Nu este o noutate pentru nimeni că în ultimii ani tehnologia legată de mobilitate a schimbat radical peisajul IT-ului de tip corporate. Adevăratul potenţial al dispozitivelor mobile rezidă în aplicaţiile rulate de ele. Aceste aplicaţii accesează resurse şi informaţii ale firmei, mai ales dacă ele sunt utilizate de angajaţi care lucrează de la distanţă.
Aşa cum afirmă SolvIT Networks, o firmă românească de securitate şi management IT, în mult instanţe mobilitatea generează pentru firme provocări semnificative legate de securitate şi adaptarea informaţiilor interne pentru astfel de dispozitive. Este contextul în care se dezvoltă actualmente într-un ritm frenetic aşa-numitele interfeţe programabile (API) pentru a permite dezvoltatorilor de aplicaţii să construiască sisteme şi aplicaţii care să folosească inteligent datele firmei.
Cum se poate atunci asigura securitatea? Dispozitivul mobil este, până la urmă, caracterizat mai ales de mobilitate. Spre deosebire de un desktop, dispozitivele mobile sunt destul de des pierdute sau furate. Aici implementarea unor măsuri eficiente de securitate fără generarea unui impact negativ asupra experienţei utilizatorului poate fi dificilă.
În esenţă, interfeţele programabile trebuie protejate contra atacurilor dinafară sau a utilizărilor eronate. Date transmise către şi dinspre API trebuie securizare şi integritatea lor trebuie permanent verificată. În plus, accesul la resursele de informaţie prin intermediul API-urilor trebuie controlat la nivel granular, pe baza bunei gestiuni a identităţii celui care accesează datele.
Controlul accesului la informaţia traficată printr-un API reprezintă o chestiune şi mai spinoasă. Un utilizator poate utiliza aplicaţii diferite pe dispozitive diferite pentru a accesa anumite date prin acelaşi API de firmă. Fiecare aplicaţie poate utiliza o identitate diferită de utilizator, complicând identificarea acestuia. Mai mulz de atât, utilizatorilor nu le place să tasteze de mai multe ori identităţile de aplicaţie specifice pe dispozitive mobile, aşa că preferă să delege autentificarea unei aplicaţii de încredere pre-existente.
Pentru a adresa dilemele create de nevoia unui acces flexibil dar securizat pentru API-uri îm astfel de scenarii mobile tot mai complicate, SolvIT Networks susţine ideea de aplcare a noului standard OAuth, recent apărut pe piaţă. Acest standard este un protocol care permite identificarea unui utilizator şi a resurselor pe care acel utilizator este interesat să le acceseze prin intermediul unei aplicaţii intermediare, fără a cere utilizatorului să introducă o combinaţie nume-parolă specifică aplicaţiei respective.
Pe lângă OAuth, firma de securitate susţine şi aplicarea OpenID Connect, apărut şi el recent ca protocol standard de securitate mobilă. OpenID Connect este un nivel simplu de identificare care fructifică protocolul OAuth şi permite dezvoltatorilor să autentifice utilizatorii peste diverse site-uri web şi aplicaţii fără a fi nevoie de deţinerea şi gestionarea unor fişiere de parole.
În acest moment identitatea şi accesul sunt acoperite de aceste două protocoale, însă controlul accesului reprezintă în mod normal doar începutul provocărilor de securitate la adresa unei firme, provocări exacerbate de scenariile de mobilitate. Un control complet securizat reprezintă o chestiune mult mai complexă, care implică, printre altele, protejarea contra atacurilor DDoS, prevenirea daunelor accidentale generate de aplicaţii prost concepute şi implementarea unui sistem scalabil pentru conservarea securităţii datelor în comunicaţiile către şi dinspre API-uri pentru a fi satisfăcute standarde de confidenţialitate a datelor precum FIPS, PCI-DSS şi HIPAA.
Mai multe detalii puteți afla de la specialiștii SolvIT Networks sau aici.
