| Název: | Přístup externích uživatelů ke GIS ve veřejné správě |
| Autor: | Jan Brodský, Daniel Fišer |
| Publikováno: | Network Computing 1/2003 |
V článku je diskutován obecnější problém web přístupu k aplikacím s třívrstvou architekturou. Jsou popsány možnosti připojování, typy uživatelů, prostředky pro jejich autentizaci a autorizaci a zajištění jejich bezpečného přístupu k datům. Řešení je motivováno přístupem uživatelů ke GIS na krajských úřadech.
1. Motivace a potřeby
1.1. Motivace
GIS (Geografický Informační Systém) je informační systém pro práci s tzv. geograficky vztaženými daty, tj. daty, která modelují geografickou realitu. Tato data jsou ve veřejné správě velmi důležitá nejen pro výkon státní správy (a to nejen při řešení havarijních situací), ale i pro rozhodování samosprávných orgánů. Užitečná jsou přitom jen taková data GIS, která jsou úplná, aktuální, dostupná a pokrývají příslušné území a potřebné vrstvy geografického modelu skutečnosti (např. komunikace, kanalizaci, elektrická vedení apod.). Tento požadavek přirozeně vede k situacím, kdy jsou data GIS shromažďována péčí územních orgánů veřejné správy (data přitom mohou vznikat a vznikají na různých místech, jsou však centralizována u správce příslušného GIS a dále jsou zpřístupňována všem oprávněným uživatelům, nejen pověřeným pracovníklm územního orgánu, ale i externím subjektům). K datům v GIS je proto nutné řídit přístup a zabezpečit před neoprávněným nahlížením i před možnou modifikací.
1.2. Zobecnění
Místo GIS uvažujme nyní libovolnou vícevrstvou aplikaci (za niž a její data odpovídá správce a musí tedy autorizovat všechny její uživatele). Uživatelé k přístupu k datové aplikaci využívají web prohlížeč, který s web serverem (prezentační vrstvou aplikace) komunikuje protokolem HTTP resp. HTTPS. Web server interně komunikuje s dalšími vrstvami aplikace (aplikační server - vrstva aplikační logiky) a databázová vrstva, v níž jsou uložena vlastní data.
Obrázek 1: Vícevrstvá architektura aplikace
1.3. Uživatelé a jejich připojení
Připusťme nyní, že externím uživatelem aplikace a dat může být např. občan, člen místních samospráv na příslušném území, zájmová sdružení nebo pověřený pracovník sousedního územního orgánu veřejné správy.
Různorodost externích uživatelů napovídá, že je třeba zajistit jejich připojení (a přístup k aplikaci a datům) několika způsoby:
- veřejná síť internet,
- neveřejná síť státní správy GOVBONE.
- Pronajaté okruhy veřejných poskytovatelů a
- dial-up připojení (veřejná telefonní síť, ISDN, GSM...).
1.4. Potřeby uživatelů, cíle řešení
Hlavní potřebou uživatelů je dostupnost geografických dat vždy a nezávisle na připojení. Správce aplikace a dat naopak musí zajistit autentizaci (zjištění a ověření totožnosti) a následnou autorizaci (ověření, zda takto identifikovaný uživatel je oprávněn a v jaké míře, aplikaci a data užívat) uživatelů.
Cílem řešení je tedy zajistit subsystém bezpečného web přístupu interních i externích uživatelů k aplikacím a datům s vícevrstvou architekturou. Řešení musí být flexibilní a škálovatelné i pro velký počet uživatelů.
2. Připojení externích uživatelů
Na následujícím obrázku jsou uvedeny tři způsoby připojení - externí uživatel připojený přes dial-up (typicky pracovník veřejné správy z míst, kde je dostupný pouze tento typ konektivity), externí uživatel pracující ve své vnitřní síti, propojené s vnitřní sítí aplikace a dat prostřednictvím buď pronajatých okruhů, neveřejné propojovací sítě veřejné správy GOVBONE nebo veřejné sítě internet (typicky pracovník jiné organizace veřejné správy) a konečně externí uživatel připojený přes internet (typicky občan).
Obrázek 2: Způsoby připojení externích uživatelů
Komunikace mezi organizacemi veřejné správy je přednostně směrována přes propojovací síť GOVBONE.
Vnitřní sítě jak externích uživatelů, tak správce aplikace a dat jsou z hlediska bezpečnosti považovány za tzv. privátní sítě a jejich připojení k sítím poskytovatelů musí proto být bezpečné.
Pro to se osvědčila modulární architektura, jejímž standardním modulem je i modul připojení na poskytovatele (hraniční modul). Na jediném propojení vnitřní sítě s tímto modulem a jeho prostřednictvím se všemi externími sítěmi pak lze snadno kontrolovat bezpečnost vnitřní sítě.
3. Adresářové služby
Poznámka: Zkratka AAA vyjadřuje tři základní bezpečnostní principy - autentizaci, autorizaci a accounting (provádění záznamů o činnostech).
AAA server si obvykle udržuje seznam (externích) uživatelů ve svých vnitřních strukturách. Stejný seznam externích uživatelů pro autentizaci a autorizaci však musí udržovat i aplikace sama (např. web server, aplikační server). Vhodnější je však využít adresářových služeb a seznam uživatelů uložit do tzv. externí autorizační databázi (EAD), jejíž služby budou používat všechny bezpečnostní prvky řešení.
