Identità come servizio e sicurezza

236

Gli ultimi mesi sono stati fondamentali per l’evoluzione delle tecniche di Enterprise Identity. Nuovi standard e tendenze stanno trasformando questa sempre più fondamentale applicazione dell’It delle aziende orientate al cloud. Un progresso reso necessario dall’emergenza sicurezza legata alla consumerizzazione.

Lo scorso anno è stato ricco di novità nel campo dell’Enterprise Identity, alcune positive, altre negative. Sul versante positivo è da registrare il progresso della cloud identity, che conquista un mercato che sta sempre più maturando. Si è assistito anche all’adozione di un buon numero di specifiche e standard, e questo è un aspetto critico per la maturità del settore, perché se siete un cloud service provider (ad esempio un vendor di Software as a Service) e non ci sono standard, questi vanno “inventati” e adottati. Con l’esplosione dei servizi cloud l’assenza di standard consolidati si tradurrebbe in un disastro.

Uno standard emergente sviluppato per semplificare e standardizzare il provisioning di applicazioni cloud-based è il cosiddetto System for Cross-domain Identity Management (SCIM). Questo standard è passato dallo stadio di semplici specifiche a quello di normativa IETF, cambiando anche il nome rispetto all’originario “Simple Cloud Identity Management.”

Un altro step importante sulla strada dell’autenticazione e dell’autorizzazione è la rapida adozione di OAuth 2.0, un metodo per la sicurezza di tipo token che sta rapidamente diventando lo standard de facto per la autenticazione delle app mobile fino ai servizi cloud come Google. Se avete provato una app Twitter sul vostro device, vi sarete avvalsi di questo standard, potente ma purtroppo complicato. Come risultato si stanno affermando da parte dei vendor diversi modi di usare OAuth 2.0. Per esempio OpenID Connect si è affermato come un protocollo di identità semplice che facilita la fornitura dell’identity management usando appunto OAuth 2.0. Anzi è stata la ragione principale del successo di questo standard. Tanto per non creare ulteriore confusione Facebook ha sviluppato il suo protocollo di autenticazione denominato Facebook Connect. La ragione? FB vuole poter fornire una maggiore quantità di informazioni social media ai suoi partner di quanto non faccia OAuth con OpenID Connect.

A livello macroscopico l’Identity as a Service è diventato un approccio ormai largamente praticato. Una volta idea bizzarra, il concetto di dare in outsourcing connessioni e sistema informativo a provider di servizi cloud è molto cresciuto in popolarità così come il numero di fornitori SaaS. Da qui lo sviluppo anche dei servizi IDaaS come un metodo semplice, veloce e in genere cost-effective di mantenere quello che Gartner chiama un identity bridge tra l’azienda e il cloud. Tanto che il mercato IDaaS si è molto popolato, con l’ingresso in campo anche di grossi vendor come Microsoft e Salesforce.com oltre a newcomer come Intel.

 

Nuovi standard e vecchi protocolli

Dall’ultimo Cloud Identity Summit, inoltre, arrivano indicazioni di un crescente interesse verso la cloud identity: cose usarla è uno dei temi più dibattuti. In occasione di questo evento un esperto del settore, Craig Burton, ha dichiarato che il Security Assertion Markup Language (SAML), il protocollo fino a oggi dominante l’area dell’autenticazione, è morto, nel senso che i nuovi protocolli lo stanno sempre più relegando in un angolo.

Si è mosso anche il governo americano per accelerare l’attività attraverso la National Strategy for Trusted Identities in Cyberspace (NSTIC), una iniziativa privata ma sponsorizzata dal governo americano per creare un ecosistema o marketplace dei provider di servizi security e di trusted identity, abbracciata da già da alcuni importanti player dell’industria privata.

La necessità di maggiore sicurezza è da ricondurre essenzialmente al drammatico incremento nel numero di device mobile. Nel solo mese di settembre 2012  il Ceo di Apple, Tim Cook, ha annunciato la vendita di ben 400 milioni di device iOS, con una media di oltre 100 app per ogni dispositivo. La maggior parte di queste app ha un back end basato sulle nuvole, che richiede la autenticazione dell’utente del device mobile. La relazione one-to-many tra device mobile e le loro app – destinate a crescere ogni giorno a migliaia se non decine di migliaia- sottolinea la centralità della identità in ogni cosa che facciamo. Cinque anni fa la maggior parte di noi non doveva autenticarsi anche per sentire musica in casa.

 

Poca sicurezza con la consumerizzazione

Sul fronte consumer, gli utenti stanno sempre più familiarizzando con il sign-on unificato usando Facebook, Google, Microsoft e gli identity provider per semplificare l’accesso ai loro servizi web. L’autenticazione a due step (password e codice dello smartphone) sta acquisendo popolarità, grazie alla ubiquità  dei telefoni portatili e al supporto di player come Facebook e Google.

Naturalmente non mancano le notizie negative, anche rilevanti. Un primo caso: gli ID e le password di 100mila utenti IEEE sarebbero stati lasciati in semplici file di testo su un server FTP per un mese prima che venissero scoperti accidentalmente. Secondo caso: 453.491 tra indirizzi email e password in plain text sono stati rubati da Yahoo! Voices. Un analista di una società scandinava di sicurezza ha scoperto che le quattro password più usate erano 123456, password, welcome e ninja. Terzo caso, e probabilmente il maggiore furto di identità dell’anno, riguarda Linkedin a cui sono state sottratte 6,5 milioni di password. In Francia casualmente un cittadino ha infranto la sicurezza della Banca Centrale francese con il telefono semplicemente inserendo la password 123456, quando sollecitato da un sistema automatico.

Al di la della litania di casi citati, il bisogno di sicurezza e di una gestione della identità scalabile è notevole e va oltre le lentezza con cui si adottano standard e protocolli. Quando si guarda a tutti i nodi della rete – aziende e loro dipendenti, device mobile, service provider r e consumatori – e a tutti i modi in cui questi nodi possono essere connessi l’un l’altro, è chiaro che l’identity management come professione richiede di porsi in avanti rispetto alle problematiche oggi sul tavolo e al modo in cui avanzano.