در چند ماه گذشته، RIPE NCC روی بهبود امنیت RIPE NCC Access، سیستم ثبت نام واحد (SSO) برای دسترسی به خدمات کلیدی ما کار کرده است. در این مقاله، پیشرفتهای اخیری که پیادهسازی کردهایم را توضیح میدهم و یک نمای کلی از پیشرفتهای آتی ارائه میدهم که میتوانید از ما انتظار داشته باشید.
چرا بهبود امنیت RIPE NCC Access مهم است؟
RIPE NCC Access به عنوان یک دروازه ورود واحد (SSO) برای دسترسی به مهمترین خدمات عضو ما عمل می کند. این خدمات شامل پورتال LIR، جایی که کاربران میتوانند درخواست انتقال منابع IPv4 خود را داشته باشند، و داشبورد RPKI، که در آن تغییرات پیکربندی میتواند روی قابلیت مشاهده پیامهای BGP تأثیر بگذارد، میشود. دسترسی غیرمجاز به این سرویسها میتواند منجر به اختلالات فنی شود (مثلاً پیکربندیهای نادرست در RPKI میتواند به طور بالقوه کل شبکهها را از اینترنت غیرقابل دسترسی کند) و خسارات مالی قابل توجهی به اعضا (با توجه به هزینه بالای منابع IPv4) منجر شود.
با توجه به این زمینه، ضروری است که RIPE NCC از فناوری پیشرفته برای محافظت از دسترسی به خدمات خود در برابر کاربران غیرمجاز استفاده کند. این شامل حفظ یک معماری SSO قوی، ارائه روشهای مدرن احراز هویت دو مرحلهای (2FA) و اجرای الزامات امنیتی سختگیرانه برای دسترسی به این حسابها است.
مشاهده تغییرات اخیر
در اوایل سال 2023، RIPE NCC Access با چندین چالش مهم روبرو شد. موتور Backend مورد استفاده در آن زمان، Atlassian Crowd، فاقد پشتیبانی از روشهای مدرن احراز هویت دو مرحلهای (2FA) مانند کلیدهای FIDO2 و همچنین روشهای یکپارچهسازی امن مانند SAML 2.0 و OIDC بود. این امر مستلزم سفارشی سازی گسترده در لایه خود ما بود، لایه ای که قدیمی و با بدهی فنی سنگین شده بود.
راهحل ایدهآل ما این بود که یا به طور کامل سیستم ثبت نام واحد (SSO) خود را به محصولی مانند Auth0 برون سپاری کنیم، یا از یک موتور باطنی مدرنتر استفاده کنیم که بیشتر نیازهای ما را بلافاصله برآورده میکند. در پایان، Keycloak را انتخاب کردیم، یک سیستم مدیریت هویت و دسترسی منبع باز (IAM) که بسیاری از ویژگیهای لازم را بدون سفارشیسازی گسترده فراهم میکند. ما یک تلاش کامل برای پلتفرم مجدد را آغاز کردیم و آن را بر روی یک پلت فرم ارکستراسیون کانتینری مدرن با استفاده از زیرساخت ابری (EKS در AWS) پیادهسازی کردیم. این پروژه در ژوئیه 2023 تکمیل شد و کاهش قابل توجهی در بدهی فنی را نشان داد. با این حال، هنوز تغییراتی در راه است، از جمله انتقال کد 2FA از لایه اختصاصی ما به پیادهسازی اصلی Keycloak و ادغام با بقیه ابزارهای از کار انداختن شخص ثالث در سرور OIDC ما.
به دنبال حوادث امنیتی مربوط به حساب های RIPE NCC Access در اوایل سال جاری، فوریت برای اجرای این تغییرات افزایش یافته است، به ویژه نیاز به اجباری کردن 2FA. با این حال هنوز از نظر فنی آماده نبودیم. انتقال 2FA از لایه اختصاصی ما به Keycloak ضروری بود زیرا فعال کردن 2FA اجباری در راه حل قبلی در مقایسه با فرآیند آسان در Keycloak به تلاش قابل توجهی نیاز داشت. اساساً راه حل آسانی وجود نداشت و اجرای صحیح نیازمند چندین هفته کار بود.
این گام مهم موفقیت آمیز بود ماه گذشته تکمیل شد جایی که از عملکرد اصلی Keycloak برای کار با 2FA استفاده کردیم و گزینه اجباری را فعال کردیم. این نقطه عطف به طور قابل توجهی امنیت حساب های اعضای ما را بهبود می بخشد، از منابع آنها و در دسترس بودن شبکه محافظت می کند.
بعدش چی؟
ما در چند ماه گذشته بازخوردهای زیادی در مورد RIPE NCC Access دریافت کردهایم و مایلم از همه کسانی که بینش خود را به اشتراک گذاشتند تشکر کنم. بازخورد شما برای ما ارزشمند است و نقش مهمی در شکل دادن به استراتژی محصول ما دارد.
یکی از ویژگی هایی که اغلب درخواست می شود، ارائه روش های مختلف 2FA، مانند کلیدهای FIDO2 و بیومتریک است. ما متوجه شدیم که رمز عبور یک بار مصرف مبتنی بر زمان (TOTP) یک فناوری قدیمی است که ممکن است برای همه ایده آل نباشد. پرداختن به این اولویت اصلی ما است و ما در تلاش هستیم تا به زودی طیف گستردهتری از روشهای احراز هویت را ارائه دهیم.
برخی از پیشنهادات دیگر قبلاً اجرا شده است. به عنوان مثال، ما این قابلیت را برای مدیران اجرا کردیم که ببینند کدام کاربران 2FA را فعال کرده اند. با این حال، اکنون که 2FA اجباری است، میتوانیم این ویژگی را به دلیل زائد شدن آن حذف کنیم. صرف نظر از این، هدف خود را در کمک به ادمین ها برای محافظت از حساب های خود در حالی که ما روی یک راه حل طولانی مدت کار می کردیم، انجام داد.
بهبودهای اضافی شامل ادغام شخص ثالث و از کار انداختن سرور OIDC خودمان است. ما همچنین بر بهبود تجربه کاربر و بازسازی پایگاه کد موجود خود برای کاهش بدهی فنی تمرکز خواهیم کرد. ما می خواهیم به جای اختراع مجدد چرخ، از قابلیت های اصلی KeyCloak بیشتر استفاده کنیم. و با انجام این کار، میتوانیم ساختار خانه ناب و کارآمد را حفظ کنیم و همه چیز را بر روی یک پلت فرم زیرساخت مدرن به عنوان کد مدیریت کنیم.
ما دوست داریم بیشتر از شما بشنویم. لطفاً نظرات، پیشنهادات یا ایدههای خود را در اینجا در بخش نظرات یا در لیست پستی گروه خدمات RIPE NCC به اشتراک بگذارید. [email protected]. هدف ما ارائه یک پلت فرم بسیار امن و با کاربری آسان برای مدیریت خدمات RIPE NCC شما است.