...
Inom ramen för detta dokument beskrivs ett ramverk för att ge tillit till att förmedling och hantering av identiteter och behörighetsgrundande information sker på ett säkert sätt. Ramverket ska minimera risken för obehörig åtkomst till information. I dagens komplexa samverkan, där man ofta behöver hämta och behandla information från flera parter för att stödja verksamhetsbehov, behöver också tilliten upprätthållas i flera led mellan alla parter som tar fram det underlag som behövs för åtkomstbeslut. För att möjliggöra korrekta åtkomstbeslut krävs att tillit kan skapas till alla inblandade parter och komponenter - detta är målet med Enas tillitsramverk.
Drivkrafter och principer
- Ramverket ska skapa en struktur för bred återanvändning av gemensamma, generella och överenskomna nivåer av tillit.
- Oavsett tillämpningar/sektorer/domäner eller typen av information.
- En gemensam grund som alla kan acceptera och känna igen sig i.
- Ramverket ska möjliggöra aktiv vidareutveckling och förvaltning av tillitsmärken
- När digitala tjänster med krav som skiljer sig avsevärt från andras, ska det gå att ta fram nya tillitsmärken inom ramverket.
- När nya säkerhetsambitioner, eller nya säkerhetshot, uppkommer ska ramverket stödja aktiv livscykelhantering för existerande tillitsmärken.
- Det ska vara lätt för befintliga digitala tillämpning i samhället att relatera till Ena tillitsramverk och se eventuella förflyttningar som krävs för att kunna erbjuda tillämpningar inom Ena.
Summering
Lyfta olika delar från 2.x som en summering av förslaget hit. Status title TODO
Förslag på tillitsmodell
Den föreslagna modellen utgår ifrån att de olika komponenter som deltar i en samverkan med utbyte av skyddsvärd information, bidrar med olika förmågor vid hantering av metadata, identiteter och behörighetsgrundande information. En grundsten i modellen är tillitsmärken som signalerar tillit och tilldelas komponenterna efter att specifika tillitsskapande krav kopplade till tillitsmärket är uppfyllda. Vilka tillitsmärken som en komponent behöver beror på vilka förmågor som den realiserar.
IAM-förmågor
En IAM-förmåga innefattar här både en tekniska förmåga inom identitets- och behörighetsområdet och de verksamhetsprocesser som behövs för att upprätta och underhålla förmågan. IAM-förmågor realiseras av specifika tekniska komponenter och fungerar som byggstenar för tillit vid samverkan som kräver säker hantering av identiteter och åtkomstbeslut.
...
Komponent | Beskrivning | IAM-förmåga | Beskrivning | ||||
---|---|---|---|---|---|---|---|
Tillitsankare | Ett Tillitsankare är en komponent som utgör den yttersta källan till tillit i en federationsinfrastruktur och publicerar signerad metadata som omfattar godkända underordnade entiteter, som tex Anslutningspunkter och Tillitsmärkesutfärdare. | Metadatapublicering | Metadatapublicering är en IAM-förmåga som innebär att en komponent på ett kontrollerat, säkert och tillförlitligt sätt publicerar signerad metadata om sig själv – och i vissa fall även om andra entiteter – inom ramen för en federation. Publiceringen sker för att möjliggöra teknisk tillit, interoperabilitet och korrekt tolkning av entitetens roll och kapacitet i federationen. Den metadata som publiceras kan inkludera:
Funktionen är central för att federationens övriga parter ska kunna validera, lita på och kommunicera med komponenten på ett säkert sätt. | ||||
Anslutningspunkt | En Anslutningspunkt är en mellanliggande komponent i federationsinfrastrukturen som publicerar signerad metadata för underordnade entiteter som tex Legitimeringstjänster, Auktorisationstjänster, E-tjänster och API:er | ||||||
Tillitsmärkesutfärdare | En Tillitsmärkesutfärdare är en komponent i federationsinfrastrukturen som utfärdar tillitsmärken till entiteter som uppfyller definierade krav kopplade till specifika IAM-förmågor. | ||||||
Uppslag och verifieringstjänst | En Uppslag- och verifieringstjänst är en komponent i federationsinfrastrukturen som används för att slå upp, hämta och verifiera metadata för andra entiteter inom en federation. | Metadatavalidering | Metadatavalidering är en IAM-förmåga som innebär att en komponent kan hämta, tolka och kryptografiskt verifiera signerad metadata från andra entiteter inom en federation. Denna förmåga är avgörande för att säkerställa att tilliten mellan parter i federationen är tekniskt grundad och uppdaterad. Funktionen omfattar flera moment:
Metadatavalidering skapar teknisk tillit genom att identifiera och autentisera entiteter innan någon interaktion sker, och används som grund för vidare beslut inom t.ex. åtkomstbegäran och åtkomstkontroll. | ||||
Legitimeringstjänst | En Legitimeringstjänst är en komponent i federationsinfrastrukturen som ansvarar för att autentisera en användare | Intygsutfärdande | Intygsutfärdande är en IAM-förmåga som innebär att en komponent på ett tillförlitligt och säkert sätt kan skapa och leverera digitalt signerade intyg. Dessa intyg innehåller påståenden om en användare eller klient, exempelvis vilken nivå av autentisering som har genomförts, vilka attribut som är giltiga och aktuella, eller vilka åtkomsträttigheter användaren är tilldelad. Funktionen utgör en kärna i federativ åtkomsthantering, där beslut om åtkomst ofta baseras på dessa intyg. Förmågan inkluderar inte enbart den tekniska akten att signera data, utan även processer för att säkerställa:
| ||||
Auktorisationstjänst | En Auktorisationstjänst är en komponent som beslutar om och utfärdar information om användares åtkomsträttigheter till digitala resurser, baserat på tillgänglig identitets- och attributinformation. | ||||||
Attributkälla | En Attributkälla är en komponent som tillhandahåller information om användare, exempelvis roller, organisatorisk tillhörighet eller andra behörighetsgrundande attribut. | Attributhantering | Attributhantering är en IAM-förmåga som innebär att en organisation har kapacitet att säkert förvalta, kvalitetssäkra och tillgängliggöra användarattribut som används som underlag för identitetsverifiering, åtkomstbeslut eller intygsutfärdande. Förmågan omfattar både den tekniska leveransen och det verksamhetsmässiga ansvaret för att attributinformationen är:
Attributhantering omfattar hela attributets livscykel: från skapande och uppdatering, via lagring och styrning, till selektiv utlämning i rätt sammanhang. Förmågan bygger ofta på samverkan mellan tekniska system (t.ex. katalogtjänster, IAM-lösningar, HR-system) och organisatoriska rutiner (t.ex. kontroll av rolltilldelning och uppdrag) | ||||
Åtkomstkontroll | Åtkomstkontroll är en IAM-förmåga som innebär att en komponent kan fatta och tillämpa beslut om en användares eller klients rätt att få tillgång till en specifik digital resurs, baserat på tillgänglig identitets- och behörighetsinformation. Förmågan utgör ett centralt skydd mot obehörig åtkomst och realiserar själva åtkomstbeslutet i en federerad kontext. Funktionen innebär att komponenten:
Förmågan kan implementeras både centralt (t.ex. i en auktorisationstjänst) eller lokalt (t.ex. i en resursserver eller applikation), beroende på arkitektur och säkerhetsmodell. | ||||||
| |||||||
Resurs Server (API) | En Resursserver är en komponent som tillhandahåller åtkomst till skyddade digitala resurser, och som kontrollerar åtkomst baserat på presenterade intyg eller behörigheter. | ||||||
E-tjänst | En E-tjänst är en webbaserad applikation som erbjuder funktionalitet till användare, ofta via en webbläsare. | ||||||
Klient | En Klient är en fristående applikation eller serverprogramvara som agerar å användarens vägnar, ibland fristående och utan direkt användarinteraktion. | Åtkomstbegäran
| Åtkomstbegäran är en IAM-förmåga som innebär att en komponent kan initiera en begäran om ett identitetsintyg eller ett åtkomstintyg, i syfte att möjliggöra fortsatt åtkomst till en digital resurs eller tjänst. Förmågan omfattar att formulera och skicka en strukturerad begäran som innehåller tydlig information om:
Förmågan är viktig i federerade miljöer eftersom den formaliserar och initierar flöden som bygger på tillit och verifierbarhet. En korrekt utformad åtkomstbegäran möjliggör tillförlitlig intygsutfärdning, och är därmed en nyckelkomponent i säker och interoperabel åtkomsthantering |
Tillitsmärken
Att en teknisk komponent tilldelas ett tillitsmärke innebär att komponenten (och den organisation och verksamhet som ansvarar för komponenten) uppfyller de tillitsskapande krav som krävs för att på ett tillitsfullt sätt kunna utföra eller erbjuda IAM-förmågor. För viss samverkan via digitala tjänster kan det finnas informationssäkerhetskrav som föranleder mer omfattande tillitsskapande krav och detta tänker vi oss ska representeras av nivåindelad tillitsmärkning.
