Postupující a zrychlující digitalizace se projevila i v architektuře moderních informačních systémů. Stále častěji se používají mikroslužby – samostatné business funkčnosti nebo miniaturní aplikace s jasným rozhraním – založené na unixovém principu „Dělej jednu věc a dělej ji dobře“. Z hlediska uživatele nehraje roli, jestli mu data na jeho obrazovce poskytla jedna velká monolitická aplikace nebo jsou poskládána z výsledku volání desítky různých mikroslužeb. Prakticky očekáváme, že mikroslužba bude správně autorizovat přístupy na operace se svými daty. Ke správnému vyhodnocení ale bude potřebovat i data, která nespadají do její business domény, což může narušit architektonické principy.  

Co kdyby ale existovala mikroslužba, která by dělala pouze jednu věc – vyhodnocovala by přístupová práva? Nazveme ji třeba „Přístupový model“. Každá jedna mikroslužba by se mohla zeptat Přístupového modelu, jestli má či nemá v daném případě povolit přístup ke svým datům. Víc nemusí řešit, buď přístup dostane nebo ne.  

Veškerá složitost modelování práv digitálního světa se tak dostane jen na jedno místo. Vývojáři ostatních mikroslužeb nemusí řešit přístupová práva do hloubky, jejich práce se soustředí na to, že v kódu jen zachytí, jaké právo (tj. přístup k datům a operaci) potřebují získat a nechají rozhodnout Přístupový model.   

Přístupový model a jeho vlastnosti 

Primární funkcí Přístupového modelu je přesně a rychle odpovídat na uzavřené otázky ohledně přístupů, tedy:  

Může volající (reprezentovaný například identifikací v JWT) získat přístup k operaci „Načti kartu pacienta“ pro pacienta Jana Zdravého, narozeného tehdy a tehdy?  

Odpovědí je buď povolení přístupu, nebo jeho zamítnutí. Odpověď může být dále rozšířena o doplňující informaci – např. co musí volající služba ještě splnit, než udělí přístup nebo důvod, proč došlo k jeho zamítnutí.   

K tomu, aby mohl Přístupový model odpovědět na takto položenou otázku, potřebuje:  

• Rozumět datům a operacím – Není potřeba znát skutečné či detailní datové modely, definice v Přístupovém modelu jdou spíše po logice dat a operací z pohledu business problematiky.  
• Implementovat zákony a předpisy – Každé vyhodnocování je vlastně kontrola, jestli neexistuje důvod, proč přístup zamítnout a následně jestli existuje důvod, na jehož základě je možné přístup povolit. Pokud jsou tyto kontroly definovány vlastnostmi, abstrahovanými od jejich fyzických datových interpretací, je definice přístupových politik opět business záležitostí.  
• Být rychlý a přesný – rychlost hraje velkou roli, protože ovlivňuje odezvu mikroslužeb, které se na Přístupový model spoléhají a tím i celkovou uživatelskou spokojenost. K tomu si Přístupový model si může udržovat obraz vybraných dat, která používá k vyhodnocování, ve svých vysoce dostupných úložištích.   

Výhodu používání externí autorizace, jakou poskytuje Přístupový model, může ilustrovat pokračování našeho příkladu se zdravotní dokumentací: 

• V první fázi máme k dispozici pouze informaci o pacientovi – nadefinujeme přístupovou politiku, že kromě lékařů může načíst výsledek vyšetření i samotný pacient. 
• Časem získáme přístup k ověřenými informacím o vztazích mezi občany – pak můžeme rozšířit pravidla tak, že výsledky vyšetření může načíst i rodič nezletilého dítěte.  
• A ještě později umožní jiná mikroslužba pacientům poskytnout přístup svému zaměstnavateli – my pouze přidáme pravidlo „volající reprezentuje zaměstnavatele pacienta a data vyšetření jsou typu Vstupní prohlídka“. 

V celém procesu rozšiřování politik není nutné žádným způsobem zasáhnout do kódu mikroslužby, která vlastní údaje o vyšetření poskytuje. Veškeré zpřístupňování se odehrálo pouze na úrovni definic nových pravidel, případně získání potřebných dat pro vyhodnocování. 

