Autenticazione aaS e l’identità come nuovo perimetro (di M. Rottigni)

La frenesia e la voglia di nuvole non devono farci dimenticare l’importanza di una sicurezza sempre più a misura di utente nell’accesso a dati e servizi, di Marco Rottigni

Prefazione: Sono contento di ospitare Marco nel mio blog. Quello che ammiro di lui e’ non solo la competenza tecnica, ma il modo con cui riesce a trasmettere. — Gippa

Oramai la nuvola ha assunto forme e connotazioni di ogni tipo.  Flettendosi, adattandosi, rinnovandosi attorno al magico concetto di un nuovo modo di fare IT. Più pervasivo, economico, onnipresente, accessibile, semplice, bello e risparmioso. Ci sono i soffici e fioccosi altocumuli, fatti a misura di utente con soluzioni personali di storage. Oppure i cirrocumuli, lunghi e filamentosi strati che abbracciano nuvole aziendali private che si estendono, ibridandosi, verso servizi condivisi di CRM e condivisione documentale offerti da nuvole pubbliche. Oppure ancora gli strati, basi di formazioni nuvolose consistenti e solite coprire vaste porzioni di cielo: piattaforme di elaborazione più o meno general purpose, per trasporre vere e proprie porzioni di IT aziendale, quello fatto di server, nella nuvola.

Purtroppo l’IT non brilla per poesia, preferendo ad essa acronimi freddi e spesso devianti. Ecco che le metafore di cui parlavo diventano asettici *aaS. Dove all’asterisco si sostituisce I per infrastruttura, P per piattaforma, S per software… e via così, mentre la tripletta a suffisso viene estesa in “as a Service”. Ad indicare il metodo con cui la prima componente viene offerta: a noleggio operativo. Cioè manutenuta e fruibile, di solito a fronte di un canone. Continuando nella “meteo-fora” a me cara, è importante fare attenzione a nembostrati e cumulonembi. Perchè portano instabilità atmosferica nel sistema nuvoloso. E questi si formano quando la sicurezza nel cloud è un afterthought, cioè un fattore pensato successivamente (o peggio, tralasciato) alla pianificazione e adozione del cloud come modello di IT.

Nella migrazione al cloud il perimetro aziendale si estende fuori dai muri, flettendosi grazie alla Rete verso un modo potenzialmente più pericoloso e meno sicuro. Come difenderlo? Prima di rispondere a questa domanda è necessario domandarci quale è il nuovo perimetro. In una situazione dove i servizi cruciali per l’azienda di delocalizzano, dove i dati si deduplicano, replicano, spostano. Dove gli utenti telelavorano, mobilavorano, con dispositivi spesso avulsi da ogni controllo aziendale. Ecco che il nuovo perimetro si restringe a circondare l’utente, la sua identità, le sue credenziali e il livello di fiducia che merita in base al contesto in cui opera. Ed è questo nuovo perimetro da difendere controllo i mille pericoli di furti di identità, di impersonazione, di privilegi a cui il nuovo perimetro è soggetto.

Concetti questi molto chiari a GARL, azienda che parte da un assunto di base estremamente importante e garante di serietà: l’identità è un valore, da custodire e proteggere come un tesoro. E quale miglior posto per un tesoro se non una banca? E con la cura maniacale per i crismi di sicurezza tipici di un’entità elvetica, GARL crea SecurePass: un servizio di AaaS. Dove A sta per Autenticazione. Forti di un CTO con una competenza tecnologica ed una visione tecnologica complete e poliedriche, SecurePass riassume la sua missione in due parole che stanno appena sotto il logo nella loro homepage: Protecting Identities.

Quello che stupisce è un modello di assoluta flessibilità ed integrazione. Costruita su solide basi tecnologiche ed opensource, poggia su principi di sicurezza di notevole resilienza e forza. Regalando all’utente un’esperienza di semplicità d’uso, di gestione e di integrazione davvero difficili da trovare insieme. In una soluzione che elimina il termine CAPEX, in favore di un OPEX alla portata di ogni tipologia di azienda.

Quando parliamo di identità sono di fatto trei princìpi e le tecnologie fondanti: autenticazione, fattore genetico del protocollo RADIUS; gestione, elemento fondante del protocollo LDAP; single sign-on, cioè gestione di credenziali per login multipli protette e riutilizzabili. Qui i protocolli sono più d’uno, sebbene il protocollo di ispirazione classica sia Kerberos. GARL orchestra questi tre elementi sapientemente, permettendo all’utente di immergersi completamente nel paradigma Bring Your Own Device (BYOD). Dove BYOD significa usare il dispositivo che si preferisce per autenticarsi, gratuito o meno, hardware o meno, già in proprio possesso o meno.

Significa integrare la propria applicazione con sistemi di autenticazione forte, garantiti da password che si usano una volta sola, che dopo una manciata di secondi non servono più a niente e a nessuno. Significa gestire i propri account con un’interfaccia semplice, flessibile e a misura di utente e non di genio plurilaureato esperto di programmazione quantica. Un sistema pensato per gli utenti da chi utente lo è stato e lo è in mille occasioni e scenari. Dove la decisione è di mettere esperienza e competenze al servizio della semplicità d’uso e di integrazione. E non importa se state mettendo in sicurezza il blog dove gli impiegati possono vedere il menu del giorno della mensa aziendale e decidere se rientrare per pranzo o visitare l’ennesimo cliente; oppure se il vostro scopo è proteggere e unificare gli accessi ai documenti di progettazione di sofisticati modelli di aeroplani stealth per il vostro cliente militare.

La soluzione offerta da GARL non solo è in grado di soddisfare entrambe le esigenze, ma lo fa in un modo che genera una piacevole sensazione di appagamento nel responsabile di progetto che si riassume nel pensiero: beh, è stato facile!

— Marco Rottigni  (a.k.a.RoarinPenguin)