Nel contesto di un Enterprise IT che diviene sempre più complesso con l’andare del tempo, il fondamento della sicurezza moderna consiste nell’IAM, acronimo per Identity and Access Management. Fornire una definizione di IAM non è semplicissimo, poiché da più parti si fa notare quanto essa sia una disciplina più che un insieme di tool; è dunque un mix di tecnologie, criteri e procedure che le aziende pongono in essere per proteggere l’accesso ai propri dati e alle proprie applicazioni da chi non è autorizzato a farlo. Con le soluzioni di Identity and Access Management, le aziende si assicurano che solo i soggetti “giusti” abbiano accesso alle risorse che sono centrali per svolgere le proprie mansioni.
Il tema del controllo e della gestione degli accessi è in perenne divenire e negli ultimi anni ha subito una brusca accelerazione. I motivi sono intuibili, in quanto conseguenza della forte evoluzione tecnologica che ha cambiato, per molte aziende, il modo stesso in cui si lavora e si sviluppa il business. Innanzitutto, ciò dipende dall’impiego sempre più pervasivo di dispositivi mobile secondo il modello BYOD (Bring Your Own Device), ma anche dall’utilizzo di un numero sempre crescente di applicazioni aziendali, alcune delle quali ancora “protette” dai confini del perimetro dell’azienda ma ormai surclassate, almeno nel numero, dai workload residenti in cloud. Questo, che di per sé sarebbe sufficiente per rendere inadeguati i tradizionali sistemi di protezione perimetrale, si somma a un altro punto centrale: la revisione del significato stesso di utente, che sta superando i confini dell’individuo in carne ed ossa andando ad abbracciare tutto l’ecosistema degli oggetti connessi, dei chatbot e degli strumenti di automazione. Inoltre, scenari modern di lavoro e collaborazione impongono che anche i collaboratori esterni, i partner e i fornitori possano usufruire di un accesso alle risorse aziendali, estendendo ulteriormente la superficie da monitorare.
Nonostante la profonda accelerazione di cui sopra, le finalità dei tool di Identity & Access Management restano le stesse: le aziende ne hanno bisogno per definire in modo granulare chi è abilitato ad accedere e a quali dati, ma anche per il tracciamento di tutte le sue attività, una funzione importante ai fini della compliance normativa e per intraprendere concretamente il cammino verso la sicurezza zero-trust, che è fondamentale per tutte le aziende che, poco alla volta, si svincolano dal modelli locali. Le due anime di tale attività sono dunque la massima sicurezza per l’azienda e l’ottimizzazione della user experience: esse si ottengono con strumenti come il single sign on e con la disponibilità di piattaforme e tool centralizzati capaci di gestire tutto lo user lifecycle. Questa è precisamente la finalità degli strumenti di Identity and Access Management.
Le caratteristiche dei software di Identity and Access Management
Le soluzioni di Identity & Access Management hanno dunque come scopo la gestione centralizzata delle identità digitali. Un concetto fondamentale, cui peraltro si è già fatto cenno, è la cosiddetta gestione end-to-end dello user lifecyle: in termini pratici, ciò significa che le piattaforme IAM centralizzano il provisioning, la gestione e il de-provisioning degli account degli utenti in relazione alle directory aziendali e alle singole applicazioni usate dall’azienda, oltre a definire ruoli e autorizzazioni.
Pur con tutte le differenze tra una soluzione e l’altra, solitamente una piattaforma IAM consta di un motore di automazione, un tool per la gestione dei ruoli e una piattaforma SSO (Single Sign-On) che funge da unico punto d’accesso per l’autenticazione. Il primo componente ‘dialoga’ con il sistema di gestione delle risorse (Active Directory, per esempio) e il parco applicativo usato dall’azienda, sia on-premise che SaaS, sincronizzando i dati delle identità a partire da sorgenti quali l’elenco del personale, dei collaboratori, dei clienti ecc, mentre il secondo associa le identità a ruoli specifici e gestisce le autorizzazioni per ognuno di essi all’interno dei sistemi e delle applicazioni.
