Impossibile parlare di cloud senza prima introdurre il tema della sicurezza – e allo stesso modo non si possono affrontare le sfide poste oggi dall’IT security senza istituire sistemi efficaci e affidabili di identity protection. È solo, infatti, attraverso la tutela delle identità digitali che utenti, soluzioni e processi possono esprimere il proprio massimo potenziale in un ecosistema complesso e in continuo divenire come quello costituito dagli ambienti cloud.
L’identity protection contestualizzata nelle dinamiche del cloud computing
“Il tema dell’identity protection ha a che fare con la possibilità di gestire e proteggere set di credenziali, dati e metadati che possano univocamente riconoscere un’utenza digitale, che a sua volta riconduce a un’unica persona fisica. Ma non solo: comprende anche i meccanismi e i processi di autenticazione e autorizzazione alle funzioni specificamente assegnate a quell’utenza su ciascuna piattaforma. È questo, essenzialmente, il motivo per cui in tutti i progetti cloud si stanno affermando, in modo preponderante, le soluzioni di Identity and Access Management (IAM), una branca della cybersecurity che sconfina nell’ambito applicativo” spiega Emanuele Bergamo, Business Technology Transformation, District Sales Director – Cloud Native leader di Maticmind.
L’espressione “cloud”, però, è piuttosto generica, e incorpora diversi aspetti tecnologici e di processo che hanno esigenze peculiari rispetto al tema dell’identity protection. Se da una parte è abbastanza intuitivo capire di cosa si sta parlando, dall’altra non si possono trascurare use case che per molte organizzazioni potrebbero essere considerati estremi, ma che in realtà, lungo il percorso della trasformazione digitale, rappresentano un orizzonte molto più vicino di quanto si possa immaginare.
“Basti pensare a tutto il versante delle DevOps, che già oggi non può prescindere dall’adozione di un approccio IAM strutturato, in grado cioè di garantire che l’intera catena su cui si snodano i processi continui di sviluppo e rilascio delle applicazioni sia regolata da pratiche sicure” dice Bergamo, che rimarca come anche in questo caso l’identity protection debba essere ritagliata su misura. “Quando si parla di team DevOps si fa riferimento a gruppi di sviluppatori che utilizzano pipeline parallele in modo agile, con ritmi di lavoro che per definizione procedono a sprint, e che proprio per queste caratteristiche impattano in modi molto differenti sulla distribuzione delle responsabilità e di task. Una forte gestione delle identità è dunque necessaria per stabilire chi può fare cosa e identificare di volta in volta cosa è stato fatto da chi, a cavallo delle diverse operations che governano processi, strumenti e rilasci”.
Anche, però, in ambiti decisamente meno complessi, come quelli ormai onnipresenti della collaboration e dello smart working, il tema della protezione delle identità è strategico, e richiede sforzi non indifferenti per individuare il sistema corretto di attribuzione dell’identità ai singoli utenti senza limitarne operatività e user experience. “Fino a pochi anni fa per difendere i perimetri della rete si provava a inibire l’utilizzo di alcuni tool e domini Internet” ricorda Bergamo. “Oggi per fortuna sono tutti più o meno consapevoli che – giusto per fare un esempio – vietare a chi lavora nel Marketing l’accesso ai social media dai device aziendali equivale a fare della paleoinformatica. Smart working, servizi mobile, collaboration e data sharing costituiscono la dorsale delle attività di business e non vanno limitate, bensì supportate. Come? Introducendo practice allo stato dell’arte sul piano tecnologico e assicurando da una parte che gli utenti che si muovono nel cloud e nel mondo esterno abbiano tutto l’occorrente per lavorare, dall’altra che i responsabili della cybersecurity dispongano di tutti i tool necessari a monitorare e verificare ogni accesso”.
Identity and Access Management: un’implementazione tutt’altro che semplice
I rischi che si corrono in assenza di un adeguato sistema di protezione delle identità, del resto, sono – o dovrebbero essere – a questo punto noti a tutti. Dall’iniezione di malware e spyware negli applicativi di uso quotidiano allo sfruttamento dell’autenticazione e delle autorizzazioni per attivare attacchi e iniziative malevoli, passando per l’esfiltrazione dati sensibili e arrivando alla compromissione dell’intero network aziendale, con l’indisponibilità di servizi e dati per gli utenti e per i clienti finali.
“Tuttavia sono ancora troppe le imprese che non hanno implementato piattaforme all’altezza della situazione” puntualizza Bergamo. “Non si tratta di cattiva volontà: l’identità digitale deve essere strutturata come un set di dati che permettano di identificare gli autori delle azioni e delle transazioni che avvengono all’interno dei sistemi aziendali, da gestire con strumenti forniti da identity provider che abbiano anche una serie di specializzazioni nell’ambito della cybersecurity”, ribadisce il manager. “Ed è per questo che lo sviluppo di soluzioni di Identity and Access Management richiede progetti molto complessi, che in carenza di figure con competenze tecniche avanzate sono difficili da affrontare. La cosa è ancor più vera se si comincia a considerare, in prospettiva, le possibilità offerte da piattaforme di identità digitale innestate sulla tecnologia blockchain, una prossima, possibile frontiera dell’identity protection”.
Maticmind e l’identity protection, un approccio integrato
In assenza di professionalità comprovate su queste metodologie, inoltre, i progetti rischiano di essere anche piuttosto lunghi, oltre che molto complessi. Specie all’interno di strutture ampie, infatti, la costruzione di percorsi coerenti e in grado di soddisfare le esigenze di tutti i gruppi di utenti richiede un lavoro di convergenza non indifferente. È tutt’altro che semplice mantenere la focalizzazione e il commitment sugli obiettivi di partenza quando in fieri bisogna gestire diversi sottoinsiemi di utenti più o meno privilegiati.
“Un’implementazione Big bang è d’altra parte sconsigliabile: meglio procedere con un allargamento graduale dei subset, estendendo pian piano i sottoinsiemi di utenze a partire da quelle che godono dei maggiori privilegi e stringendo via via le maglie del controllo” spiega Bergamo. “Per lo meno, questo è l’approccio che ha scelto Maticmind per costruire sistemi in grado di garantire una identity protection a prova di cloud. In questo momento, anche noi siamo nella fase di consolidamento delle competenze. Avendo creato un competence center dedicato al mondo cloud, lo sforzo ora è quello di mettere a fattor comune le competenze dei nostri architetti con quelle di personale tecnico che operi nativamente nell’ambito dello IAM cloud based. In Maticmind pensiamo che tutto ciò sia parte integrante del trust che il cloud computing debba offrire ai suoi fruitori, ed è per questo che vogliamo che gli architetti abbiano ben chiare le landing zone da attivare in funzione di una identity protection integrata, che diventa, dietro le quinte, il punto cardine di tutta l’esperienza utente. Anche se ciascun progetto viene co-gestito con i colleghi della parte cyber – chiosa Bergamo – non assimilerei in questo senso l’identity management ai temi della security, quanto a un vero e proprio processo end-to-end strettamente correlato ai servizi da consumare nelle diverse strutture”.
