L importanza della gestione delle identità in ambito aziendale

Transcript

1 L importanza della gestione delle identità in ambito aziendale Security Summit Verona 2011 Mauro Cicognini Clusit

2 Agenda Introduzione al tema - da dove nasce l esigenza Problemi legati all identità Identity Management Access Control Motivazioni Tecnologie Processi Coinvolgere l intera organizzazione Q&A 2

3 Da dove nasce l esigenza? La gestione delle identità è un tema molto antico Dopotutto il cavallo di Troia ha tremila anni Assume nuova rilevanza con l informatica ma soprattutto con le reti geografiche Con il crescere di mobile, cloud e virtualizzazione il problema si complica ulteriormente Picture by David Castor 3

4 Da dove vengono le Directory Nati come evoluzione degli elenchi del telefono, non ambivano più in là del fornire l indirizzo di Il primo standard è l ISO X.500, un DAP (Directory Access Protocol) IETF inventa un lightweight DAP: LDAP Difficile da implementare Soggetto a licenza d uso Mutuando molte idee da HTTP e SNMP l implementazione risulta più semplice Nessun onere di licenza L idea vincente è sempre Rough Consensus and Running Code Né X.500 né LDAP nascono per fare Controllo Accessi 4

5 Da dove viene il Controllo Accessi Nei primi computer il controllo era ovviamente solo per l accesso fisico alla macchina Era già necessario limitare l accesso alle istruzioni privilegiate Chi conosce la password di enable Il problema vero nasce con il Time Sharing, a metà degli anni 60 Diventa necessario identificare la persona In realtà si identifica sempre e soltanto un oggetto software Gli ambienti militari da tempo utilizzavano il sistema di clearance (riservato, riservatissimo, segreto, segretissimo, ecc.) Nei sistemi informatici si è presa generalmente la strada delle ACL Nel tempo sono nati altri metodi: sugli attributi, sui ruoli, ecc. 5

6 Che cos è l IdM Tendenzialmente un sistema di meta-directory LDAP ma non solo Nulla vieta che si presenti ad interlocutori diversi con interfacce diverse: SPML, ODBC, ecc. Oppure connettori proprietari Con l aggiunta di un workflow engine Per applicare automaticamente le policy dell organizzazione Per mappare più facilmente i dati presenti in una base dati a quelli presenti in un altra Per completare automaticamente dei dati in base a regole note Identity Management - Mauro Cicognini

7 Che cos è il Controllo Accessi Fasi classiche del Controllo Accessi: 1. Identificazione 2. Autenticazione 3. Autorizzazione 4. Tracciamento (Audit) Il C.A. protegge una o più specifiche risorse condivise Le fasi 1 e 2 si basano sulla presentazione di informazioni riservate (username/password) oppure sul possesso di oggetti fisici (smart card, chiavi USB, ecc.) od anche su caratteristiche fisiche del soggetto (biometria), ecc. La fase 3 è spesso in collaborazione con la risorsa oppure la Directory La fase 4 può anche avvenire tramite sistemi di Logging 7

8 Modelli di Access Control Discretionary Access Control (DAC) Il controllo accessi è a discrezione perché ciascun oggetto ha (anche implicitamente) un proprietario spesso coincidente con il suo creatore che può decidere a discrezione i privilegi di accesso all oggetto Mandatory Access Control (MAC) Il controllo accessi è obbligatorio perché è sottratto alla capacità decisionale degli utenti Poco utilizzato in ambito informatico Spesso implementato mediante etichette (LBAC) Il modello gerarchico utilizzato nella difesa è un MAC

9 DAC Il modello tradizionale UNIX è un DAC: ogni oggetto è un file, ogni file ha un owner, e l owner imposta arbitrariamente i diritti d accesso con una maschera a 9 bit L introduzione delle ACL POSIX complica il quadro, ma rimane un DAC Il modello ad ACL utilizzato su NTFS è pure un DAC, anche se meno conosciuta è la presenza dell owner L owner naturalmente esiste sempre, ma non è immediatamente visibile ed alcune regole di ereditarietà automatiche rendono poco intuitiva la sua determinazione L uso corretto del modello richiederebbe l assegnazione effettiva dell owner su ogni oggetto

10 MAC Il controllo è applicato dal sistema in modo automatico Generalmente tramite delle etichette di sicurezza collegate al subject (l ente che richiede accesso) ed all object (l oggetto acceduto) L accesso è consentito quando le etichette combaciano oppure esiste una regola che le mette in relazione In alternativa, le etichette possono anche essere desunte in modo automatico (ancora con delle regole) dagli attributi del subject e/o dell object Le regole possono essere molto semplici (sistema gerarchico No read up, no write down ) Possono essere anche assai complesse, come quando si implementa un sistema RBAC (Role Based Access Control) od una matrice RACI (Responsible, Accountable, Consulted, Informed)

