ถึงเวลาของการรวมโทเค็นแล้ว
หวัดดีครับทุกคน
ไม่กี่เดือนที่ผ่านมานี้เป็นช่วงที่น่าตื่นเต้นมากในโลกแห่งมาตรฐานด้านข้อมูลประจำตัวและการรักษาความปลอดภัย ด้วยความมุมานะของเหล่าผู้เชี่ยวชาญจำนวนมากทั่วทั้งอุตสาหกรรม ขั้นตอนการทำให้มาตรฐานใหม่จำนวนมากสมบูรณ์จึงก้าวหน้าไปอย่างน่าทึ่ง ซึ่งมาตรฐานเหล่านี้จะพัฒนาทั้งด้านการรักษาความปลอดภัยและประสบการณ์ใช้งานของผู้ใช้ในยุคของอุปกรณ์และบริการบนระบบคลาวด์
การพัฒนาที่สำคัญที่สุดประการหนึ่งก็คือกลุ่มข้อกำหนดการรวมโทเค็นที่ขณะนี้กำลังเข้าสู่การให้สัตยาบันขั้นสุดท้ายที่ Internet Engineering Task Force (IETF) (ถ้าคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรวมโทเค็น ให้ดูงานนำเสนอชั้นยอดนี้โดย Brian Campbell)
ที่ Microsoft เราเชื่อว่าการรวมโทเค็นสามารถปรับปรุงการรักษาความปลอดภัยของทั้งสถานการณ์การใช้งานขององค์กรและลูกค้าได้อย่างมาก โดยทำให้นักพัฒนาทั่วโลกเข้าถึงการรับประกันด้านข้อมูลประจำตัวและการรับรองความถูกต้องขั้นสูงได้ง่าย
เพื่อให้เห็นว่าเราเชื่อมั่นว่าสิ่งนี้จะส่งผลดีเพียงใด เราได้อุทิศตนทำงานกับชุมชนเรื่อยมา เพื่อการสร้างและการเริ่มนำกลุ่มข้อกำหนดการรวมโทเค็นไปใช้
ในตอนนี้ที่ข้อกำหนดดังกล่าวใกล้จะสิ้นสุดขั้นตอนการให้สัตยาบันแล้ว ผมมีเรื่องอยากจะให้ทุกท่านปฏิบัติตามสองประการ:
- เริ่มทดลองกับการรวมโทเค็น และวางแผนการปรับใช้งานของคุณ
- ติดต่อผู้ขายเบราว์เซอร์และซอฟต์แวร์ของคุณ ขอให้เขาส่งวิธีดำเนินการการรวมโทเค็นทันทีที่พร้อมให้บริการ
และผมมีความยินดียิ่งที่จะรายงานว่า Microsoft ก็เป็นหนี่งในเสียงจำนวนมากจากภาคอุตสาหกรรมที่กล่าวว่า การรวมโทเค็นนั้นเป็นโซลูชันสำคัญที่ถึงเวลาดำเนินการแล้ว
สำหรับเหตุผลว่าทำไมการรวมโทเค็นจึงสำคัญ ผมจะขอมอบให้เป็นหน้าที่ของคุณ Pamela Dingle ซึ่งเป็นเสียงจากภาคอุตสาหกรรมชั้นนำที่หลายคนคงรู้จักกันแล้ว และปัจจุบันเป็นผู้อำนวยการฝ่ายมาตรฐานข้อมูลประจำตัวในทีม Azure AD ของ Microsoft
ขอแสดงความนับถือ
Alex Simons (Twitter: @Alex_A_Simons)
ผู้อำนวยการฝ่ายจัดการโปรแกรม
แผนกข้อมูลประจำตัวของ Microsoft
—————————————————————————————————————————–
ขอบคุณ Alex และสวัสดีทุกๆ คนค่ะ
ฉันก็ตื่นเต้นเหมือน Alex ค่ะ! เวลาและความพยายามนานนับปีได้ทุ่มเทให้กับข้อกำหนดที่คุณจะเห็นว่าได้รับการประกาศให้เป็นมาตรฐาน RFC ใหม่ในอีกไม่นานนี้ นี่เป็นเวลาที่ใช่สำหรับเหล่าสถาปนิกในการเริ่มค้นหาประโยชน์ด้านข้อมูลประจำตัวเฉพาะและการรักษาความปลอดภัยที่การรวมโทเค็นจะมอบให้