Pro podporu složitějších procesů může Přístupový model poskytovat i odpovědi na otevřené otázky, například:  

• Kdo všechno může získat právo „Načti výsledek vyšetření“ pro dané vyšetření?  
• K jakým všem vyšetřením může volající získat právo „Načti výsledek vyšetření“?  
• Jaká všechna práva může volající získat pro dané vyšetření?  

Všechny tyto otevřené otázky mají jedno společné a tím je právě jedna neznámá v trojici volající uživatel - operace - data.  

Výhody a nevýhody 

Centralizované a dynamické vyhodnocování přístupových práv, jaké poskytuje výše popisovaný „Přístupový model“ přináší několik nezanedbatelných výhod:  

• Centralizované řešení, spravované jedním týmem, zaručuje konzistenci řešení přístupových práv napříč celým informačním systémem. Navíc jsou důležité a specifické znalosti soustředěny do jednoho týmu, který je tak výrazně efektivnější ve své práci, včetně podpory zjišťování, proč někomu byl udělen nebo zamítnut specifický přístup.  
• Způsob popisu logické struktury dat a operací nad nimi formuje dokumentovaný model oprávnění a způsobu jeho řízení. To je v době, kdy se klade důraz na kybernetickou bezpečnost a její zajištění, neocenitelná pomůcka.  
• Systém založený na vyhodnocování vlastností v sobě obsahuje i existující tradiční systémy řízení přístupů. Vlastnost uživatele – to, že má přidělenou specifickou aplikační nebo systémovou roli – lze porovnat například s požadovanou operací a rozhodnout o přístupu.  

Hlavním negativem je, že centralizovaný model představuje úzké hrdlo v případě celkového selhání nebo výrazného zpomalení vyhodnocování. Další nevýhodou může být nízká kvalita nebo dostupnost potřebných dat.

Spolehlivost a kvalita vyhodnocování práv je daná spolehlivostí a kvalitou dat pro vyhodnocování používaných. 

Nemáme-li k dispozici spolehlivá data o vztahu mezi zákonným zástupcem a nezletilcem, velmi těžko na jejich základě můžeme spolehlivě řídit práva rodiče ve vztahu k dítěti. Tuto zdánlivou nevýhodu ale můžeme překlopit v obrovskou konkurenční výhodu. Pokud od počátku dbáme na kvalitu dat a procesů, ve kterých data pořizujeme, můžeme lépe digitalizovat a klientům zpřístupnit více různých životních situací, včetně těch méně příjemných, jako je rozvod, insolvence nebo úmrtí. A věřte tomu, že odlišnost od konkurence se u klientů počítá i v těchto případech.

Jakou ochranu si zasluhují naše data?  

Princip dynamické externí autorizace není žádnou novinkou. Již před více než dvaceti lety začal americký NIST s jeho standardizací pro účely ministerstva obrany USA. Od té doby se množství a rozsah dat, se kterými jsme ochotni nakládat digitálně, nebývale rozrostly. Jako uživatelé a klienti očekáváme, že budeme mít bezvadně chráněné digitální bankovnictví, ve kterém budeme spravovat rodinné finance, očekáváme maximální digitalizaci státní agendy, abychom nemuseli obíhat úřady, doufáme i v efektivní zdravotnictví, kde nám může lékař poskytovat rady vzdáleně, a přitom mít přístup k citlivým lékařským záznamům. A co lze, chceme sdílet v rodině, například pomáhat digitálně méně obratným rodičům, nebo naopak kontrolovat chování našich, často digitálně zdatnějších, potomků. Nezbývá než se tedy zeptat – nepotřebují naše data adekvátní ochranu? Nechceme naše data chránit stejným způsobem, jako to dělá americká armáda?   

Autorem článku je Jan Zeithaml

Jan Zeithaml působí ve společnosti Unicorn Systems jako Senior consultant pro korporátní klienty zejména v oblasti bankovnictví a pojišťovnictví. Podílí se na řadě klíčových projektů Unicorn Systems ve významných finančních institucích. Jeho aktuální pracovní náplní a zároveň i koníčkem je ochrana dat a řízení přístupů k nim v moderních bankovních systémech.