Tra le principali preoccupazioni del settore enterprise vi è l’analisi dei modelli di controllo degli accessi, relativamente alle tecnologie Cloud. Questo succede perché le strutture attuali prevedono spesso la distribuzione multi-cloud delle applicazioni, quindi allocate su più provider e spesso dislocate in diverse aree geografiche. Ne consegue quindi la presenza di vincoli normativi di diversa natura e differenti modelli di autorizzazione. Come fare per trovare soluzioni ideali per il controllo degli accessi? Ne parliamo in questo articolo di Open Source.
I vantaggi e i problemi del Cloud
È innegabile che il Cloud abbia portato innumerevoli vantaggi al settore enterprise, indipendentemente dalla problematica relativa al controllo degli accessi. In primis la scalabilità, ovvero la possibilità di gestire le risorse nella misura di cui necessita il cliente. In seconda battuta la facilità di accesso alle risorse, che il Cloud rende possibile in ogni momento, da ogni posizione e da qualsiasi dispositivo. Da non dimenticare poi l’elevata misurabilità delle risorse stesse, molto importante per garantire l’ottimizzazione di tutti i processi. Questi sono alcuni dei benefici che il Cloud ha portato a livello industriale, ben certificati dall’incremento dell’adozione di questa tecnologia nelle PMI italiane (aumento del 42% dal 2019 al 2020 secondo l’Osservatorio Cloud Transformation).
Come ogni rivoluzione anche la crescita delle soluzioni Cloud porta con sé alcuni effetti collaterali che il mondo industriale deve rapidamente risolvere per ottimizzare i benefici di questa tecnologia. L’aspetto normativo e legale, non sempre chiaro e condiviso tra diverse legislature, è uno degli ostacoli principali. Così come la mancanza di standard definiti per l’integrazione tra public, private e hybrid cloud. Per non parlare della problematica centrale in questo articolo: le politiche per il controllo degli accessi e di autenticazione.
Controllo degli accessi e Multi-Cloud: focus sul problema
Il problema del controllo degli accessi si palesa in modo evidente quando le aziende si affidano a soluzioni multi-cloud. Il multi-cloud, è bene sottolinearlo, è un’opportunità di crescita importante per il settore enterprise. Permette di creare un ambiente nel quale convergono più servizi cloud, sia pubblici che privati, con fornitori completamente indipendenti tra loro. Chi adotta soluzioni multi-cloud lo fa per ottenere vantaggi economici (la concorrenza tra più provider di Cloud diminuisce i costi del servizio), per migliorare la risposta ad eventuali guasti o eventi catastrofici (più sono i tecnici dislocati nel mondo, più è facile ottenere rapida assistenza) e per rispettare i vincoli legali di ogni nazione (per una filiale in un determinata area geografica si può scegliere un provider Cloud di quella zona).
Tutti questi vantaggi però sono leggermente oscurati dalla difficile interoperabilità tra sistemi diversi tra loro. Le aziende, soprattutto quelle con più grossa capacità espansiva, si ritrovano a gestire con difficoltà differenti livelli di autenticazione, con modelli di controllo degli accessi eterogenei. Se queste attività non vengono coordinate con attenzione il rischio reale è quello di consentire l’accesso a soggetti non autorizzati.
Controllo degli accessi: che soluzioni utilizzare?
Il controllo degli accessi, conosciuto con il termine inglese access control, raggruppa tutte quelle operazioni che le aziende mettono in campo per garantire l’accesso a dati e risorse solamente a persone autorizzate. All’interno del modello di access control si identificano quattro entità: gli utenti (i soggetti che accedono al sistema informatico), gli oggetti (le risorse del sistema a cui richiedere l’accesso), le operazioni (le azioni che gli utenti fanno sugli oggetti) e i permessi (le autorizzazioni che le risorse hanno per effettuare determinate azioni sugli oggetti).
I principali modelli di accesso
Ma quali sono i principali modelli di accesso? E quali sono i loro vantaggi e svantaggi per le aziende? Ecco un’analisi specifica:
- Modello DAC (Discretionary Access Control): in questo modello è presente un proprietario (owner) per ogni risorsa (object). L’owner ha il compito di autorizzare l’utente ad accedere alla risorsa. È un access model molto flessibile, ideale per le aziende che non necessitano di un alto livello di protezione, perché la sua formulazione non consente di prevedere errori di gestione dei permessi oppure di intuire quando una richiesta di accesso arriva da un attacco malware;
- Modello MAC (Mandatory Access Control): basato su un approccio gerarchico, in cui vi è un amministratore di sistema (mandatory) che assegna un livello di sicurezza e accesso ad ogni utente. A differenza del DAC è meno flessibile perché ogni operazione di accesso dipende dall’amministratore di sistema. Inoltre non distingue gli accessi a seconda del tipo di operazione che viene richiesta.
- Modello RBAC (Role Based Access Control): modello che da più importanza al ruolo rispetto all’utente. Ogni utente può ottenere più ruoli, ognuno dei quali sarà legato a una serie di permessi. Si tratta di un modello molto flessibile, che permette di creare anche gruppi di lavoro suddivisi per ruolo. L’unico svantaggio è la sua difficile attuabilità in ambienti complessi come il multi-cloud.
- Modello ABAC (Attribute Based Access Control): in questo caso il permesso ad accedere ad una risorsa è calcolato sull’analisi di una serie di attributi, come la data di accesso, la localizzazione, il ruolo dell’utente. Può essere un sistema molto utile per superare la poca flessibilità del MAC e la poca sicurezza del DAC, ma richiede un’impostazione delle policy molto precisa e di conseguenza una spesa molto onerosa per la sua implementazione.
Difendersi dalle minacce: un obbligo per le aziende
Con l’avvento del Cloud le migliorie a livello informatico per le aziende sono impagabili, ma allo stesso tempo è giunta l’ora di trovare le giuste contromisure per proteggere al meglio i dati e difendere le strutture da potenziali minacce, sempre nel rispetto delle normative. Per farlo è necessario avere piena coscienza dei limiti attuali del Cloud e implementare internamente delle figure in grado di poter gestire al meglio questa tecnologia.
Comments are closed.