Molnet ger också organisationer möjligheten att fokusera på sin kärnverksamhet istället för att hantera infrastruktur. Men många är också så klart bekymrade över riskerna. Om man läser de undersökningar som genomförs så är det säkerhet som de flesta påtalar som den stora risken som kan vara i vägen för att få en blå himmel. Som arkitekt måste man kunna erbjuda sina användare, och andra system, tillgång till data de behöver, hela tiden, från olika platser och från olika tekniska plattformar. Det är en utmaning oavsett miljö men om möjligt en ännu större utmaning när det gäller data i en molnbaserad plattform. På Microsofts molnplattform finns ett antal tekniker och tjänster som kan användas för att skydda data och ge användare och applikationer tillgång till de resurser de behöver.
Federation och claims
En utmaning man ställs inför när man bygger applikationer i molnet är att system för att säkerställa och hantera rättigheter ofta ligger på en helt annan plats, t ex internt på ett företag. Federerad säkerhet erbjuder en separation mellan den tjänst en användare tar del av och associerade autentisering- och auktoriseringsförfaranden.
Viktiga begrepp inom federerad säkerhet är domän, federation och Security Token Services (STS). En domän är en enhet för administration av säkerhet, t ex en organisation medan en federation är en samling av domäner som har etablerat ett förtroende mellan varandra. STS är en webbtjänst som utfärdar säkerhetsbevis mellan olika domäner. När man från en domän gör ett anrop till en STS i en annan domän resulterar detta i en eller flera claims. Claims kan man säga är uttalanden om en användare som kan användas för att auktorisera en användare i ett system. Ett claim kan t ex vara namn, identitet, organisatorisk tillhörighet, grupptillhörighet, rättigheter eller tillstånd. Dessa claims kan sedan användas i en applikation som litar på utgivaren för att erbjuda tillgång till data eller funktioner för en användare. Man kan jämföra det med Vägverket som utfärdar körkort. Många litar på Vägverket när det gäller att utfärda claims om privatpersoner i Sverige. Exempel på claims är namn, personnummer och vilket typ av körkort man har och dessa claims används för att ge tillgång till olika tjänster.
Windows Identity Foundation (WIF)
WIF är det senaste tillskottet till .NET Frameworks grundläggande teknologier. Med hjälp av WIF kan en utvecklare på .NET undvika att fokusera på logik för identifiering och istället använda integrerade funktioner i Visual Studio för att skydda sin applikation med standarder som WS-Federation och WS-Trust. Eftersom man använder sig av öppna standarder kan man autentisera användare oavsett var data om dessa användare finns. Man kan då också relativt enkelt skapa en Single Sign On (SSO)- lösning mellan lokalt driftade säkerhetslösningar och applikationer i molnet. Även om man kan använda WIF för att autentisera användare genom öppna protokoll mot vilken plattform som helst är den bästa användningen av existerande investeringar i Windows infrastruktur att autentisera genom Active Directory Federation Services.
Active Directory Federation Services (AD FS 2.0)
AD FS 2.0 kan användas både i lokala applikationer och i applikationer som utvecklas för Windows Azure. AD FS 2.0 är en roll till Windows Server som utökar Active Directory med förmågan att hantera claims. Active Directory innehåller då även en STS vilket gör att man har ett gränssnitt som kan användas för att autentisera existerande användare mot applikationer som finns lokalt, hostat i ett datacenter eller i Windows Azure. Om en applikation som är utvecklad för Windows Azure använder WIF kan man direkt ge användare i ett lokalt AD tillgång till applikationen utan att behöva synkronisera, duplicera eller skapa några nya konton.
Windows Azure Platform AppFabric Access Control Service (AC)
AC är en tjänst som erbjuder federerad autentisering och claims-baserad auktorisering. AC kan användas för enkla scenarios med användarnamn/lösenord samt för mer avancerade scenarios med integration mot AD internt på företag. När utvecklare och arkitekter designar och bygger lösningar för Windows Azure är det speciellt viktigt att tidigt överväga de hot som kan komma att uppstå. Dessa skiljer sig från traditionella lösningar men det jobb som måste göras för att säkerställa en lösning i molnet är inte nytt eller annorlunda. Det gäller bara att känna till alternativen och nyttja dem på rätt sätt.
Av Björn Eriksen, konsult på Connecta och kursledare på Addskills