Én av to viktige fiberkabler til Svalbard ble ødelagt for ikke lenge siden. «Noen» hadde revet den av og dratt den langt av gårde. «Noen» har også drevet utstrakt kartlegging av infrastruktur utenfor Norges kyst.
Om store deler av den transatlantiske kommunikasjonen settes ut av spill, kan vi da være sikre på at skyløsningene vi baserer oss på, fortsatt vil være tilgjengelige?
De fleste organisasjoner i Norge har ett eller flere systemer som opererer i sky. For mange er identitetsløsningen ett av disse systemene. Når en bruker skal logge på, omdirigeres brukeren til skytjenesten og autentiseres der, før brukeren kommer tilbake med et identitets-token og får tilgang. Lett som en plett.
Lurt å etablerte lokale løsninger
Hva skjer da den dagen identitetsløsningen ikke lenger er tilgjengelig online og vi ikke får autentisert brukere til systemer som faktisk kjører i eget datasenter? Slik tidene er blitt, er det nødvendig å foreta en risikoanalyse på identitetsløsningen og evaluere konsekvensen dersom den blir borte.
Et typisk avbøtende tiltak vil være å etablere lokale løsninger som kan aktiveres raskt dersom den sentrale skytjenesten faller ut over lengre tid. Her er det flere alternativer som vil passe, avhengig av hvordan infrastrukturen ellers ser ut:
- Etablere AD-basert autentisering via ADFS eller LDAP.
- Etablere sertifikatbasert autentisering via sertifikat som rulles ut via for eksempel Microsoft Intune.
- Etablere en lokal «Identity broker» som benyttes av lokale applikasjoner også i normalproduksjon.
De to første punktene over sier lite om hvor mange steder du må rekonfigurere for å etablere alternativ operasjon – det kan ofte være at alle applikasjoner må rekonfigureres. Ved å etablere en lokal «identity broker» kan du ha ett enkelt system du behøver å endre for å benytte alternative identitetskilder. Kildene kan da være ett av de to første punktene i listen over.
Det kan være et visst arbeid å etablere en lokal «identity broker». Det skal imidlertid være lett å se nytten av å konsentrere alle relasjoner mellom lokale applikasjoner og identitetstjenestene gjennom én lokal tjeneste. Med en slik arkitektur kan også flere applikasjoner dele identity provider-tjenester.
I normal drift gjøres ofte brukerautentiseringen «online» av AzureAD, Google, Okta eller tilsvarende. Gjerne med SSO (Single Sign-On).
Lars Rinnan tror ikke KI-bobla vil sprekke
Du kjøper deg masse tid
Om du i tillegg sørger for å distribuere brukersertifikat til alle enheter i normal drift, har du en ferdig løsning som kan tre inn som plan B dersom det blir nødvendig. Alt du da trenger å gjøre, er å konfigurere aksessløsningene/identity broker til å kjøre sertifikatbasert autentisering foran applikasjonene. SSO vil da fungere som det gjør i normalsituasjonen, og sertifikatene er gyldige identitetsbevis helt til de utløper.
Du har da kjøpt deg månedsvis med tid til å omgruppere dersom det oppstår hendelser. Sertifikatene kan legges enten på TPM (Trusted Platform Module) i bærbare PC-er eller på type Yubikeys, som plugges i USB-porten der de skal brukes.
Min innstendige oppfordring til alle som benytter sky-identiteter, er å foreta en risikoanalyse og evaluere behovet for å gjøre klar alternative løsninger som enkelt kan aktiveres. Finner du det nødvendig, anbefales det samtidig å etablere en lokal «identity broker» som alle lokale applikasjoner benytter.
IT-bransjen om digitaliseringsstrategien: Ambisiøse mål, men lite konkrete planer