คุณอาจะสงสัยว่าการรวมโทเค็นนั้นมีอะไรดีนักหนา การรวมโทเค็นทำให้คุกกี้ โทเค็นการเข้าถึง OAuth และโทเค็นการรีเฟรช และโทเค็น OpenID Connect ID ใช้ไม่ได้นอกบริบท TLS ไคลเอ็นต์เฉพาะที่ได้นำออกใช้ โดยปกติแล้วโทเค็นดังกล่าวจะเป็นโทเค็น “แบบแบเรอร์” หมายความว่าใครก็ตามที่เป็นเจ้าของโทเค็นสามารถแลกเปลี่ยนโทเค็นเป็นทรัพยากรได้ แต่การรวมโทเค็นจะปรับปรุงรูปแบบนี้โดยจัดเลเยอร์ในกลไกการยืนยัน เพื่อทดสอบตัวเข้ารหัสลับที่รวบรวมมาได้ในตอนที่ออกโทเค็นเทียบกับตัวเข้ารหัสลับที่รวบรวมมาได้ในขณะที่ใช้โทเค็น มีเพียงไคลเอ็นต์ที่ถูกต้องที่ใช้แชนเนล TLS ที่ถูกต้องเท่านั้นที่จะผ่านการทดสอบ กระบวนการบังคับให้เอนทิตีแสดงโทเค็นเพื่อพิสูจน์ตนเองนี้ เรียกว่า “การพิสูจน์ความเป็นเจ้าของ”
กลายเป็นว่าเราสามารถใช้คุกกี้และโทเค็นนอกบริบท TLS เดิมได้ในทางที่เป็นอันตรายต่างๆ อาจจะเป็นเซสชันคุกกี้ที่ถูกจี้ หรือโทเค็นการเข้าถึงที่รั่วไหล หรือ MiTM ที่ปลอมปนเข้ามา นี่คือเหตุผลว่าทำไมแบบร่างแนวทางปฏิบัติการรักษาความปลอดภัยในปัจจุบัน IETF OAuth 2 ถึงแนะนำการรวมโทเค็น และเป็นเหตุที่เราเพิ่งได้เพิ่มรางวัลให้กับโครงการมอบเงินรางวัลเมื่อแจ้งช่องโหว่ด้านความปลอดภัยในข้อมูลประจำตัวเป็นสองเท่า ด้วยการต้องพิสูจน์ความเป็นเจ้าของ เราได้พลิกโอกาสใช้งานหรือการวางแผนใช้คุกกี้หรือโทเค็นในลักษณะฉวยโอกาส ให้กลายเป็นสิ่งที่ยากลำบากและมีราคาแพงสำหรับผู้โจมตีเมื่อพยายามโจมตี
เช่นเดียวกับกลไกการพิสูจน์ความเป็นเจ้าของ การรวมโทเค็นทำให้เราสามารถสร้างการป้องกันได้หลายระดับซ้อนกัน เราไม่เพียงสามารถทุ่มเททำงานเพื่อที่จะไม่เสียโทเค็นไปเท่านั้น แต่เรายังสามารถยืนยันเพื่อความปลอดภัยได้ด้วย การรวมโทเค็นนั้นพร้อมใช้งานในตัวและมีความโปร่งใสต่อผู้ใช้ เนื่องจากโครงสร้างพื้นฐานจะจัดการงานยากๆ ส่วนใหญ่ให้เรียบร้อย ซึ่งแตกต่างจากกลไกการแสดงความเป็นเจ้าของอื่นๆ เช่น ใบรับรองไคลเอ็นต์ เราหวังว่าสิ่งนี้จะทำให้ทุกคนสามารถเลือกดำเนินการด้วยการรับประกันข้อมูลประจำตัวระดับสูงได้ แต่เราคาดหวังที่จะเห็นความต้องการอันแรงกล้าจากฝ่ายรัฐบาลและภาคการเงินแบบแนวดิ่งในระยะแรกก่อน เนื่องจากพวกเขามีข้อกำหนดตามระเบียบข้อบังคับที่จำเป็นต้องผ่านการพิสูจน์ความเป็นเจ้าของโดยทันที ตัวอย่างหนึ่งก็คือ ใครก็ตามที่ต้องการการจัดประเภท AAL3 แบบ NIST 800-63C จะต้องมีเทคโนโลยีประเภทนี้
การรวมโทเค็นเป็นหนทางยาวไกล เรากำลังเข้าสู่ปีที่สาม และในขณะที่การให้สัตยาบันข้อกำหนดนั้นเป็นเหตุการณ์ที่น่าตื่นเต้น แต่ในฐานะของระบบนิเวศ เรายังมีอีกหลายสิ่งต้องสร้าง และข้อกำหนดนี้ต้องใช้งานได้ทั้งในผู้ขายและแพลตฟอร์มทุกรายการเพื่อให้ประสบความสำเร็จ ตลอดหลายเดือนข้างหน้านี้ เราตื่นเต้นที่จะเริ่มแชร์รายละเอียดของประโยชน์ด้านการรักษาความปลอดภัยและแนวทางปฏิบัติที่มาจากฟังก์ชันการใช้งานที่เราใช้งาน และเราหวังว่าคุณจะมาร่วมสนับสนุนเทคโนโลยีนี้กับเราในทุกๆ ที่ที่คุณต้องการ
ขอบคุณค่ะ
— Pam
