;

Jak by měly stroje spravovat uživatele?

23. 6. 2023
Doba čtení: 7 minut

Sdílet

 Autor: Asseco Solutions
Stroje jsou také uživatelé a budete se k nim muset chovat jako k uživatelům, abyste zajistili, že služby, které používají, jsou dostupné, rychlé, škálovatelné a bezpečné. Zde je návod.

Pokud uživateli chybí lidské vlastnosti a nemá moc osobnosti, může to mít dobrý důvod. Uživatel může být stroj.

V dnešní době více než 90 % internetového provozu probíhá mezi stroji. Ve skutečnosti jsou stroje, které využívají vaši B2B SaaS aplikaci, také uživateli – jen jiným typem uživatelů. To je důvod, proč dnes každá online a SaaS aplikace musí zahrnovat promyšlené postupy a zásady správy uživatelů speciálně navržené tak, aby zvládaly různé výzvy a požadavky interakcí mezi stroji (M2M).

Je vaš cloud bezpečný?

Na základě dlouholetých zkušeností, které pomáhají B2B SaaS společnostem zvládat M2M interakce, jsem sestavil rychlého průvodce s osvědčenými postupy pro efektivní, efektivní a bezpečnou správu uživatelů mezi stroji. Pojďme se na ně podívat.

Poznejte své M2M uživatele a jejich případy použití

Kontext může být kritický pro správu lidských uživatelů, ale pro stroje je ještě důležitější, protože strojoví uživatelé nabízejí mnohem méně informací o svém stavu, situaci a záměru. Strojoví uživatelé často přistupují pouze k jedné službě nebo k malému počtu služeb, zatímco lidští uživatelé mají přístup k mnoha dalším.

Interakce mezi stroji nenesou užitečná vodítka, jako je agent prohlížeče, adresa MAC či NIC nebo geolokační údaje. Je pravděpodobnější, že se jedná o API call v běžně používaném protokolu s minimem identifikačních charakteristik. Kontext kolem požadavků na služby, které strojový uživatel vznese, by měl určovat, jak jsou aplikovány zásady a jak je navržena správa uživatelů.

Máme se bát umělé inteligence? Zde je deset důvodů, proč ano Přečtěte si také:

Máme se bát umělé inteligence? Zde je deset důvodů, proč ano

Pro správu M2M uživatelů musí každá služba vědět, jak může komunikovat s ostatními službami a se kterými službami by měla komunikovat. Všechny služby potřebují vědět, jak komunikují s jinou službou a s klíčovými službami, ke kterým musejí mít oprávnění k přístupu. To je částečně to, co mohou poskytnout brány API a sítě služeb, ale ani jedno z toho nemá přístup zaměřený na uživatele (dokonce i pro M2M uživatele).

Zabezpečení bez vícefaktorové autentizace

Pro lidské uživatele je dnes MFA kritickou součástí procesu ověřování zabezpečení. Pro strojové uživatele není MFA životaschopnou alternativou. M2M transakce přitom obvykle probíhají v milisekundách, protože stroje mohou interagovat mnohem rychleji než lidé. To vytváří novou oblast pro útok, kterou se nyní mnoho kyberzločinců snaží aktivně zneužít prostřednictvím útoků na API. 

Video ke kávě

Máte čas na rychlé a informativní video? 

Pro týmy SecDevOps, které provozují procesy správy uživatelů proti M2M interakcím, to znamená, že je třeba věnovat mnohem přísnější pozornost dalším bezpečnostním mechanismům, jako jsou omezení IP adres, omezení počtu požadavků, rotace certifikátů nebo klíčů a v ideálním případě buď lidmi nebo strojově generovanými politikami, které rozpoznávají anomální vzorce používání.

Interní strojoví uživatelé vs. externí strojoví uživatelé

Podle toho, zda požadavek pochází od interního stroje nebo externího uživatele, by mělo dojít k velmi odlišným úvahám o zabezpečení. Pokud je požadavek interní a přichází z clusteru Kubernetes z jedné služby do druhé, pak se autentizace použije interně a obvykle s lehčí úpravou. 

bitcoin_skoleni

Sítě služeb se například používají k nastavení zásad, ke kterým službám se může daná interní služba připojit. Ve skutečnosti mnoho organizací stále neověřuje interní interakce mezi stroji, ale CISO a týmy pro řízení rizik tvrdě tlačí na implementaci základního ověřování všude.

K dnešnímu dni mnoho operací na platformě a týmů SecDevOps používá naivní ověřování pro vnitřní zabezpečení – tedy sdílená tajemství. Naivní autentizace však vyžaduje silný proces, který snadno nahradí tajemství, která byla porušena nebo nějak odhalena. Bez tohoto procesu výměny tajemství riskuje organizace výpadek, zatímco jsou vytvářena a sdílena nová tajemství. Změny tajných informací, které je nutné synchronizovat mezi páry nebo trojicemi uživatelů strojů, znamenají ve velkém měřítku spoustu práce. Takže i pro interní M2M komunikaci existují technologické výzvy.