La sicurezza aziendale è un tema delicato, non solo per le ragioni ovvie che tutti conosciamo, ma anche perché è un lavoro di costante mediazione fra la rigidità di un sistema sicuro ideale e le necessità degli utenti in termini di semplicità di utilizzo e praticità operativa. Un processo di mediazione che conduce alla creazione di modelli sempre più articolati, in cui però la complessità tecnologica sia il più possibile trasparente per l’utente.
L’adozione del cloud e la decentralizzazione dei sistemi IT richiede un’evoluzione culturale anche in ambito security. In particolare, un approccio basato sull’utente che semplifica la gestione di permessi e protezione. Del resto, in un mondo in cui il lavoro è sempre più mobile e flessibile, l’approccio alla sicurezza non può che essere centrato sull’utente. Ne parla Mirko Rinaldi, Chief Technology Officer di Quanture, azienda di consulenza ICT e Solution Partner Modern Workplace di Microsoft, particolarmente attento agli aspetti legati alla sicurezza degli utenti negli ambienti di lavoro di oggi.
Un cambio di paradigma nella sicurezza
La prima cosa che Mirko Rinaldi precisa è che, in tema di sicurezza, serve prima di tutto un cambio di mentalità, attraverso l’adozione di una strategia user centrica. “Molte soluzioni presenti sul mercato si basano solo sull’analisi del traffico. È invece necessario concentrarsi maggiormente sull’utente” spiega il manager. Un principio, quello della centralità dell’utente, che pone l’accento sul tema dell’identità digitale. A tal proposito, la soluzione Microsoft Entra può offrire una prospettiva adeguata alle attuali necessità delle aziende, in cui proteggere l’identità digitale degli utenti è diventata una priorità.
“Microsoft Entra rappresenta un’evoluzione dei principi che troviamo già nella tradizionale versione On Premise di Active Directory” sottolinea Rinaldi. “Principi che sono stati ripresi e migliorati in Azure Active Directory, di cui Microsoft Entra rappresenta la nuova incarnazione”. Un percorso, questo, evidente anche a livello di naming: proprio Azure Active Directory è stato rinominato Microsoft Entra ID, per unificarlo agli altri sistemi di autenticazione all’interno della nuova famiglia.
Le caratteristiche principali per garantire la sicurezza
Il tema dell’autenticazione, in un ecosistema sempre più decentrato e con perimetri ormai “vaporizzati”, rappresenta uno dei fulcri della security. “Le buone pratiche per la messa in sicurezza del perimetro aziendale, anche e soprattutto effimero – sottolinea Rinaldi – prevedono l’adozione di sistemi di autenticazione a due fattori e multi-fattore, oltre alla possibilità di normare le modalità di accesso, per esempio per zona del mondo, per tipologia e compliance del dispositivo e così via. È fondamentale inoltre poter ricevere segnalazioni delle anomalie e, attraverso licenze specifiche, di operare una valutazione del rischio”.
La scelta della soluzione Microsoft, sottolinea Rinaldi, offre inoltre il vantaggio di permettere l’integrazione con un elevatissimo numero di soluzioni di terze parti, dal software in Cloud ai sistemi legacy. “A oggi rimangono esclusi solo i sistemi OT più datati – spiega Rinaldi – mentre negli altri contesti è praticamente possibile usare il proprio set di credenziali praticamente con tutto”.
Una strategia che rispecchia i principi moderni
Rinaldi si sofferma poi sul tema dell’unificazione delle password e della tendenza ad approcci passwordless, che a una prima superficiale analisi possono sembrare opposti ai principi di base della sicurezza: “Su questo tema ci sono correnti di pensiero diverse, alcune verso la differenziazione più completa, che costringe gli utenti a grandi sforzi, per esempio per il cambio trimestrale delle password che, se numerose, può diventare complesso, laborioso e introdurre complessità come l’uso di password manager o soluzioni ancora meno sicure. L’altro approccio, che sta conquistando sempre più consensi, è che la riduzione dell’uso e del numero delle password, a favore di un solo sistema di autenticazione più sicuro, ne favorisce l’uso corretto da parte degli utenti”. Il passwordless sposta ancora il paradigma: eliminando la password, a favore di soluzioni più consistenti come la biometria o l’uso di hardware dedicati, elimina molti problemi, conservando intatta o addirittura migliorando la compliance nella protezione dell’identità digitale aziendale.
