Walsh, “Güvenlik liderleri, süreçleri olgunlaştırmadan önce düşük asılı meyvelerden başlayarak karmaşık, dağıtılmış bir ortamda kimliği ve erişim yönetimini geliştirmek için üç ayrı eylemde bulunabilirler” dedi.
Walsh, ilk adımın SSO’yu tüm standart hesaplarda uygulamak olduğunu söyledi. “Ağları segmentlere ayırarak saldırı yüzeyini sınırlarken, kimlik yönetimini pekiştirmek için SSO’yu kullanabilirler.”
Daha sonra, güvenlik ekipleri çalışanlara hem iş hem de kişisel kullanım için bir şifre yöneticisi vermelidir, bu da birçok kuruluşun risklere rağmen göz ardı ettiği bir şey. “Meyveden çıkarılmış ve zayıf şifreler birincil saldırı vektörüdür, ancak çok fazla kuruluş, çalışanlarına şifre hijyenini geliştirmek için bir yol veremezler. Daha sonra, parola yöneticisi eklentisine kurumsal onaylı tarayıcılarda izin vermelidirler. Saldırganlar, bunların içinde depolanan şifreleri çalmak için tarayıcılardan ödün verebileceğinden, uçtan uca şifreli şifre yöneticisi, güvenlik yöneticisi ile entegre eder ve genel olarak kimlik kimliği entegre eder.
Üçüncü eylem genellikle teknik olarak en zorlu olanıdır: insan kullanıcı hesaplarını makine kimliklerine bağlamak. Walsh, “IoT, RPA ve ağ cihazları dahil olmak üzere tüm makine kimliklerine bir insan kullanıcı hesabı ve kimliği atamalıdırlar” dedi. “Bu, bu tipik olarak yönetilmeyen varlıkların, güvenlik açıklarından yararlanan saldırganlardan kaynaklanan riskleri azaltmak için ağlarda nasıl davrandıklarına dair ek bir fikir ve izleme sağlıyor.”
Birlikte ele alındığında, bu eylemler SSO ve şifre yöneticileri gibi hızlı kazançlarla başlayıp en çok gözden kaçan uç noktaları bile kapsayan daha entegre bir kimlik stratejisine doğru ilerleyen pratik bir yol sunar.
Merkezi olmayan yönetişimin üç sütunu
Bu karmaşıklığı yönetmek için CISOS’un üç yönetişim direğine odaklanması gerekiyor:
1. Kimlik Bilgisi Yaşam Döngüsü Yönetimi: Doğrulanabilir kimlik bilgileri merkezi bir sistemden bağımsız olarak verilebilir ve saklanabilir. Bu, kuruluşların kimlik bilgisi son kullanma, iptal ve güncellemeleri yönetmek için süreçler oluşturmaları gerektiği anlamına gelir. Bu özellikle sağlık ve finans gibi yüksek güven ortamlarında kritiktir.
2. Katılımcılar arasında politika koordinasyonu: Geleneksel federe kimlik sistemlerinden farklı olarak, merkezi olmayan kimlik merkezi bir politika otoritesinden yoksundur. Yönetişim, IP yığını üzerindeki güven gibi ortak anlaşmalardan, teknik standartlardan ve birlikte çalışabilir çerçevelerden ortaya çıkmalıdır. Merkezi olmayan Kimlik Vakfı (DIF) veya W3C çalışma grupları gibi yönetişim gruplarına katılım, kuruluşların tutarlı kuralları şekillendirmesine ve benimsemelerine yardımcı olabilir.
3. Risk ve uyumluluk hizalaması: Merkezi olmayan kimlik benzersiz riskler getirir: kamu defterlerine bağımlılık, merkezi kontrol eksikliği ve çok partili ekosistemlerde belirsiz sorumluluk. CISOS, yönetişim yapılarının GDPR, NIST 800-63 ve bölgesel veri ikamet yasaları gibi çerçeveler altında düzenleyici yükümlülüklerle uyumlu olmasını sağlamalıdır.
Doğru yığın seçmek
Merkezi olmayan kimlik uygulamalarının çoğu şunlar gibi yapı taşlarına dayanmaktadır:
- Merkezi bir kayıt defterine bağlı olmayan benzersiz tanımlayıcılar için DIDS
- Taşınabilir, kurcalamaya açık bir kanıt için doğrulanabilir kimlik bilgileri (VCS)
- Hyperledger Indy, Sovrin veya Ethereum gibi dağıtılmış defterler,
Ancak tüm yığınlar eşit yaratılmaz. Bazıları gizliliğe öncelik verirken, diğerleri şeffaflığa yaslanır. Cisos’un ödünleşmeleri değerlendirmesi gerekiyor.
