Hexa e IDQL permiten a las organizaciones que utilizan plataformas en la nube como Microsoft Azure, Amazon Web Services y Google Cloud Platform aplicar una política de acceso coherente en todas las aplicaciones, independientemente del entorno
Multicloud es una realidad para muchas organizaciones, ya sea por diseño o por accidente. Y cuando las aplicaciones y los datos se implementan en múltiples entornos de nube, la creación y administración de políticas de acceso de identidad coherentes se convierte en un desafío.
Hexa es un nuevo proyecto de código abierto de la empresa de orquestación de identidad Strata Identity para unificar sistemas de identidad en la nube dispares y permitir políticas consistentes. Dado que cada proveedor de la nube tiene su propia herramienta y formato de política, Hexa se basa en IDQL, un formato de política común para definir políticas de acceso a la identidad, dice Strata.
Cada proveedor de la nube se basa en sistemas de identidad patentados y sus propios lenguajes de políticas para crear y administrar la identidad y el acceso en su plataforma. La mayoría de los ingenieros de seguridad tienden a estar bien versados en una, quizás dos, de las nubes públicas, pero rara vez más que eso. Sin embargo, en la era de las nubes múltiples, los ingenieros de seguridad deben poder crear, leer y administrar políticas en múltiples entornos y mantenerse al día con las herramientas cambiantes y las nuevas capacidades. IDQL es el lenguaje de políticas declarativo universal que puede traducir las políticas al formato propietario del proveedor individual, dice Gerry Gebel, jefe de estándares de Strata Identity. Hexa es el software de referencia creado sobre el lenguaje de políticas IDQL y maneja las tareas de descubrimiento, traducción y orquestación de políticas en entornos de nube, dice.
“Hexa es el software de referencia de código abierto que da vida a IDQL y lo hace operativo en el mundo real”, dice Gebel.
Caso para la gestión de identidades en la nube
En un Informe Dark Reading reciente sobre el estado de la computación en la nube , solo el 19 % de los encuestados dijo que sus organizaciones trabajan con un solo proveedor de la nube, mientras que el 43 % dijo que trabajaba con dos o tres proveedores. Hay muchas razones por las que las organizaciones pueden estar haciendo malabarismos con múltiples proveedores de nube. Las organizaciones pueden requerir multinube para redundancia y resiliencia, como un proveedor que experimenta una interrupción, o para cumplir con los requisitos normativos sobre dónde se pueden almacenar los datos. En algunas organizaciones, es posible que la infraestructura de la nube se haya configurado originalmente sin el conocimiento de TI, por lo que es posible que el proveedor y las políticas no estén sincronizados con los demás.
Independientemente de las razones que llevaron a la multinube, la identidad y el acceso deben ser consistentes y administrados. En un informe de Palo Alto Networks, los investigadores de Unit42 analizaron más de 680 000 identidades en 18 000 cuentas en la nube y más de 200 organizaciones diferentes, y encontraron que el 99 % de los usuarios, roles, servicios y recursos de la nube tenían permisos excesivos. Los permisos no solo fueron excesivos, sino que también se dejaron sin usar durante 60 días, según el informe. Las identidades mal configuradas están detrás del 65% de los incidentes de seguridad en la nube detectados, dijo Unit42. Los actores de amenazas pueden abusar de estas identidades y moverse lateralmente a través del entorno de la nube o expandir el grupo de sistemas a los que pueden apuntar.
La propia investigación de Strata Identity encontró que solo el 25 % de los encuestados dijeron que tenían visibilidad de las políticas de acceso a múltiples nubes.
Un lenguaje de política universal
Cada proveedor de la nube tiene su propio sistema de identidad y cada aplicación debe estar codificada para funcionar con ese sistema de identidad. Si la aplicación va a funcionar en múltiples plataformas en la nube, tradicionalmente la aplicación tendría que modificarse para cada una. Hexa, sin embargo, ha sido diseñado para usar IDQL para traer múltiples sistemas de identidad para trabajar juntos como un todo unificado y no tener que hacer cambios en las aplicaciones, según Strata Identity. Para el descubrimiento de políticas, Hexa abstrae las políticas de identidad y acceso de las plataformas en la nube, los sistemas de autorización, los recursos de datos y las redes de confianza cero.
Strata Identity configuró una aplicación bancaria multirregional de ejemplo para demostrar Hexa y sus capacidades de administración de descubrimiento de políticas, dice Gebel. La región de EE. UU. en este escenario implementa la aplicación en Google Cloud Platform mediante App Engine, mientras que otras dos regiones confían en Kubernetes. Hexa se conecta a la instancia de Google Cloud para descubrir los recursos y las políticas asociadas, y luego convierte las políticas en IDQL. El analista puede realizar cambios en las políticas y luego usar Hexa para traducir las nuevas políticas nuevamente al formato GCP e impulsar los cambios en la plataforma, explica.
