XACML: Fijando políticas y reglas de acceso de las empresas
10 March, 2014
category: Seguridad en Internet, Seguridad lógica
La identidad digital gana cada vez más en importancia a medida que las empresas se esfuerzan por proteger y controlar el acceso a los recursos en línea. Se desarrollan una serie de estándares que contribuyen a que la gestión de identidad y el inicio de sesión único (single sign-on) se hagan realidad para las organizaciones que implementan sistemas.
Al concluir 2013, SecureIDNews.com consideró cuatro diferentes estándares de identidad, y el rol que estos juegan en el apoyo a las empresas para la creación de ecosistemas de identidad.
Asegurar que solamente los individuos debidamente autorizados sean los que tengan acceso a los datos requeridos, es un principio básico de los sistemas de control de acceso. El lenguaje XACML (eXtensible Access Control Markup Language) – se pronuncia “zak-mil” – es el estándar de identidad que permite que las empresas apliquen las reglas de acceso.
“XACML posibilita que las empresas gestionen y apliquen un amplio conjunto de reglas de acceso en forma estandarizada, en base a una política”, explica Gerry Gebel, presidente de Axiomatics Americas, un proveedor de soluciones de control de acceso basadas en atributos.
Algunas empresas pueden tener cientos, si no miles, de aplicaciones para usuarios, señala Gebel. Es importante asegurar que el usuario solo tenga acceso a los datos necesarios en la aplicación adecuada.
Observen por ejemplo el mercado de atención de salud. Los médicos necesitan tener acceso y modificar datos del paciente, mientras que las enfermeras tienen otras reglas de acceso diferentes a las de los técnicos o del personal de facturación del hospital. “Puede configurarse de manera que los doctores puedan actualizar datos de los pacientes asignados a su clínica”, explica Gebel. “Las enfermeras pueden actualizar datos de pacientes de su departamento, pero no de otros”.
El estándar posibilita que las empresas tengan una definición central para la política de acceso. Los desarrolladores no tienen que escribir su propia lógica de acceso, sino que pueden utilizar los servicios de la política para permisos de acceso. “XACML te permite codificar las reglas sobre qué persona puede acceder a qué datos y recursos”, dice Gebel.
XACML ya lleva un tiempo empleándose y no tiene estándares que compitan con él, continúa explicando Gebel. Se fue por encima de los anteriores y está a punto de lanzarse al mercado masivo. “Si uno observa los distintos mercados– gobierno, manufactura, etc. – todos estos grupos tienen los mismos puntos sensibles; necesitan compartir datos, pero es difícil reestructurar y filtrar esos datos, y por eso se produce la exposición y la pérdida”, señala.
Uno de los aspectos claves para la adopción masiva es lograr que XACML sea fácil de usar, dice Gebel. “Las herramientas que XACML utilice tienen que ocultar la complejidad, pero hacer que las funciones se consuman con facilidad”, plantea. “Por eso es que los vendedores están mejorando la funcionalidad de autorización de política y las interfaces de los desarrolladores”.
Un punto vulnerable de XACML es que emplea XML (extensible markup language), un lenguaje de marcado que se utiliza para codificar documentos en internet. Muchos desarrolladores usan ahora JSON (JavaScript Object Notation), un estándar abierto basado en texto diseñado para el intercambio de datos legibles para el ser humano; o REST (Representational State Transfer), un estilo que abstrae los elementos arquitectónicos dentro de un sistema distribuido.
Los empleados de XACML están tratando de poner remedio a ese problema mediante la creación de perfiles REST y JSON para el estándar de reglas de acceso, señala Gebel. Esos nuevos perfiles serán aprobados a mediados de 2014. “Los desarrolladores podrán trabajar con mayor facilitar con formatos más ligeros y los protocolos no se quedarán trabados con XML”, añade.