I benefici si manifestano sia in termini di semplificazione nella gestione degli account, con relativa riduzione dei costi, sia in termini di maggiore sicurezza ed evidenti vantaggi in ambito di esperienza utente. La forte riduzione nel numero delle credenziali necessarie per accedere ai sistemi e alle applicazioni è infatti una grossa comodità per l’utente, ma anche una garanzia di maggiore sicurezza per i dati dell’organizzazione e di compliance normativa, grazie alla possibilità di centralizzare in un unico punto tutti gli strumenti di protezione delle credenziali. Inoltre, è possibile implementare – anzi, è fortemente consigliato o obbligatorio – soluzioni che vadano ben al di là dalla tradizionale accoppiata username e password, affidandosi a meccanismi di accesso basati su dati biometrici o a schemi di strong authentication come la generazione di codici OTP. Infine, tra i benefici delle soluzioni IAM c’è l’acquisizione di informazioni utili sull’impiego delle applicazioni e dei dati, informazioni che possono essere centrali non solo ai fini della sicurezza in senso stretto ma anche per comprendere i modelli di utilizzo dei dati e delle applicazioni stesse (si pensi a un sistema aperto ai clienti, per esempio).
Le funzionalità tipiche dei software di IAM
Come anticipato, le soluzioni IAM disponibili sul mercato sono molte. Alcune di esse potrebbero essere definiti come tool stand alone di Identity & Access Management, installabili nei data center dell’azienda o in cloud, mentre altri integrano IAM all’interno di più ampie soluzioni di sicurezza aziendale. In ogni caso, Identity & Access Management è un insieme di servizi, tra i quali i seguenti:
- Account Management
Oltre alla creazione dei profili degli utenti, ad essi vengono associati ruoli che, a loro volta, portano a privilegi d’accesso. Gli account vengono poi continuamente monitorati per salvaguardare la sicurezza e la compliance normativa dei sistemi.
- Lifecycle Management
Con tale espressione di intente la gestione dell’interno ciclo di vita dell’account utente che accede e interagisce con le risorse aziendali. Le piattaforme IAM semplificano provisioning, gestione e de-provisioning degli account da un’unica postazione centralizzata.
- Analisi comportamento
Elemento di spicco in una soluzione di sicurezza, il monitoraggio dell’attività dell’utente è essenziale al fine di rilevare attività contrarie alle policy, ma anche comportamenti anomali, che potrebbero essere sintomi di furto dell’account.
- Single Sign On e protocolli di autenticazione
Single Sign On permette una sola autenticazione per l’accesso a diversi sistemi e applicazioni, mentre il MultiFactor Authentication è un sistema che miscela più fattori di autenticazione (per esempio username/password e codice OTP) al fine di rafforzarne la sicurezza.
Le 5 soluzioni top
Okta
Okta Identity Cloud
Definita dal vendor come “piattaforma neutrale e indipendente” atta a collegare persone e tecnologie al momento giusto, la soluzione multi-tenant Okta è universalmente riconosciuta come uno dei leader di questo mercato. La piattaforma IDaaS (Identity as a service), si compone di svariati servizi quali Single Sign-On, servizi di directory centralizzati, provisioning, gestione workflow e funzionalità di reporting. La Identity Cloud di Okta si compone di due macro-categorie, indirizzate rispettivamente alla Workforce e ai Customer: ognuna di esse consta di moduli ad hoc. Per quanto riguarda il primo, troviamo: Single Sign-On, Adaptive Multi-factor Authentication, Lifecycle Management, Universal Directory, API Access Management, Advanced Server Access e Access Gateway. Le soluzioni Okta sono universalmente apprezzate per la semplicità d’uso e di implementazione, nonché per un’ottima completezza funzionale e una customer experience di alto livello.
- Estrema scalabilità del modello IDaaS
- Single Sign On
- Policy di accesso contestuali
- Customer Experience
- Semplicità d’uso e di deployment
Microsoft
Azure Active Directory
Microsoft offre Azure Active Directory come servizio SaaS (IDaaS) per la protezione e gestione delle identità. La piattaforma offre fornisce il servizio d’accesso in modalità Single Sign On e supporta appieno la Multi Factor Authentication per la protezione dagli attacchi; inoltre, Azure AD offre 2.800 applicazioni SaaS pre-integrate, oltre ovviamente alla possibilità di scrivere integrazioni ad hoc tramite gli strumenti di sviluppo. Azure Active Directory permette quindi l’automazione dei flussi di lavoro legati al ciclo di vita e al provisioning degli utenti. Secondo gli analisti, Azure AD offre un’ampia varietà di strumenti, nonché un motore robusto per l’autenticazione adattiva e contestuale. Per la definizione del livello di rischio connesso ad ogni attività, Azure AD può avvalersi dell’Intelligent Security Graph di Microsoft.