Combinare accessi e analisi per migliorare la sicurezza
Un tema che ricorre nelle principali metodologie per la sicurezza come SASE e che il manager di Quanture sottolinea come fondamentale, è quello della combinazione dinamica di più parametri per garantire livelli più elevati di sicurezza. Si pensi, per esempio, al tema dei viaggi impossibili, ma anche a repentini cambi di piattaforma con un sistema diverso da quelli utilizzati abitualmente dall’utente.
“Oggi l’accesso basato sul contesto è molto usato, soprattutto in termini di valutazione del rischio” ricorda Rinaldi. “Si può per esempio, stabilire a quali asset garantire l’accesso e quali bloccare, anche temporaneamente. Oggi, anche l’applicazione richiesta può essere una condizione”. In base a quello che succede, si possono anche adottare soluzioni di mitigazione, come richiedere il cambio password per attestare l’identità, oppure di ripetere l’autenticazione.
Tutto questo, sempre tenendo presente uno dei pilastri fondamentali della sicurezza moderna: l’usabilità. Così Rinaldi: “Oggi la tendenza è quella di introdurre soluzioni sempre più passwordless: si preferisce usare la biometria o altri metodi per aumentare la sicurezza senza compromettere l’usabilità. In questo Microsoft Entra fornisce un considerevole supporto: è possibile utilizzare Hello for business, ma anche Microsoft Authenticator su dispositivi mobili, biometria, chiavette hardware FIDO2 e passkeys”.
“Quanture – sottolinea Rinaldi – ha concretizzato progetti in questo senso: abbiamo casi studio in cui centinaia di utenti stanno accedendo in modalità passwordless. Non bisogna dimenticare, però, che raggiungere con successo questo tipo di approccio è un vero percorso di innovazione, che deve essere progettato, implementato e gestito, anche a livello di change management, nel modo migliore”.
Nuove funzionalità in ottica sicurezza
La nuova soluzione di Microsoft, tuttavia, non rappresenta solo un rebranding: contestualmente al cambio di nome, infatti, sono stato introdotte due nuove importanti funzionalità di cui Mirko Rinaldi sottolinea l’importanza.
Microsoft Entra Private Access (che si basa su Entra ID Application Proxy) permette di raggiungere specifiche applicazioni interne all’azienda senza dover configurare una VPN, ma osservando i criteri di sicurezza stabiliti per la rete. “Si tratta di una soluzione SSE (Secure Service Edge)” ricorda Rinaldi. “Supporta i principali protocolli utilizzati nell’operatività: Web, SSH (Secure Shell, per le istruzioni a riga di comando), RDP (Remote Desktop Protocol, usato principalmente per il controllo remoto delle macchine Windows) e SMB (Samba, celeberrimo protocollo per l’accesso a cartelle condivise) Nelle ultime versioni è stato aggiunto il supporto per la comunicazione TCP su ogni porta, in modo da soddisfare anche i bisogni più specifici. Il tutto avviene poi attraverso l’applicativo Global secure access”.
Lo stesso Client abilita anche Microsoft Entra Internet Access, una funzionalità che si basa sul concetto opposto. “Garantisce che anche il dispositivo che si affaccia al Web sia controllato. La navigazione viene “tunnelizzata” attraverso i servizi Microsoft e poi da lì veicolata, sia verso servizi Microsoft, sia verso terzi, sia verso applicazioni integrate in Entra” ricorda Rinaldi. In questo modo, anche il traffico Web verso l’esterno dispone di adeguati livelli di sicurezza.
“L’idea di base è quella di poter gestire gli accessi degli utenti in modo unificato, funzionale e sicuro” conclude Rinaldi. “Pensando al potenziale di questo principio applicato, per esempio, alla gestione degli endpoint attraverso Intune, lo scenario è quello di un controllo dettagliato, approfondito e soprattutto efficace della nostra infrastruttura, attraverso un autentico approccio ZTNA (Zero Trust Network Access) a livello di infrastruttura”.
