İşletmeler genellikle OIDC veya SAML gibi endüstri standart protokollerinin bir bulut kimlik sağlayıcısı (IDP) aracılığıyla eski uygulamalar için tek oturum açma (SSO) sağlamasını sağlayarak bir uygulama için erişim modellerini “modernize eder”. Bu, daha iyi kullanıcı deneyimi, gelişmiş kimlik bilgisi hijyeni ve merkezi kimlik doğrulama için büyük bir adımdır, ancak yeterli değildir.
Modernizasyon projelerinin çoğu, SAML veya OIDC bağlandıktan sonra kimlik dönüşümünün tamamlandığına inanarak kimlik doğrulama katmanında durur. Genellikle gözden kaçan şey, uygulama güvenliğinin en kritik bileşenlerinden biridir: oturum yönetimi.
SSO protokolleri ön kapıyı işler. Ancak içeri girdikten sonra, oturum yönetimi bu noktadan itibaren gerçekleşen her şeyi yönetir: ne kadar süre oturum açtığınız, oturumların nasıl iptal edildiği, erişimin nasıl yeniden canlandırıldığı ve kimlik bağlamının nasıl korunduğunu.
Tarihsel olarak, bu sorumluluklar Web Erişim Yönetimi (WAM) sistemleri tarafından ele alınmıştır. Bu merkezi platformlar kimlik doğrulama, oturum işlemeyi, yetkilendirme ve kullanıcı dizin entegrasyonlarını yönetti. Tutarlı zaman aşımı politikaları uyguladılar, gerçek zamanlı oturum iptali sağladılar ve güvenlik ekiplerine tüm kullanıcı etkileşimlerinde görünürlük sağladılar. WAM araçları mükemmel değildi, ancak kurumsal sınıf kontrolü sağladılar.
Bulut kimlik sistemlerinin yükselişi ve federasyonlu giriş protokolleri ile, bu pişmiş WAM özelliklerinin çoğunu açık standartlar ve federasyon rahatlığı için takas ettik. Sorun? Çoğu bulut kimlik sağlayıcısı uygulamanın kendisi içindeki oturumları yönetmez, bu iş uygulama geliştiricilerine bırakılır.
Merkezi olmayan oturum mantığı risk getirir
Çoğu işletmede, oturum yönetimi uygulamanın çerçevesine özgü yetenekler kullanılarak uygulanır. Bir Java uygulaması bahar güvenliğini kullanabilir. Bir JavaScript ön uç Node.js ara katman yazılımı olabilir. Ruby on Rails, seansları hala farklı şekilde ele alıyor. Aynı dil veya çerçeve kullanan uygulamalar arasında bile, yapılandırmalar genellikle ekipler arasında, özellikle dağıtılmış geliştirme veya son satın alımları olan kuruluşlarda büyük farklılıklar gösterir.
Bu parçalanma gerçek dünyadaki riskler yaratır: tutarsız zaman aşımı politikaları, gecikmeli yama ve oturum iptal boşlukları
Ayrıca, geliştirici cirosu sorunu var: artık organizasyonda olmayan ve kurumsal bilgi veya merkezi görünürlük olmadan, oturum davranışı güncelleme veya denetim olmadan birçok eski uygulaması geliştirildi.
Güvenlik ekipleri, kimlik sağlayıcılarının anında erişimi iptal edebileceğini varsayabilir. Ancak uygulama, oturum doğrulaması için bu kimlik sistemine geri dönmediği sürece – çoğu değil – bu bir garantiden çok bir yanılsamadır.
Merkezi kontrol her zamankinden daha önemlidir
Buradaki ders, eski kimlik altyapısına geri dönmemiz gerektiği değil. Aksine, WAM sistemlerinin bir zamanlar sağladığı merkezi kontrol ve görünürlüğü, özellikle oturum yönetimi etrafında geri getirmeliyiz.
Kimlik ve Erişim Yönetimi (IAM), her uygulamada geçici olarak uygulanan bir şey değil, paylaşılan bir hizmet olarak değerlendirilmelidir.
Merkezi oturum gözetimini geri yükleyerek kuruluşlar kazanır:
- Tüm uygulamalar ve ortamlarda anında oturum iptali
- Güvenlik ve uyum politikaları ve yetkileri ile uyumlu tutarlı zaman aşımı uygulama
- Kimlik ile ilgili etkinlik için birleşik denetim günlüğü
- Sürekli Erişim Değerlendirme Protokolleri (CAEP) ve Zero Trust Intelligence Feeds ile Gerçek Zamanlı Entegrasyon
Bunlar teorik endişeler değildir; Modern kurumsal güvenlik için temel gereksinimlerdir.
Çok Kabul Kimliğinde Standartların Rolü
SAML standardının orijinal yazarlarından biri olarak, kimlik protokollerinin nasıl geliştiğini ve nerede yetersiz kaldıklarını gördüm. SAML’yi sadece SSO’ya odaklanmak için incelediğimizde, diğer kritik alanları (yetkilendirme ve kullanıcı sunumu gibi) denklemin dışında bıraktığımızı biliyorduk. Bu nedenle SPML, AuthXML ve şimdi IDQL (Identity sorgu dili) gibi çabalar dahil olmak üzere diğer standartlar ortaya çıktı.
Bulutlar arasında güvenli bir şekilde birlikte çalışan kimlik sistemlerine duyulan ihtiyaç yeni değil, şimdi daha acil. Ve bu birlikte çalışabilirliğin bir kısmı heterojen ortamlarda tutarlı oturum davranışı içerir.
Cisos ve kimlik mimarlarının şimdi yapması gereken
Modernizasyon girişimine öncülük ediyorsanız ve SAML veya OIDC’ye “yapılma” kanıtı olarak güveniyorsanız, yeniden değerlendirme zamanı. İşte önerdiğim şey:
1. Bir oturum yönetimi denetimi yapın
Kritik uygulamalarınızda oturumların nasıl ele alındığını haritalayın. Zaman aşımındaki tutarsızlıkları, iptal yeteneklerini ve yama hijyenini belirleyin.
2. Oturum Kontrolünü Yeniden Merkezileştirin
Merkezi bir proxy, standartlaştırılmış SDK veya hizmet ağına duyarlı bir kimlik katmanı yoluyla, oturum gözetimini tek bir çatı altına getirmenin bir yolunu bulun.
3. Sürekli değerlendirme ve iptal için plan
Risk sinyallerine dayalı dinamik oturum kontrolünü mümkün kılmak için CAEP ile entegre veya eşdeğer mekanizmalar oluşturun.
4. Iam’ı altyapı olarak ele alalım
Tıpkı DNS, Networking veya TLS gibi, kimlik hizmetleri küresel olarak yönetilmeli, sürekli olarak onaylanmalı ve esnek olmalıdır.
Uygulama Kimliği Modernizasyonu bir onay kutusu değil, bir yolculuktur. SAML ve OIDC gibi modern protokoller ön kapı problemini çözer, ancak tüm evi güvence altına almayın. Bunun için, CISOS’un kabul ettiği merkezi, tutarlı ve uygulanabilir kimlik yönetimine ihtiyacımız var ve şimdi sunmak için yeni yollar bulmalıyız.
Oturum yönetimi standartlaştırılana ve ölçekte kontrol edilene kadar, kimlik mimariniz modern değildir. Sadece eksik.