Cisos şimdi ne yapmalı
CISOS, hangi iş işlevlerinin hala merkezi kimlik sistemlerine bağlı olduğunu denetleyerek başlamalıdır. Bu bağımlılıklar operasyonel darboğazlar, kilitleme riskleri oluşturabilir veya kimlik çerçeveleriyle birlikte çalışma yeteneğini sınırlayabilir.
Kuruluşunuz merkezi olmayan kimliği araştırırken, yönetişimi göz önünde bulundurarak pilot projeleri değerlendirir: kimlik bilgilerini kim verebilir veya iptal edebilir ve katılımcılar arasında güven nasıl kurulur.
Standartlar alanı hala hareket halindedir. İlgili endüstri organlarına ve teknik çalışma gruplarına katılmak, yol haritanızı etkileyebilecek değişikliklerin önünde kalırken, gelişmekte olan yönetişim çerçevelerini şekillendirmenize yardımcı olabilir.
Hibrit bir kimlik ortamı planlamak da önemlidir. Merkezi olmayan kimlik bir gecede geleneksel sistemlerin yerini almayacaktır. Yönetişim stratejiniz, özellikle federasyonlu erişim veya kurumsal dizinleri içeren senaryolarda her iki yaklaşımın nasıl bir arada bulunacağını ele almalıdır.
Son olarak, yasal ve uyum ekiplerinin konuşmanın bir parçası olduğundan emin olun. Yönetişim sadece teknik bir sorun değil. Merkezi olmayan modellerde, roller ve sorumluluklar bir şeyler ters gidene kadar karanlık olabilir. Farklı senaryolar altında kimin sorumluluk sahibi olduğunu tanımlamak, modeli uygulanabilir hale getirmede kritik bir adımdır.
Risk azaltma olarak yönetişim
Yönetişim olmadan, merkezi olmayan kimlik sistemleri parçalanabilir, tutarsız ve güvensiz olabilir. Uygun şekilde yönetilmeyen doğrulanabilir kimlik bilgileri kötüye kullanılabilir veya denetim gereksinimlerini karşılayamaz. Daha da kötüsü, kuruluşunuzu düzenleyici cezalara veya itibar zarlarına maruz bırakabilirler.
DID Technology, kimlik sahtekarlıklarını azaltmak, kullanıcı kontrolünü iyileştirmek ve yerleşik olarak kolaylaştırmak için yeni yollar sunuyor. Ancak vaat sadece roller, sorumluluklar ve kurallar hakkında ortak bir anlayış varsa ödenir.
Nick Kathmann’a göre, Logicgate’deki Ciso, “Merkezi olmayan kimlik sistemlerine doğru ilerlemek isteyen kuruluşlar, hesap sağlama, iptal ve yetkilendirme hibelerinin mümkün olduğunca otomatik olmasını sağlamak için kimlik yönetimi (IDM) çözümlerine daha ağır bir güvenecek.”
Merkezi kontrolden bu değişim yeni mimari hususlar getiriyor. “Merkezi olmayan kimlik sistemlerinde,” diye açıkladı Kathmann, “ana faktör, kimliklerin (kimlik doğrulama) yönetiminin bir IDM aracılığıyla otomatikleştirilmesini ve hibelerin/rollerin (yetkilendirme) IDP’nin kendisinde yönetilmesini sağlamak olacak.” Bu görev ayrımı, ademi merkeziyetin temel faydalarını korumanın anahtarıdır.
IDM’lerin merkezi bekçiler olarak iki katına çıkmamasını sağlayarak, kuruluşlar tek bir başarısızlık riskini azaltabilir. “Bu, IDM çözümünün kendi içinde başka bir merkezi kimlik çözümü haline gelmesini engelliyor,” diye ekledi Kathmann, “IDM çözümüne saldırmak kötü amaçlı kullanıcıların yalnızca IDP’lere kullanıcıları iptal etmesine veya eklemesine izin verecek, ancak yeni oluşturulan hesapların eylemler gerçekleştirmek için gerçek izinleri olmayacak.” Bu katmanlı tasarım, tehlikeye atılan bir IDM durumunda bile ayrıcalık artışını önlemeye yardımcı olur.
Alt satır
Merkezi olmayan kimlik yönetişimi kontrolü ortadan kaldırmakla ilgili değildir. Bu, merkezi yetkililerden dağıtılmış paydaşlara kaydırmakla ilgilidir. CISOS için bu değişim yeni bir liderlik gerektirir: kuruluşlar, sektörler ve teknolojiler arasında güven çerçeveleri oluşturan biri.
Kimliğin geleceği merkezi olmayan, ancak yönetişim olamaz.