La sicurezza informatica non è un lusso: nel panorama odierno è indispensabile considerare la cyber security come un elemento fondante di qualsiasi prodotto o servizio IT. Un approccio in cui Oracle si ritrova perfettamente e che è alla base di alcune innovazioni tecnologiche che il colosso statunitense ha recentemente introdotto nei suoi sistemi.
“La logica di security by design è da tempo uno dei pilastri dell’offerta Oracle” sottolinea Fabrizio Zarri, Security Specialist – CISO EMEA di Oracle. “Si tratta di un approccio architetturale che abbiamo applicato in tutti i nostri software ma in particolare in ambito cloud, dove la necessità di garantire la massima sicurezza e integrità dei dati è diventata fondamentale”.
I parametri per un cloud sicuro
Quando si parla di sicurezza cloud, spesso la differenza la fanno i dettagli e tecnologie che rimangono “sotto il cofano”. L’approccio di Oracle, come illustrato da Zarri, punta esattamente su questi aspetti per offrire un ambiente di lavoro che consente alle aziende di avere il massimo livello di sicurezza grazie a un approccio Zero Trust.
Tra gli elementi che il manager indica come “portanti” a livello di sicurezza c’è per esempio la network segregation, ovvero la netta separazione tra la parte di network e quella di virtualizzazione. “Questo accorgimento permette di ridurre il rischio impedendo, per esempio, il movimento laterale di eventuali attaccanti” spiega Zarri. Un discorso simile vale per le policy di accesso ai dati che, per impostazione predefinita, non sono accessibili a meno che non ci sia un’autorizzazione esplicita.
Il tema della cifratura dei dati ha la stessa importanza. “Ci sono varie sfumature nella gestione della crittografia dei dati. Il sistema più semplice prevede la gestione delle chiavi in capo a Oracle, ma è anche possibile che le aziende possano gestire le loro chiavi o importarle da un sistema terzo in una logica “bring your own key”. Recentemente, prosegue Zarri, è stata introdotta anche la possibilità di utilizzare chiavi on premise secondo la logica “hold your own key”.
La stessa attenzione, spiega Zarri, è applicata alla parte hardware. “Si tratta di una strategia che permette di mitigare il rischio legato alle vulnerabilità di terze parti. Per garantire una sicurezza ancora maggiore, adottiamo una procedura di controllo a livello di firmware (Hardware Root of Trust – ndr) che prevede il refresh a ogni utilizzo di una macchina e l’uso di firme che ne garantiscono l’integrità”.
Identità digitale al centro della sicurezza
Se l’adozione di tecnologie basate su logiche Zero Trust sono alla base di un ambiente cloud sicuro, l’adozione di tecnologie SaaS ha acceso i riflettori sul tema della protezione dell’identità digitale. Ed è proprio questo uno degli ambiti in cui le innovazioni in tema di security offrono i maggiori margini di miglioramento.
“Le strategie in ambito Identity and Access Management devono essere modulate sugli use case effettivi. Non tutti gli accessi, infatti, hanno le stesse caratteristiche” spiega Zarri. La differenziazione riguarda, in particolare, la tipologia di soggetto che deve essere gestito e che avrà caratteristiche diverse a seconda che sia un impiegato dell’azienda, un partner o un utente finale. “Un’ulteriore distinzione riguarda il livello di avanzamento a livello di trasformazione digitale dell’azienda. Se alcune realtà hanno già una forte adozione del cloud, altre sono caratterizzate dalla presenza di sistemi legacy che non possono essere gestiti in un’ottica totalmente SaaS” prosegue.
Lo scenario descritto da Zarri è stato interpretato da Oracle implementando una sorta di “doppio binario”, in cui ogni use case può essere incasellato a seconda delle sue caratteristiche. I due binari sono rappresentati da un approccio completamente cloud oriented in modalità SaaS e uno più “tradizionale” a livello di offerta software. Entrambe sono segmentate tra governance (creazione dell’identità digitale e sua gestione); management (sistemi di autenticazione) e Directory (il repository che contiene i dati degli utenti).
“I componenti software sono tutti ‘cloud ready’ e permettono di essere personalizzate per adattarsi alle esigenze della singola azienda, per esempio in presenza di sistemi legacy che non possono adattarsi a un componente cloud standard” sottolinea Zarri. “Soluzioni di questo tipo permettono di orchestrare differenti sistemi di autenticazione anche on premise, consentendo di venire incontro a qualsiasi esigenza”.
Dall’autenticazione al monitoraggio degli accessi
L’attenzione di Oracle, spiega Zarri, si è concentrata ultimamente su due aspetti fondamentali nella gestione dell’identità digitale. La prima è l’autenticazione, che si sta muovendo con decisione verso soluzioni passwordless basate su identificazione biometrica o adozione di hardware. “Le best practice in questo ambito prevedono comunque l’uso di due fattori di autenticazione ed è necessario adattarli alle esigenze specifiche dell’azienda”.
Le casistiche possono essere, infatti, estremamente variegate. Basti pensare al caso in cui si adotti lo smartphone come strumento di autenticazione, ma con il vincolo dell’uso di un device aziendale. Nel caso di partner che fanno parte di organizzazioni in cui le policy consentono l’uso di dispostivi privati (BYOD), l’adozione di strumenti alternativi diventa indispensabile. Un’orchestrazione che permetta di gestire diversi sistemi permette di superare l’impasse.
“Tutto può essere graduato a seconda della valutazione del rischio relativa alla specifica attività. Operazioni che hanno un basso impatto a livello di rischio possono prevedere un’autenticazione relativamente ‘leggera’, mentre le applicazioni critiche possono avere policy più rigorose” sottolinea Fabrizio Zarri. “In alcuni casi, per esempio, è possibile consentire l’accesso solo da un PC desktop considerato ‘affidabile’ per avere la certezza dell’identità dell’utente”.
La chiave per garantire una reale efficacia dei sistemi, però, richiede una duplice attenzione: alla gestione del ciclo di vita dell’identità digitale deve essere affiancato un puntuale controllo che consenta di far rispettare le policy di accesso ai dati. “Gli strumenti di automazione basati su machine learning e l’uso di servizi cloud ready, in questo senso, permettono di avere un livello di sicurezza decisamente superiore a un approccio manuale” sottolinea Zarri. “La chiave è quella di fornire strumenti facili da usare, con un approccio molto business e meno tecnico rispetto ai servizi tradizionali”.