Hexa maneja el descubrimiento de políticas mediante el análisis del entorno para descubrir las aplicaciones y los recursos que se utilizan y la creación de un inventario de todas las políticas, usuarios y roles existentes. Los equipos de seguridad tienen una vista integral de todas las políticas vigentes una vez que se han recuperado y traducido a IDQL. Las organizaciones pueden potencialmente desarrollar herramientas para analizar el ISQL en busca de brechas de políticas, duplicados u otras condiciones de error. Esta capacidad no está en el Hexa de código abierto, dice Gebel, pero es algo que las organizaciones pueden hacer por su cuenta después de convertirse a IDQL.
Si bien puede parecer que IDQL agrega una capa de complejidad a la gestión del acceso a la identidad en la nube, la realidad es que las organizaciones tienen que administrar de cientos a miles de aplicaciones en la nube, SaaS y locales, dice Jack Poller, analista de ESG que cubre identidad y datos. seguridad. Cada aplicación tiene un concepto separado de identidad y autorización de acceso, y las organizaciones actualmente se ven obligadas a traducir manualmente las políticas de acceso comercial de alto nivel al lenguaje de políticas o herramienta de administración de cada aplicación.
"IDQL proporciona una lingua franca para las políticas de autorización", dice Poller. "Las organizaciones pueden usar Hexa o desarrollar sus propias herramientas para orquestar y automatizar las políticas de acceso en todo el entorno de TI, cerrando las brechas que ocurren con la administración manual de políticas y asegurando la aplicación continua y consistente de las políticas de autorización".
Tecnologías multiplataforma
IDQL y Hexa fueron creados por algunos de los coautores de Security Assertion Markup Language (SAML), el estándar multiplataforma para el inicio de sesión único que permite a los usuarios moverse entre plataformas en la nube y aplicaciones web sin volver a ingresar sus credenciales. Sin embargo, Gebel señala que IDQL no debe verse como un reemplazo de los estándares modernos como Open Policy Agent (OPA), sino que "son complementarios a ellos".
OPA es un lenguaje de política declarativo unificado que permite a los desarrolladores nativos de la nube "desacoplar la política del código del servicio para que pueda publicar, analizar y revisar las políticas (que adoran los equipos de seguridad y cumplimiento) sin sacrificar la disponibilidad o el rendimiento", dice Poller, señalando que IDQL es muy similar a OPA.
"Al igual que Kubernetes transformó la informática al permitir que las aplicaciones se movieran de forma transparente de una máquina a otra, IDQL permite que las políticas de acceso se muevan libremente entre los sistemas de identidad patentados", dijo Eric Olden, director ejecutivo de Strata Identity y uno de los coautores del estándar SAML. , dijo en un comunicado. "IDQL y Hexa eliminan los silos de identidad en la nube y en las instalaciones mediante la creación de un sistema de identidad inteligente y distribuido con un solo cerebro".
Historias relacionadas :
¿Cuál sería el misterio del controlador de código abierto de NVIDIA para Linux?
Google : anunció sobre su protocolo de seguridad de PSP de código abierto
Heartex : junta fondos para su plataforma de etiquetado de datos de código abierto
Algolia : lanzado con el motor de búsqueda definitivo para paquete de código abierto
Meta Open Source : ya estaría transfiriendo Jest a la Fundación OpenJS
¿Me ha mencionado que son las 5 mejores aplicaciones en Android de código abierto?
Android Open Source Project : estaría funcionando sin Google
¿Cuál sería la finalidad de duplicar las notificaciones de Android en Linux?
Android cada vez coincide con la rama principal de Linux
¿Cómo transferir tus chats de iOS a Android y viceversa?
Aplicaciones de Android correrán en Windows 11 con ARM
Appwrite : ha lanzado un fondo dirigido al desarrollo de software de código abierto
¿Porqué la economía es variable para el código abierto?
¿Existe la posibilidad de aplicar licencias de código abierto a los datos?
Elon Musk : anuncio que el algoritmo de código abierto no lograría resolver los problemas de Twitter
¿Cuáles sería los riesgos emergentes del código abierto?
Mastodon : considerado como una alternativa de código abierto a Twitter
¿Cuáles sería las 3 tendencias en código abierto empresarial?
Elon Musk : mencionó que el algoritmo de Twitter debería ser de código abierto
¿Qué beneficios brinda la tecnología de código abierto para la lucha contra el cambio climático?
¿Cuáles sería las reglas básicas para la gestión de software de código abierto?
¿Porqué las empresas luchan por el software de código abierto?
NetApp : adquiere Instaclustr con la finalidad de ofrecer base de datos de código abierto
NUnit : ya está utilizando herramientas de código abierto para probar el código .NET
Alluxio : acreditado por innovación tecnológica en código abierto y Big Data
Comcast : ahora está difunde su código para impulsar la seguridad de código abierto
El software de código abierto malicioso ingresa al conflicto bélico en Rusia
El software de código abierto en peligro por las luchas contra el hacktivismo en Ucrania
[Fuente]: darkreading.com
akitada31.( 21 de Mayo de 2022).112 images. Modificado por Carlos Zambrado Recuperado pixabay.com