11 IdM e Controllo Accessi Fare Identity Management non è la clic stessa Fate percosa che fare manutenzione dell elencomodificare utenti/password il Il sistema che fa Controllo Accessi spesso formato del viene testo confuso in larga misura con la risorsa protetta della struttura I due sistemi devono collaborare Secondo livello struttura Terzo livello struttura Quarto livello struttura

12 Quando serve IdM? Sistemi diversi Non riconducibili ad un solo paradigma Mantenere la distinzione tra principal e le (varie) utenze Se si fa confusione, ne esce il caos Se si gestisce, si ottiene maggiore efficienza ed efficacia risultati di business Consente di garantire che in ogni momento le persone abilitate sono quelle che devono esserlo Need to know Need to use Separation of Duties 12

13 Quando serve Access Control? Sempre: ci sono p.e. disposizioni di legge al riguardo La robustezza del Controllo Accessi sarà proporzionata al valore del bene da proteggere Si raccomanda di fare sempre riferimento alle Best Practices del settore: ISO 27000, CobiT, PCI-DSS, NIST

14 Uno sguardo ai processi Processi di Identity Management Ciclo di vita delle utenze Ciclo di vita delle risorse protette Ciclo di vita delle fonti autorevoli Processi di Role Management Gestione profili in organigramma Gestione profili autorizzativi delle applicazioni Processi di Access Control IAAA Ciclo di vita delle risorse protette Reportistica & Audit 14

15 Identity Intelligence Le identità servono a poco se non si sa cosa fanno La gestione puntuale non è praticabile Profili utente (detti anche Ruoli) Profili di business Legati a cosa fa la persona nell organizzazione: discendono da un ipotetico mansionario Da non confondere con il job title che più spesso rispecchia la figura professionale ( impiegato amministrativo piuttosto che venditore ) ed a volte un anzianità (quasi fosse un grado militare) Profili tecnologici Legati a cosa un utenza è abilitata a fare sull insieme dei sistemi ai quali è abilitata Ogni applicazione avrà un proprio specifico insieme di abilitazioni 15

16 Vantaggi per l organizzazione Mantenere la distinzione tra quali figure professionali servono nell organizzazione, con quali compiti e privilegi; e chi effettivamente fa parte dell organizzazione in un dato momento Concettualmente si separano le due fasi: Definizione dell organizzazione, fatta da posizioni con profili impersonali Role Management Riempimento di ciascuna posizione nel corso del tempo, con persone via via diverse Identity Management Consente di garantire nel tempo la corrispondenza tra i profili attivati e le necessità di sicurezza (Riservatezza, Integrità, Disponibilità) delle informazioni dell organizzazione Separazione dei ruoli (controllore/controllato): chi approva il pagamento non è la stessa persona che dispone il bonifico 16

17 Vantaggi per il business L integrazione tra IdM e sistemi di gestione può migliorare l efficienza dei processi di gestione e portare economie di lavoro Il miglioramento dei processi di sicurezza lato utente, con il miglioramento del Controllo Accessi, può invece aumentare la compliance e diminuire il rischio In alcuni casi può migliorare anche la user experience dando modalità meno complesse di accesso (p.e. Uso di tessere contactless rispetto alla digitazione manuale) È necessario tenere conto della posizione del tutto speciale che i prodotti di rete Microsoft hanno nella massima parte delle organizzazioni I client nelle aziende e nella PA usano al 99% Microsoft Windows: gli utenti di SO diversi sono quasi esclusivamente tra i privati o gli specialisti L interazione tra la persona e l informatica è quindi sostanzialmente mediata dal paradigma Microsoft Per quanto riguarda l identificazione (ed i passi successivi di autenticazione e di autorizzazione al profilo corretto) le funzioni a disposizione sono quelle implementate dalla libreria Microsoft GINA 17

18 Schema di interazione Directory Federata nc y S Gestione Manuale Access Control Sync Utenti Ric hie sta Sync IdM Fon te A p Re uto rev ol e or t Risorse protette HR Log Mgmt DB Human Resources Report 18

19 Lessons learned Il passaggio più difficile è generalmente quello di coinvolgere il resto dell organizzazione Come spesso succede, è indispensabile un mandato forte da parte del management Sicuramente una sponsorizzazione da parte di una funzione non-ict aiuta molto Spesso sono coinvolte altre strutture di staff Naturalmente il caso più semplice è quando la necessità parte dalle funzioni di business 19

20 Conclusioni Lo sforzo significativo è quasi sempre in questi ambiti: Integrazione con i processi aziendali Integrazione con ambienti poco friendly Ricostruzione dei ruoli (sia IT sia di business) Identificazione delle fonti autorevoli Quasi mai l investimento più significativo è in tecnologia La finestra minima realistica per ottenere risultati dal progetto sono circa due esercizi fiscali Chiave per il successo del progetto è la focalizzazione sugli obbiettivi aziendali 20

21 Link interessanti

22 Q&A 22

23 Grazie Mauro Cicognini 23