Dalla sicurezza generica al Single sign-on, ai servizi di directory e alle identità federate. Ecco gli elementi da sapere per affrontare l’argomento su palmari, portatili, desktop e server
Nel mondo digitale, la tecnologia si modifica incessantemente, in modo
tanto caotico che a volte è del tutto imprevedibile.
La legislazione e le
regolamentazioni, a loro volta complesse in ambito nazionale e male amalgamate
nella globalizzazione internazionale, fluttuano in maniera ancora meno
prevedibile.
Queste irregolarità di comportamento
diventano ancora più marcate quando vanno applicate ad un settore nel quale il
risultato non viene misurato, bensì percepito soggettivamente.
La sicurezza ICT, in tutti i suoi aspetti, fa parte proprio di questo ambito.
La gestione dell’identità, in particolare, risente di una
situazione internazionale che ci fa sentire in balia degli eventi.
Dai consueti ladri d’identità parziale o totale, agli attacchi a server con dati bancari, all’accesso a dati estremamente riservati, in un periodo di ben altra incertezza mondiale hanno un effetto devastante sulla sicurezza percepita dai singoli, dalle istituzioni e dalle aziende.
Ecco che nasce la necessità dell’identity management: supportare servizi ed applicazioni raggiungibili in rete. L’approccio è tanto generale da dover essere considerato, almeno in prima istanza, da aziende di qualsiasi dimensione.
Le domande che è corretto farsi per la gestione delle identità sono del tutto simili, in prima istanza, a quelle normalmente impiegate per la sicurezza in termini più generali, e a ben vedere già contenute anche nel Testo Unico italiano, la legge 196/2003.
Quanto è
sicura l’infrastruttura da attacchi esterni o interni?
In particolare, i
dati delle transazioni più importanti sono sicuri? Come reagirebbe l’azienda ad
un’improvvisa falla?
C’è un piano di sicurezza complessivo, e lo stiamo
migliorando nel tempo?
Abbiamo valutato correttamente costi e benefici di ciascun passo del piano?
Rispondere correttamente a ciascuna domanda dona sicurezza, ma a costi e rigidità progressivamente crescenti e in generale con tempi di risposta che progressivamente si allungano.
Tecnicamente parlando, l’identity management comprende tutti gli elementi che partono dall’inserimento della password di accesso fino al completamento della sessione di lavoro. Una prima attenzione riguarda l’hardware di accesso, tipicamente la semplice tastiera del pc.
L’approccio dei dispositivi tascabili
Molto più adatti sono i sistemi alla base dei dispositivi cellulari. La sicurezza è maggiore grazie alla Sim Card, che ingloba un doppio sistema di autenticazione legato ai codici “pin” e “puk”. A ciò bisogna aggiungere che il numero Imei, disponibile in rete e sui database del servizio, risulta molto più utile di analoghe soluzioni nei desktop, come il numero di serie dei microprocessori. Ovviamente i cellulari e gli smart phone sono parte fondamentale di un sistema complessivo, e come tali vanno considerati, anche se aggiungono complessità.
Tornando al discorso generale, la sicurezza dell’accesso sarebbe aumentata di molto dall’impiego di dispositivi biometrici per la scansione del pollice o dell’iride, da tempo disponibili su tutti i tipi di dispositivo, palmari compresi. Nonostante vari tentativi, per lo più mediatici, il ricorso a queste soluzioni è ancora nullo.
Un unico accesso per utente
L’accesso ai sistemi informatici prevede in generale un elevato numero di diverse coppie utente/password, generate in modi diversi a seconda dell’editore di software, dalle sottoregole dell’amministratore di sistema e dalle specifiche regolazioni nazionali, tra le quali il Testo Unico attualmente in vigore in Italia, che suggerisce le sue regolette.
Maggiore è il numero di password, minore è la possibilità dell’utente di ricordarle senza l’aiuto di foglietti o altri memo facilmente accessibili anche dai malintenzionati di passaggio. Per ridurre questo problema, da tempo si adottano soluzioni di accesso unico al sistema, il Single Sign-On.
Nell’Sso, un server gestisce tutte le password di un unico utente che si registri nella sua lista; ad ogni tentativo di accesso a sistemi protetti da altra coppia utente/password, il server Sso provvederà ad autenticare l’utente senza che questi si accorga di nulla.
Le specifiche password, però, continuano ad esistere.
Identità federate
Una volta entrati nel sistema, la situazione si complica. Oggi, infatti, viviamo senza accorgercene in un ambiente che eroga servizi a partire da molteplici sistemi operativi e svariate applicazioni, ciascuna con la sua coppia utente/password, ma anche con più complesse procedure di autenticazione. Va poi considerato che gran parte dei sistemi si scambia informazioni in automatico, grazie alla compatibilità dell’approccio machine-to-machine e ai linguaggi di marcatura tipo XML.
Ecco perché i sistemi di gestione di queste informazioni hanno svariate componenti: directory (Ldap, X.500 completa, Dsml), autenticazione (Pap, Chap, Radius; Eap), normative (Sox, Hipaa e Glba sono quelle più “gettonate” negli States) e sistemi machine-to-machine (generico XML, Saml e continui aggiornamenti). Un approccio che tenta di semplificare il puzzle è la “Federazione”, nome generico che semplifica la vita all’utente ma soprattutto all’amministratore di sistema.
Inoltre un sistema di gestione di directory o una soluzione federata sono spesso integrati con le specifiche soluzioni di sicurezza e continuità di servizio, per fornire un sistema sicuro e disponibile in qualsiasi circostanza.
Ogni grande editore di software di sistema o applicativo ha una sua soluzione a questo problema. IBM, Sun, HP, Novell giusto per fare qualche nome, ma ovviamente anche il mondo Linux è ricco di proposte.
Un buon punto di partenza per le aziende può essere un
software disponibile per il download gratuito. Tra queste soluzioni si sta
parlando molto di Ping (www.pingidentity.com), nella quale investono, tra gli
altri, Nokia e Sap, aziende le cui necessità sono agli antipodi.
Quale migliore garanzia di completezza si può chiedere?
