La gestione delle identità ha una lunga storia, lunga quasi quanto l'IT stesso. La prima password è stata implementata da Fernando Corbato nei primi anni '1960 e questo concetto familiare è stato trasferito a Multics e poi a Unix. Tuttavia, le password da sole non sono più adeguate per la gestione delle identità: lo stesso Corbato le ha definite un "incubo" nel 2014. Proteggere le identità degli utenti, le password e le risorse di cui hanno bisogno per accedere è diventato ancora più difficile quest'anno con il Covid-19, che ha ha portato a un lavoro più remoto per la stragrande maggioranza delle aziende. Queste sfide hanno richiesto nuovi investimenti in sicurezza, privacy e strumenti di gestione delle identità. La gestione delle identità e degli accessi è stata una delle tre principali aree di spesa per le imprese e le piccole imprese nel 2020, secondo McKinsey. Dietro questa esigenza immediata, negli ultimi anni, le sfide relative al controllo dell'identità e degli accessi sono state un problema per molte aziende. Il Covid-19 ha costretto molte aziende ad affrontare questo problema perché non c'era modo di compromettere la sicurezza, ma il lavoro da remoto era troppo difficile. Informazioni sull'autore Greg Keller è CTO di JumpCloud La gestione del controllo degli accessi dalle tradizionali reti perimetrali, come quelle che si trovano nella maggior parte degli uffici fisici, è un prodotto familiare e una guida per i professionisti IT. All'improvviso non avere un "perimetro" presenta problemi di identità. La persona che sta cercando di autenticarsi a una risorsa da una posizione sconosciuta è davvero quella persona o un impostore? Come può essere successivamente verificato e approvato questo tentativo? È proprio qui che entrano in vigore i principi di sicurezza zero trust. Non fidarti di nulla, controlla tutto e infine assicurati che la persona giusta, con il giusto controllo degli accessi dalla posizione giusta e il dispositivo giusto possa accedere in modo sicuro a ciò di cui ha bisogno. Analizziamolo in alcune parti significative.
Identità: dal semplice al complesso
L'identità è al centro delle esigenze di autenticazione e autorizzazione aziendali. La gestione delle identità degli utenti è diventata più difficile nel tempo. In passato, l'identità era più semplice: tutti erano in rete e si collegavano dal proprio computer specifico. Il controllo di questo accesso tramite una directory (nella stragrande maggioranza dei casi, Microsoft Active Directory autentica centralmente specifiche workstation, server e applicazioni Microsoft) significava che ogni account utente poteva essere gestito centralmente. Oggi questo modello non è più rilevante. Le aziende utilizzano risorse e computer di diversi fornitori in molti luoghi diversi: Google, Apple, Amazon, Atlassian, Slack, ecc. Ciò che complica le cose è "come" lavorano i dipendenti. Come abbiamo sperimentato direttamente nella nostra vita, il Covid-19 ha costretto la maggior parte della forza lavoro a rimanere a casa ed essere il più produttiva possibile come se fosse in ufficio. È fondamentale assicurarsi che tutte queste risorse di cui sopra siano accessibili mentre lo si fa attraverso reti e dispositivi che l'azienda "conosce". Ad esempio, l'utilizzo del computer di casa per accedere rapidamente alla posta elettronica o ad altre risorse può essere utile, ma l'azienda può garantire che la macchina non sia compromessa? Possono davvero fidarsi di lui? Come notato sopra, anche la tecnologia che utilizziamo è più eterogenea. Invece di affidarsi a Microsoft per sistemi operativi, applicazioni e servizi, ci sono molti altri fornitori coinvolti nel supporto degli utenti. Uno stack comune per le startup tecnologiche e le piccole imprese è AWS per il cloud, Google per le app e Apple per i laptop, ad esempio. Tutti questi servizi devono essere riuniti e gestiti in modo efficace e solo quando le aziende raggiungono una certa dimensione prendono in considerazione l'utilizzo di una directory, in modo che ciascuna di queste risorse non abbia una propria identità e connessione. Man mano che le aziende crescono, devono gestire in modo efficace le identità degli utenti per risolvere queste sfide di unificazione di risorse eterogenee. E, come ormai sappiamo, i sistemi obsoleti e omogenei che gestiscono centralmente le risorse specifiche del fornitore non sono adatti alle esigenze della forza lavoro moderna. Invece, dobbiamo considerare come supportare il mix di diverse tecnologie, fornitori e modi di lavorare che esistono oggi.