Tím se zjednoduší správa uživatelských účtů i pro jejich větší počet. Aktuálně dostupné adresářové služby jsou dostatečně robustní, rozšiřitelné a pro práci s adresářovou strukturou využívají standardního protokolu LDAP.
K výhodám tohot řešení patří možnost uložit do stejné adresářové struktury i seznam interních uživatelů aplikace, údržba a správa adresářových služeb, která je nezávislá na aplikaci. Adresářové služby tak mohou být použity i pro více aplikací.
Změny v adresářových službách se tak dynamicky projeví ve všech dotčených aplikacích a jsou tedy vyloučeny bezpečnostně nepříjemné situace, kdy v různých "zapomenutých" systémech a aplikacích přetrvávají "platné" uživatelské účty i bývalých zaměstnanců.
4. Autentizace a autorizace
Vzhledem k výše uvedené citlivosti a ceně dat GIS je logickým požadavkem, aby jejich bezpečnost byla dostatečně zajištěna.
Standardní řešení těchto požadavků spočívá v umístění serverů s aplikací a skutečnými daty do vnitřní sítě, kde jsou chráněny firewallem (soustavou firewallů).
Do příslušné demilitarizované zóny na firewallu pak stačí umístit pouze tu část systému, která zprostředkovává komunikaci s koncovými uživateli a zajišťuje jejich autentizaci a autorizaci. Úpravou pravidel komunikace na firewallu je pak zajištěna dostupnost dat při zachováni bezpečnosti vnitřní sítě.
Popsané řešení dále vkládá do procesu komunikace http dotaz a odpověd tzv. reverzní proxy, která zprostředkuje ověření uživatele (autentizaci) a v druhém kroku pak v závislosti na přidělených právech (autorizaci) vygeneruje dotaz na web server aplikace. Odpověď aplikace (po zpracování aplikačním serverem a databází) pak vrátí zpět uživateli.
5. Bezpečnostní rysy řešení
5.1. Bezpečnostní architektura
Řešení využívá kaskádové soustavy firewallů a vhodného rozmístění jednotlivých komponent do více DMZ. Přístup do každé z nich je povolen jen potřebným typům komunikací (všechny ostatní jsou zakázány).
Aplikace a data jsou uloženy ve vnitřní síti a jsou od uživatelů odstíněny reverzní proxy, která provádí autentizaci a autorizaci externích uživatelů.
Pro uložení a správu uživatelských účtů se využívají adresářové služby, které umožňují delegaci správy na jednotlivé zúčastněné subjekty.
Komunikaci lze šifrovat s využitím SSL.
5.2. Bezpečnostní politika firewallu
Komunikace mezi externími uživateli a aplikací jsou řízeny firewallem, v jehož DMZ se nachází reverzní proxy, který zajišťuje autentizaci a (de-facto) autorizaci externích uživatelů aplikace (FW2 pro GOVBONE).
Dalším faktorem celkové bezpečnosti řešení je konfigurace a zabezpečení serveru, plnícího funkci reverzní proxy. Jde především o volbu OS, jeho konfiguraci, aplikaci bezpečnostních oprav, správu a dohled, dále o volbu proxy a její konfiguraci.
5.3. IDS
Bezpečnost komunikačního systému dnes již není myslitelná bez sensorů pokusů o průnik (IDS - Intrusion Detection System) - které jsou principiálně dvou typů, síťové (network) a serverové (host).
Součástí IDS systému je dále řídící stanice IDS, která nastavuje pravidla senzorům a dohlíží je. Navrhované řešení dodržuje bezpečnostní doporučení (např. Cisco SAFE), které lze interpretovat jako "úplné pokrytí" všech síťových segmentů síťovými IDS senzory a všech serverů serverovými IDS senzory.
5.4. AAA
První dva bezpečnostní principy AAA, tj. autentizace a autorizace již byly pojednány, poslední bezpečnostní princip je zajištěn důsledným ukládáním log záznamů na několika místech.
První takové místo je AAA server pro ověřování totožnosti dial-up externích uživatelů. Dalšími takovými místy, kde je vhodné vést log záznamy a které souvisejí s aplikací, jsou reverzní proxy, EAD nebo LDAP proxy, web server a aplikační server, případně databáze aplikace.
6. Závěr
Popsané řešení je pružné, rozšiřitelné a dovoluje integrovat další požadavky na přístup k aplikacím a datům ve vnitřní chráněné síti organizace.
Zajišťuje požadovaný bezpečný web přístup ke GIS datům. Stejný mechanismus však lze použít i pro jiné aplikace, které se organizace rozhodne zveřejnit (přes internet pro veřejnost, přes GOVBONE pro další organizace veřejné správy).
Princip autentizace a autorizace založený na EAD umožní jednotlivým organizacím mezi sebou sdílet data bez nároků na další investice. Při jednotném návrhu EAD jednotlivých organizací je možné použít i LDAP proxy, případně kořenovou EAD.
Bezpečnost systému je zajištěna vhodnou architekturou návrhu kdy v DMZ jsou umístěny pouze servery zajišťující komunikaci s klienty, samotná data aplikace zůstávají v bezpečí ve vnitřní síti organizace.
Použité otevřené standardy jsou zárukou dalšího vývoje aplikací a garantují nezávislost na firemních proprietárních řešeních.
