~Läpinäkyvä käyttäjähallinta ja salaus kyberulottuvuudessa~ Mikko Jakonen: Ubiquitous model for managing role based identities and encryption capabilities within cyberspace (including clouds) –tutkielma 11/2012 KYBERTURVALLISUUS 6.9.2012 [email protected]
20
Embed
IdM, salaus ja cyberspace - Läpinäkyvä käyttäjähallinta ja salaus kyberulottuvuudessa
Ubiquitous model for managing role based identities and encryption capabilities within cyberspace
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
~Läpinäkyvä käyttäjähallinta ja salaus kyberulottuvuudessa~
Mikko Jakonen: Ubiquitous model for managing role based identities and encryption capabilities within cyberspace (including clouds) –tutkielma 11/2012
• Tiedolle voidaan asettaa taktinen ”aika”; ja syödä sitä loppupäästä ~ asettaa vanha tieto käyttökelvottomaksi. Elinkaarihallinta.
• Laajojen, epäsymmetristen käyttäjäjoukkojen valtuushallinta saadaan valtavan nopeaksi.
• ...ja ennenkaikkea läpinäkyväksi.
• Linnoittaa käyttövaltuushallinnan pilveen vs. tehdä sitä yksittäisten toimijoiden kanssa.
• Iskunkestävyys. Hajauta ja hallitse
...toiminnoissa ja operatiivisesti
• Tavoitteena 100% läpinäkyvyys käyttäjälle ja ymmärrys ”ymmärryksestä” omalla vektorillaan.
• Lamauttamisen vaikutus heikkenee ja sen tuottaminen vaikeutuu. • ”Attribution”; sivuvaikutusten mitigointi. • Jos mitään ei ole tehty oman kyvykkyyden kasvattaminen. • ”Tiedonhallinnan resilienssi” kasvaa; ymmärrys henkilöiden suhteesta
tietoon ja sen käyttöön.
MAHDOLLISTAA oikea informaatioresurssien käyttö TURVALLISESTI
Eli EI torju sovellusheikkouksia, eikä ihmisten laiskuutta. Eikä rakenna uusia verkkoja, ei tuo uusia purkkeja nurkkiin eikä muuta ”pelin” sääntöjä itsessään. MUTTA...
In practical terms
Konsepti X - ”ulkona cybersodasta”
Miksi otsikko on noin piiiitkä?
• Ubiquitous model for managing role based identities and encryption capabilities within cyberspace (including clouds)
= Kyberavaruus on iiissoooooo!
Ei ole mahdollista sanoa tätä lyhyemmin, vielä.
Käyttäjähallinta ja salaus lyhyt, lyhyt –historia. Yhdessä.
#1
#2
#3
”&h327dyt#”!”
”&h327dyt#”!”
My secretdata.txt
Näitä ei o
le tähän
men
nessä n
ähty ko
skaan lin
kitettynä to
isiinsa...o
uto
a?
My iEverything
Valmistajakohtainen
Sovelluskohtainen
Kestämätön tilanne Ratkaisut erilaisia
Soveltuvia salausratkaisuja huonosti tarjolla
Tilannekatsaus ”IdM in a cloud” + crypto
• ___
• Pilvipalvelu vs. inhouse/on-premises = samat ongelmat. Ei salata.
Informaatioresurssi X Informaatioresurssi Y Informaatioresurssi Z
Tunnus, salasana, oikeudet, mahd. salausavain * A, ohjelmat * B, hallinta * C
~
Haasteita
• Käyttövaltuuksia myönnetään irrallaan toisistaan eri tahojen toimesta – Ei se mitään, se on ihan ok! – Sisäinen/ulkoinen kyberavaruus, valtuuksien elinkaaren
hallintaja useat toimijat/toimijaketjut...tekee hommasta raskasta.
• Salausta harjoitetaan, jos harjoitetaan (eli ei). – Fine, jos näin on sovittu. Tokihan tiedämme mikä tieto on
arvokasta... – Silti olemme huolissamme mitä arvokasta tietopääomaa valuu
– Luodaan ”toissijaisia ratkaisuja”
X
X X
Amazon
Microsoft
Google
salesforce.com
Jussin ja Opin paja Oy IT
Valtion IT-palvk.
iEverything
...
Konsepti X
• Let SUBSCRIBER = Edustus where ROOLIx = Hallittava identiteetti ja valtuus
• Let CONTRACTx = Palvelusopimus • Let (s)PROVIDERx = ”IT PALVELUKESKUS” • Let RESOURCEx= Informaatioresurssi; on-premises tai
cloud. • Let AVAINx = ROOLIn salausavain, Let AVAIN2 =
SUBSCRIBERin salausavain • Konsepti X applikaatio = Jonkinlainen CSP ”Cloud
Security Platform”; tarjoaa IdM/IdP sekä tietyt cryptopalvelut.
...eli käyttövaltuuksien hallinnassa?
Subscriber: @mikk0j
Konsepti X PROVIDER PROVIDER
PROVIDER RESOURCES
ROOLIx
accredit claim, provision, federate, authorize
use, authenticate
...eli salauksen hallinnassa?
Subscriber: @mikk0j
CSP PROVIDER PROVIDER
PROVIDER RESOURCES
ROOLIx
accredit ”..symmetric key with my assymmetric key”
Encrypt, decrypt (avain1) EVERYTHING ME TOUCH!
avain2
Hierakiasta - בעיות אין
• mm. Sopimus – Sopimus on päätös toimijoiden välisestä valtuushallinnasta. Yksi
tai useampia. – Kun sopimus revoikoidaan, oikeudet poistuvat Salaus – Kun oikeudet poistuvat, siirtyy avain esim. providerille
(sopimuksen mukaan). – Kun salausavain poistetaan, pääsy tietoihin estyy. – Salaus toimii vain yhdessä roolien kanssa – Salataan vain dataa ”in-rest”. Datan sijainnilla ei merkitystä. Valtuushallinta – Hallittava moniedustuksellisuus - ts, ”sinulla on JO tili
iCloudissa. – Ymmärrys henkilöiden ja organisaatioiden suhteista.
Kun aikaa riittää (ja sitä vaaditaan), käykää tutustumassa Nevadassa muuallekin kuin Stripin ympäristöön. NTTR ja Nellis AFB – CYBERIN sydämessä