Criteri di accesso condizionato
Oggi l'identità è ancora l'unica costante da considerare per la sicurezza. Se non possiamo essere sicuri che qualcuno sia chi dice di essere, non dovrebbe avere accesso alle app. Tuttavia, anche allora, non è così semplice. Invece, dobbiamo esaminare l'accesso condizionale basato su criteri di autenticazione e autorizzazione.
L'accesso condizionale descrive come definire le regole di accesso in base a contesti quali l'identità e le credenziali dell'utente, la posizione in cui viene tentata l'autenticazione e il dispositivo che effettua la richiesta. In passato avevamo forme di accesso condizionato, ma lo davamo per scontato. Abbiamo fatto affidamento sul controllo degli accessi fisici come condizione, perché se sei autorizzato ad entrare nell'edificio, puoi fornire la tua password e accedere al tuo PC. Oggi dobbiamo guardare alla posizione in modo diverso, considerando ancora una volta la differenza nel lavorare la forza lavoro globale.
L'impostazione di criteri che combinano varie forme di contesto comporta l'esame di quattro aree: Identità: la gestione di tutte le identità degli utenti dovrebbe essere il punto di partenza. Ciò include tutti i controlli e le revoche delle credenziali, la verifica a due fattori e i dati contestuali per garantire livelli di autorizzazione adeguati durante l'accesso alle risorse.
Le richieste di autenticazione di rete saranno basate sull'indirizzo IP e/o sulla posizione geografica da cui un utente tenta l'autenticazione. Ad esempio, il targeting di indirizzi IP o intervalli di indirizzi IP specifici può limitare il traffico verso le risorse solo da località che conosci o di cui ti fidi.
Il dispositivo: a seconda del tuo approccio, potresti voler limitare l'accesso ai dispositivi che la tua organizzazione conosce e di cui si fida piuttosto che fare affidamento sulla capacità degli utenti di elaborare da qualsiasi dispositivo. Fidarsi di dispositivi noti, come quelli che hanno la corretta configurazione di sicurezza e gli strumenti utilizzati per proteggerli, ti consente di essere più specifico nel tuo approccio e prevenire o consentire l'autenticazione in base a criteri e contesto.
Politica: dopo aver iniziato ad analizzare identità, rete e dispositivo, puoi iniziare a impostare le politiche. Queste politiche possono combinare le combinazioni delle prime tre aree come l'azienda ritiene opportuno. Indipendentemente dalle dimensioni della tua organizzazione, ci saranno diversi gruppi di utenti che richiedono diversi livelli di accesso e non è appropriato adottare un approccio "taglia unica". In queste circostanze, puoi impostare criteri per aggiungere ulteriore sicurezza o fattori di seconda verifica (MFA) secondo necessità.
L'applicazione delle politiche sulle condizioni è dove possiamo esercitare il massimo controllo su identità e accesso, ma dovremmo vederlo come un modo per supportare un lavoro più intelligente piuttosto che interromperlo. Ad esempio, possiamo guardare le condizioni di accesso che un utente può avere. Per alcuni ruoli e utenti, potremmo confermare le posizioni da cui gli utenti possono accedere alle applicazioni aziendali e potremmo interrompere l'accesso al di fuori di tali posizioni.
Per altri ruoli più mobili, potremmo utilizzare i dati sulla posizione insieme ad altri passaggi come l'autenticazione a più fattori e le specifiche del dispositivo per assicurarci che gli utenti siano chi dicono di essere. Alcuni membri del personale potrebbero essere più imprevedibili su dove dovranno lavorare in futuro, quindi il controllo degli accessi potrebbe essere più flessibile per loro.
Implementa Zero Trust
Zero Trust è un modello che segue l'approccio secondo cui non tutto ciò che tu e i tuoi utenti potete toccare è sicuro. Invece di fidarti che il tuo computer sia automaticamente sicuro, dovresti controllare tutto. Ciò include aree come identità, reti, dispositivi e applicazioni. Esaminando l'identità e impostando i criteri relativi all'accesso condizionato, puoi implementare più facilmente Zero Trust. Questo sarà importante a causa di alcune delle idee sbagliate secondo cui Zero Trust è più costoso da implementare. Come ha commentato Chase Cunningham di Forrester, "I responsabili IT e aziendali spesso pensano che sia troppo difficile e troppo costoso o che li costringa a riorganizzare tutto ciò che hanno creato o a implementare firewall di nuova generazione ovunque. Tuttavia, questo non lo fa". caso. Invece, Zero Trust può essere implementato in modo efficiente ed economico, consentendone l'utilizzo da parte di piccole imprese, organizzazioni e imprese. Osservando l'accesso condizionato, è possibile implementare un approccio zero trust e renderlo più semplice per gli utenti remoti lavorare allo stesso tempo.