Upload
mikko-jakonen
View
536
Download
2
Embed Size (px)
DESCRIPTION
Ubiquitous model for managing role based identities and encryption capabilities within cyberspace
Citation preview
~Läpinäkyvä käyttäjähallinta ja salaus kyberulottuvuudessa~
Mikko Jakonen: Ubiquitous model for managing role based identities and encryption capabilities within cyberspace (including clouds) –tutkielma 11/2012
KYBERTURVALLISUUS 6.9.2012
Eli ”Konsepti X”
.me
Määrittelyt on tänään jo annettu
Kyberavaruus = Internet = Cloud tai mikä tahansa muu ympäristö jossa informaatiovirtoja voidaan käsitellä, hyödyntää ja hallita tietoteknisin keinoin.
Tämä EI ota kantaa onko käytettävä tietotekninen ympäristö valtiollinen, kaupallinen tai yksityinen
Lyhyesti
Pureudutaan haasteeseen jota ei ole vielä mietitty (riittävästi) ja josta voi olla merkittävästi hyötyä tulevaisuudessa ja jota eri kyber-
ja palvelutoimijat kaipaavat jo nyt.
Huom! Tämä EI ratkaise kaikkia haasteita joita tunnistamme.
Esityksen #TECHNICAL_LEVEL ~2, BS_LEVEL ~1
Muutos
Eli mihin Konsepti X:n pitäisi kyberturvallisuudessa muunmuasssa
vastata osaltaan, kun maailma muuttuu alla...
Tausta-ajatuksia ...”strategems” w/Konsepti X @ Cyberspace
”Pakottaa kohdennetusta tiedustelusta laajakaistaista”
”Vähentää riippuvuutta”
”Parantaa turvallisuuden olotilaa”++
”Nopeuttaa puolustusta”
”Integroida itsestäänselvyydet”
”Ymmärtää mitä on käsissä”
...taktiikoissa...
• Tiedolle voidaan asettaa taktinen ”aika”; ja syödä sitä loppupäästä ~ asettaa vanha tieto käyttökelvottomaksi. Elinkaarihallinta.
• Laajojen, epäsymmetristen käyttäjäjoukkojen valtuushallinta saadaan valtavan nopeaksi.
• ...ja ennenkaikkea läpinäkyväksi.
• Linnoittaa käyttövaltuushallinnan pilveen vs. tehdä sitä yksittäisten toimijoiden kanssa.
• Iskunkestävyys. Hajauta ja hallitse
...toiminnoissa ja operatiivisesti
• Tavoitteena 100% läpinäkyvyys käyttäjälle ja ymmärrys ”ymmärryksestä” omalla vektorillaan.
• Lamauttamisen vaikutus heikkenee ja sen tuottaminen vaikeutuu. • ”Attribution”; sivuvaikutusten mitigointi. • Jos mitään ei ole tehty oman kyvykkyyden kasvattaminen. • ”Tiedonhallinnan resilienssi” kasvaa; ymmärrys henkilöiden suhteesta
tietoon ja sen käyttöön.
MAHDOLLISTAA oikea informaatioresurssien käyttö TURVALLISESTI
Eli EI torju sovellusheikkouksia, eikä ihmisten laiskuutta. Eikä rakenna uusia verkkoja, ei tuo uusia purkkeja nurkkiin eikä muuta ”pelin” sääntöjä itsessään. MUTTA...
In practical terms
Konsepti X - ”ulkona cybersodasta”
Miksi otsikko on noin piiiitkä?
• Ubiquitous model for managing role based identities and encryption capabilities within cyberspace (including clouds)
= Kyberavaruus on iiissoooooo!
Ei ole mahdollista sanoa tätä lyhyemmin, vielä.
Käyttäjähallinta ja salaus lyhyt, lyhyt –historia. Yhdessä.
#1
#2
#3
”&h327dyt#”!”
”&h327dyt#”!”
My secretdata.txt
Näitä ei o
le tähän
men
nessä n
ähty ko
skaan lin
kitettynä to
isiinsa...o
uto
a?
My iEverything
Valmistajakohtainen
Sovelluskohtainen
Kestämätön tilanne Ratkaisut erilaisia
Soveltuvia salausratkaisuja huonosti tarjolla
Tilannekatsaus ”IdM in a cloud” + crypto
• ___
• Pilvipalvelu vs. inhouse/on-premises = samat ongelmat. Ei salata.
Informaatioresurssi X Informaatioresurssi Y Informaatioresurssi Z
Tunnus, salasana, oikeudet, mahd. salausavain * A, ohjelmat * B, hallinta * C
~
Haasteita
• Käyttövaltuuksia myönnetään irrallaan toisistaan eri tahojen toimesta – Ei se mitään, se on ihan ok! – Sisäinen/ulkoinen kyberavaruus, valtuuksien elinkaaren
hallintaja useat toimijat/toimijaketjut...tekee hommasta raskasta.
• Salausta harjoitetaan, jos harjoitetaan (eli ei). – Fine, jos näin on sovittu. Tokihan tiedämme mikä tieto on
arvokasta... – Silti olemme huolissamme mitä arvokasta tietopääomaa valuu
– Luodaan ”toissijaisia ratkaisuja”
X
X X
Amazon
Microsoft
salesforce.com
Jussin ja Opin paja Oy IT
Valtion IT-palvk.
iEverything
...
Konsepti X
• Let SUBSCRIBER = Edustus where ROOLIx = Hallittava identiteetti ja valtuus
• Let CONTRACTx = Palvelusopimus • Let (s)PROVIDERx = ”IT PALVELUKESKUS” • Let RESOURCEx= Informaatioresurssi; on-premises tai
cloud. • Let AVAINx = ROOLIn salausavain, Let AVAIN2 =
SUBSCRIBERin salausavain • Konsepti X applikaatio = Jonkinlainen CSP ”Cloud
Security Platform”; tarjoaa IdM/IdP sekä tietyt cryptopalvelut.
...eli käyttövaltuuksien hallinnassa?
Subscriber: @mikk0j
Konsepti X PROVIDER PROVIDER
PROVIDER RESOURCES
ROOLIx
accredit claim, provision, federate, authorize
use, authenticate
...eli salauksen hallinnassa?
Subscriber: @mikk0j
CSP PROVIDER PROVIDER
PROVIDER RESOURCES
ROOLIx
accredit ”..symmetric key with my assymmetric key”
Encrypt, decrypt (avain1) EVERYTHING ME TOUCH!
avain2
Hierakiasta - בעיות אין
• mm. Sopimus – Sopimus on päätös toimijoiden välisestä valtuushallinnasta. Yksi
tai useampia. – Kun sopimus revoikoidaan, oikeudet poistuvat Salaus – Kun oikeudet poistuvat, siirtyy avain esim. providerille
(sopimuksen mukaan). – Kun salausavain poistetaan, pääsy tietoihin estyy. – Salaus toimii vain yhdessä roolien kanssa – Salataan vain dataa ”in-rest”. Datan sijainnilla ei merkitystä. Valtuushallinta – Hallittava moniedustuksellisuus - ts, ”sinulla on JO tili
iCloudissa. – Ymmärrys henkilöiden ja organisaatioiden suhteista.
Kun aikaa riittää (ja sitä vaaditaan), käykää tutustumassa Nevadassa muuallekin kuin Stripin ympäristöön. NTTR ja Nellis AFB – CYBERIN sydämessä
KIITOS!