- Single Sign On
- 2800 applicazioni SaaS pre-integrate
- Accesso condizionale e Multi-Factor Authentication
- Unica piattaforma di gestione delle identità
- Azure AD gestisce più di 8 miliardi di autenticazioni al giorno
IBM
IBM Cloud Identity
IBM è entrata nel mercato delle soluzioni IDaaS nel 2014 e ha consolidato progressivamente la propria posizione, ora stabilmente nell’area dei leader del Magic Quadrant Gartner. IBM Cloud Identity è dunque una piattaforma consolidata di Identity and Access Management con funzionalità Single Sign-On, autenticazione multi-fattore e “governance dell’identità distribuiti tramite cloud”. Tra le sue funzionalità degne di menzione, migliaia di connettori già disponibili per applicazioni SaaS e modelli pre-costituiti per l’integrazione di app interne, nonché la gestione e la conformità dell’intero ciclo di vita dell’utente.
- Accesso SSO (Single Sign-On)
- Migliaia di connettori pre-costituiti
- Supporto per autenticazione multi fattore (MFA)
- Gestione completa del ciclo di vita dell’utente
- Integrazione con IBM Security Access Manager
Ping Identity
Intelligent Identity Platform
Inclusa tra i leader del Quadrante Magico di Gartner, Ping Identity offre diversi strumenti di Access Management che vanno a comporre la Intelligent Identity Platform. Questa, pensata per implementazioni ibride, vuole permettere ad utenti e dispositivi di accedere in modalità rapida e sicura a tutti i servizi, applicazioni e API: la piattaforma può essere implementata on-premises, in cloud o in entrambi gli ambienti. Per esempio, la soluzione IDaaS si compone dei moduli PingOne for Enterprise, PingID e il più recente PingOne for Customers. Gli analisti sottolineano il fatto che la soluzione SaaS offre qualche funzionalità in meno rispetto al pacchetto software composto da PingFederate, PingAccess ecc, ma evidenziano anche l’efficacia del motore di autenticazione contestuale, nonché le elevate capacità di protezione delle API basate sul machine learning.
- Multi factor Authentication & Single Sign-On
- Intelligent API Security con Machine Learning
- Intelligenza Artificiale per rilevazione di attività sospette
- Supporto per svariati identity use case on-premises e in cloud
- Supporto diverse modalità di autenticazione
ForgeRock
ForgeRock Identity Platform
La soluzione ForgeRock, società che si occupa di Access Management dal 2010, è una piattaforma composta da diversi moduli, che possono essere impiegati anche singolarmente: tra questi, ForgeRock Access Management, ForgeRock Directory e ForgeRock Customer Experience. Recentemente (11/2019), l’azienda ha aggiunto alla sua proposta la piattaforma ForgeRock Identity Cloud, comprensiva di due prodotti: ForgeRock Identity Platform as a Service, ovvero la soluzione IDaaS, e ForgeRock Identity Cloud Express. In questo modo l’azienda ha colmato il suo principale limite, ovvero l’assenza di una proposta cloud usufruibile in modalità “as a service”. Le funzionalità della piattaforma comprendono, tra l’altro, identity and access management, governance, strong authentication, intelligent authentication, identity gateway, directory services e edge security. Gli analisti riconoscono alla piattaforma ForgeRock non solo completezza funzionale, semplicità di implementazione e uso, ma una particolare “forza” in ambito IoT, che rappresenta una peculiarità dell’azienda e della soluzione.
- Sicurezza, compliance e privacy per tutte le identità (clienti, cose e workforce) e gli use case
- Principali funzionalità: identity & access management, user-managed access, directory services, edge security, identity gateway
- Disponibile come software o servizio IDaaS
- Semplicità di implementazione
- Supporto per use case IoT