Dati in cloud, come proteggerli con certezza

La protezione dei dati gestiti da app utilizzate in cloud rappresenta una delle maggiori preoccupazioni per le aziende che devono poter contare su soluzioni di sicurezza evolute.
MobileIron ha sviluppato una soluzione che prevede di autenticare l’app e il device da cui l’utente accede a ciascun servizio cloud, in aggiunta ai classici username e password, e che le ha avvalso il Premio Categoria tecnologica IT architecture, Security, Governance, NGDC, Cloud dei Digital360 Awards 2017

Pubblicato il 25 Set 2017

mobile_iron_D360AW2017

L’esigenza di business di fare ricorso ad applicativi in cloud si scontra, talvolta, con policy di sicurezza particolarmente stringenti: quando si accede a un servizio cloud tramite pc appartenente al dominio aziendale l’autenticazione viene richiesta ogni volta che il computer si riavvia, con il salvataggio dei dati che avviene esclusivamente sul pc in questione; utilizzando un’app su device mobile, invece, l’autenticazione è persistente, addirittura per mesi, e i dati sono salvati all’interno della app. Diventa, dunque, fondamentale assicurarsi che tale app faccia parte del perimetro gestito dall’azienda e che il dispositivo sia in linea con le policy previste (cifratura, integrità del sistema operativo e così via).

Esattamente questa era l’esigenza di un importante fondo di investimento americano in procinto di adottare alcuni servizi cloud (tra cui Salesforce e Tableau, software di business intelligence e analisi visiva), caratterizzato da politiche di sicurezza altamente normate, che prevedono che i dati dei clienti possano essere trattati solo su dispositivi “appartenenti al dominio”. Da qui, l’esigenza di aggiornare le policy di sicurezza garantendo la permanenza dei dati sotto il controllo aziendale anche quando l’accesso avviene via smartphone o tablet.

In caso contrario, infatti, potrebbero presentarsi scenari con conseguenze negative:

  • l’utente scarica l’app ufficiale dell’applicativo da fruire in cloud su un device non gestito dall’azienda, come ad esempio quello di un familiare. Questo è un comportamento apparentemente legittimo che però potrebbe lasciare i dati aziendali su un dispositivo compromesso o anche, più semplicemente, che potrebbe andare smarrito;
  • l’utente scarica l’app su un device gestito ma l’app non è gestita dall’azienda: anche questo è un comportamento apparentemente legittimo che però potrebbe esporre a un rischio i dati aziendali nel momento in cui il dipendente dovesse lasciare l’azienda, perché un’app non gestita dall’impresa non può essere rimossa dalla stessa;
  • l’utente scarica una delle molteplici app “parallele”: ogni servizio cloud espone infatti Api che consentono l’accesso da altre app, senza bisogno dell’approvazione dell’azienda. Queste app spesso salvano offline i dati e possono sincronizzarli con servizi cloud al di fuori del controllo aziendale (un esempio è “Tact”, che scarica i dati di Salesforce).

Il progetto e la soluzione tecnologica per garantire la sicurezza in cloud

MobileIron ha supportato il cliente proponendo la propria soluzione MobileIron Access che prevede di autenticare l’app e il device da cui l’utente accede a ciascun servizio cloud, in aggiunta ai classici username e password e grazie la quale ha vinto il Premio Categoria tecnologica IT architecture, Security, Governance, NGDC, Cloud dei Digital360 Awards 2017.

MobileIron – Riccardo Canetta, premio di categoria IT architecture, security, governance, NGDC, cloud

Prerequisito è l’utilizzo di un server di identity per gestire l’autenticazione federata ai servizi cloud tramite il protocollo standard Saml, cioè senza sincronizzare le password aziendali con ciascun servizio cloud.

In questo modo, le richieste di autenticazione a un servizio cloud vengono instradate, tramite una Vpn applicativa, verso un gateway intelligente e da lì al servizio cloud che non reindirizzerà la richiesta direttamente al server di identity dell’azienda, ma al gateway intelligente, il quale manderà avanti la richiesta (fungendo da proxy Saml) solo se questa era originariamente passata per il medesimo canale. In questo modo, app non gestite, a maggior ragione su device non gestiti, non possono arrivare all’autenticazione Saml.

Il progetto è stato completato in circa una settimana. L’azienda cliente, infatti, disponeva già del server di gestione e del gateway intelligente MobileIron necessari e, dunque, l’attività ha previsto esclusivamente la configurazione della funzionalità Access e il test di autenticazione con i due servizi cloud. Nel caso di Tableau, in particolare, la soluzione è stata configurata per la prima volta in questa architettura e, dunque, ha richiesto un fine-tuning dell’autenticazione Saml. Attualmente è in corso uno step evolutivo, ossia l’autenticazione con certificati al gateway MobileIron per poi consentire agli utenti di accedere ai servizi cloud con single-sign-on, senza inserire le credenziali di autenticazione.

I benefici assicurati dalla soluzione di cloud security

Tramite MobileIron Access, la società cliente è ora in grado di mantenere il controllo sui dati aziendali anche quando l’accesso avviene con dispositivi con sistemi operativi iOS, Android e Windows 10 (desktop/laptop e non solo mobile). Diventa possibile bloccare l’accesso a servizi cloud da app non autorizzate o non gestite e, di conseguenza, rimuovere i dati (con le app gestite) nel momento necessario, ad esempio in caso di furto del device o di chiusura del rapporto di lavoro con il dipendente.

Gli elementi innovativi distintivi

MobileIron Access è trasparente per gli utenti, che possono usare le app native cloud senza preoccuparsi di inserire la password né la prima volta né quando si decide di cambiarla. La soluzione si dimostra anche particolarmente semplice da implementare per il team It in quanto, utilizzando protocolli standard, non richiede modifiche architetturali (come l’implementazione di un nuovo server di identity) o implementazioni proprietarie per ciascun servizio cloud. La visibilità sulle app utilizzate è addirittura superiore a quella offerte dalle soluzioni Casb (Cloud Access Security Broker).

Presentato da MobileIron

Per ulteriori informazioni visita la pagina del progetto sul sito dedicato ai Digital360 Awards 2017

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4