...
Komponent | Tillitsmärken |
---|---|
Legitimeringstjänst | Ena Tillitsmärke Utfärdare ,Ena Tillitsmärke LoT-1, Ena Tillitsmärke LoT-2, Ena Tillitsmärke LoT-3, eller Tillitsmärke Ena LoT-4 |
Auktorisationstjänst | Ena Tillitsmärke Utfärdare , Ena Tillitsmärke LoT-1, Ena Tillitsmärke LoT-2, Ena Tillitsmärke LoT-3, eller Ena Tillitsmärke LoT-4 |
Attributkälla | Ena Tillitsmärke Källa ,Ena Tillitsmärke LoT-1, Ena Tillitsmärke LoT-2, Ena Tillitsmärke LoT-3, eller Ena Tillitsmärke LoT-4 |
Resursserver (API) | Ena Tillitsmärke Hantering |
E-tjänst | Ena Tillitsmärke Hantering |
Klient | Ena Tillitsmärke Hantering |
Info | ||||
---|---|---|---|---|
| ||||
|
Utvikning kring tillitsnivåer
Vi föreslår att behov av en viss tillitsnivå grundar sig i klassningen av den information eller funktion som en digital tjänst behandlar. För detta utgår vi ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB). Identitet och behörighet inom Ena är inte en del av den ursprungliga klassningen utan snarare en säkerhetsåtgärd, med det är rimligt att anta att en given klassning har likvärdiga nivåer på åtgärder och att identitet och behörighet skulle kunna skapa mer generella paketeringar och utgöra en bra grund. Det vill säga att utifrån en klassning av en verksamhets information faller säkerhetsåtgärder ut.
...
Vi föreslår att Ena baserar sina tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer" från MSB med en tolkning av nivåernas innebörd enligt tabellen nedan.
Level of TrustTillitsnivå | När ska man kräva det och vad innebär det? |
---|---|
LoT-1 | Ett riktmärke är att konsekvenser ligger på försumbar skada avseende konfidentialitet eller riktighet. |
LoT-2 | Ett riktmärke är att konsekvenser ligger på måttlig skada avseende konfidentialitet eller riktighet. |
LoT-3 | Ett riktmärke är att konsekvenser ligger på betydande skada avseende konfidentialitet eller riktighet. |
LoT-4 | Ett riktmärke är att konsekvenser ligger på allvarlig skada avseende konfidentialitet eller riktighet. |
Info | ||
---|---|---|
| ||
Varje samverkanstillämpning bör kräva att alla komponenter som ingår i tillitskedjan har LoT-ett tillitsmärke på motsvarande minst den utifrån informationsklassningen klassade nivåntillitsnivån. |
Tillitsskapande krav
Tillitsskapande krav kan vara av olika karaktär. Inom Enas tillitsarbete har vi identifierat fyra huvudkategorier av tillitsskapande krav:
...