Decine di keynote, molte delle quali varrebbero un proprio articolo, hanno affrontato le diverse sfaccettature dell’identità digitale e della governance & risk management nel corso della VI Identity Conference. Riportiamo gli elementi essenziali degli interventi più interessanti.
Tim Cole (Kuppinger Cole)si focalizza su privacy e data security, ricordando che gli Usa stanno recuperando sull’Europa con la National Strategy for Trusted Identities in Cyberspace (Nist) voluta dall’Amministrazione Obama, anche se l’adozione resta per ora su base volontaria. Il che mitiga almeno una delle questioni legali emergenti in Ue sulla protezione dati (Stewart Room, Fisher Waterhouse): l’informazione personale non può venir trasferita in Paesi terzi, il più probabile dei quali sono gli Usa. Servirebbe scegliere un Provider che si impegni a usare solo cloud data center Ue, con indirizzi Tcp/Ip regionali solo europei. Alla data si è fatta avanti solo Amazon, con un data center a Dublino.
Sugli standard open per identità e protezione dati nel mondo cloud (Laurent Liscia, Oasis), il paradosso apparente è che “non servono standard per il cloud, in cui emergono in fondo solo situazioni evolutive. Infatti il Comitato tecnico Oasis sull’Id Management in Cloud ha il ‘semplice’ compito di normare un sottoinsieme di quanto già architettato in generale sull’Id Management federato”.
Sul forte allineamento tra business e It indispensabile per processi di business sicuri interviene Wolfgang Hirsh (Siemens): nell’esperienza Siemens ciò che ha frenato l’uso di Internet è da sempre l’impatto diretto dei problemi di sicurezza It sul business, vissuto come rinuncia all’uso di un canale globale più competitivo. La chiave per un allineamento “core” è una governance in cui soluzioni di sicurezza It centriche diventino il backbone portante di una stretta connessione fra infrastruttura It, anche con cloud ibrido, e applicazioni business con i relativi Decision Support System strategici, tipo cruscotti di Compliance.
Trattando il tema di portare in cloud applicazioni enterprise: l’italiano Maurizio Griva (Reply), presenta esperienze di “integrazione avanzata tra infrastruttura on premise e cloud”: viene evidenziata la tematica di Sla appropriate perché si mette il controllo della performance (e servizi al business) in mani altrui”, nonché quella di un punto di equilibrio, da raggiungere misurando, a ogni passo avanti, Roi e “greeness”, contro riallocazione di risorse It e sicurezza.
Le sfide dell’enterprise Id (eId) e del cloud (Reinhard Posh, Governo Federale Austriaco): scontato che il futuro è l’uso ubiquo dell’identità personale sia a livello enterprise (eId), sia nel cloud, le sfide sono logging, auditing e autorizzazione con infrastruttura nel suo complesso a chiave pubblica (Pki). L’uovo di Colombo è che ogni approccio all’eId sia “compatibile cloud”. Hai detto niente. Secondo il Governo Federale Austriaco che sta pilotando esperienze avanzate in materia “serviranno aggiustamenti flessibili sia da parte eId che da parte cloud se si vuole un’accettabilità contrattuale, regolatoria, commerciale e tecnica”.
Chi ha fatto più centro di tutti è a nostro avviso Henk van der Heijden (nella foto), Vp Solution Sales Security Ca Technologies, con il messaggio forte del Risk based authentication and access control. L’Id Management deve poter contare su controlli sempre più sofisticati, consapevoli delle debolezze dell’utente finale (oltre il 50% di noi non sacrifica la comodità alla sicurezza, ad esempio usa sempre lo stesso user Id e password, lo dice Gartner). I controlli vanno integrati con un’architettura a 4 strati, basata sulla filosofia “mitigare il rischio business”, figura 1.
Figura 1 – Integrazione dei controlli di identità e accesso in unambiente cloud ibrido
(cliccare sull’immagine per visualizzarla correttamente)
Già il primo livello, “autenticazione invisibile”, ragiona su un mix di regole, profilo utente, locazione e profilo del dispositivo usato. È un “site minder” [un sito “sorvegliante, guardia del corpo” ndr] che tiene conto di tutti i contesti complementari utili e determina già che un 95% di transazioni non richiede altro, un 2% verificato per poi eventualmente intervenire e un 3% richiede il passaggio a livelli superiori.
Per scelte di sicurezza pragmaticamente Business driven
Con Tim Dunn (nella foto), Vp Security Europe, Ca Technologies, abbiamo modo discutere uno Studio condotto per conto dell’azienda dall’istituto di ricerca Ponemon sulla sicurezza dei cloud security provider, che sulla sicurezza degli ambienti cloud rivela divergenze di vedute e soprattutto di aspettative tra fornitori e fruitori. In generale i fornitori si impegnano a realizzare minori costi e tempi di dispiegamento. Meno della metà è convinta che la sicurezza informatica sia una questione prioritaria, e il 79% di loro vi stanzia meno del 10% delle risorse. Alla radice è illuminante lo “spread” di dove si pensa stia la responsabilità della sicurezza: tutta del fruitore, lo dice il 69% dei fornitori e ovviamente solo il 35% dei fruitori; la risposta giusta, quella dell’architettura federata [ossia il collegamento delle singole identità digitali in un’unica identità federata all’interno di un network condiviso, per esempio azienda e suoi partner ndr], la dà solo il 16% dei fornitori e il 33% dei fruitori. E d’altra parte tenere proprietà intellettuale (Ip) nella nuvola è troppo rischioso per il 68% degli utenti e solo per il 42% dei fornitori. “Le distonie si risolveranno con la maturazione del mercato” dice Dunn, ma per ora c’è tutto il potenziale per uno stallo. È il primo motivo per cui temiamo che proprio la sicurezza informatica sia l’as- a-service più travagliato.
Gli “Identity assurance framework” federati
Con cloud ibrido, l’Identity Management presuppone l’implementazione di un middleware di “Identity Assurance” da configurare ed accordare (quindi federare) con il corrispondente middleware del cloud provider per tutte le possibili combinazioni di accesso: dall’end user verso applicazioni on premise e, se del caso, di lì al cloud, oppure dirette ad applicazioni in cloud pubblico, e magari di lì a quelle on premise, se il dispositivo è mobile.
Ce lo spiega Matthew Gardener, Product Marketing Director di Ca Technologies: abbiamo visto nella keynote Oasis che il cloud ibrido è un caso particolare di sistemi federati, i quali si possono far carico di un Id Management unificato a patto che ciascuno disponga di Identity Assurance framework collaborativo. Magari a livello standard sarà concettualmente risolto, ma non certo è una passeggiata implementare framework ragionevolmente generali e nel contempo non ultrasofisticati da configurare. Il colloquio con Gardener è il secondo motivo a convincerci che il “Security as a Service” è certo nel futuro dei servizi cloud di valore business, ma, come si dice, non è fra i frutti “low-hanging” del cloud, bensì è su uno dei rami più alti.