Il concetto di identità multicloud è uno snodo cruciale di una gestione capace di presidiare la combinazione di cloud pubblici, privati e ibridi che caratterizza ormai la maggior parte delle organizzazioni. Il modello multi-cloud, infatti, introduce una complessità aggiuntiva nella gestione dell’identità e degli accessi al cloud che sono la prima linea di presidio, rispetto al perimetro di sicurezza aziendale. Per aiutare le imprese a garantire che identità e controlli di accesso siano sicuri ed efficaci attraverso gli ambienti cloud esistono una serie di indicazioni e di buone pratiche.
Identità multicloud e access management nell’era dell’As a Service
Iniziamo dal contesto: molte distribuzioni del cloud con accesso Single Sign-On (SSO) richiedono più set di credenziali. Questo può portare a grandi sfide di sicurezza, inclusi problemi con il ciclo di vita degli account, il monitoraggio e l’applicazione dell’uso e dei comportamenti, la mancanza di supporto per MFA e altro ancora. Com’è noto, quando le organizzazioni utilizzano più cloud IaaS e PaaS, ognuno ha i propri ruoli, privilegi e modelli di accesso. Per molti team, responsabili della sicurezza o delle operation, gestire ciascuno separatamente può rivelarsi difficile, se non impossibile, da cui una moltiplicazione di identità multicloud. A questo si aggiunge anche il monitoraggio delle autorizzazioni per utenti, gruppi e ruoli le cui varie assegnazioni di ruolo possono essere complesse.
Come risolvere le sfide della gestione dell’identità in multi-cloud
Le organizzazioni che utilizzano più cloud dovrebbero considerare le seguenti best practices per migliorare la gestione dell’identità in multi-cloud.
1. Utilizzare standard e tecnologie IAM comuni nell’industria
Assicurarsi che le applicazioni cloud non utilizzino un insieme di standard e tecnologie diverso da quello per altre applicazioni e infrastrutture generali. Evitare strumenti o piattaforme di gestione dell’identità e degli accessi (IAM) personalizzati che non sono basati su standard, come il Security Assertion Markup Language o OAuth, perché può portare a problemi di blocco con il fornitore. Un altro standard che sta guadagnando popolarità è il System for Cross-domain Identity Management.
2. Monitorare i ruoli e i privilegi dell’identità cloud attraverso il multi-cloud
Esaminare i controlli e i servizi negli ambienti IaaS e PaaS per tracciare e monitorare i ruoli dell’identità e le assegnazioni dei privilegi. AWS IAM Access Analyzer, ad esempio, scopre tutte le identità e le risorse accessibili dall’esterno di un account AWS, così come valida l’accesso pubblico e tra account prima del dispiegamento dei cambiamenti dei permessi. Altri provider di servizi cloud, inclusi Microsoft e Google, offrono servizi simili.
Con la capacità di scalare rapidamente le risorse nel cloud, le organizzazioni devono mappare gli asset, valutare le politiche di gestione e identificare qualsiasi risorsa cloud con accesso pubblico o tra account non intenzionale che potrebbe introdurre nuovi rischi nell’ambiente. È bene anche avere una fotografia esatta del dispiegamento di strumenti integrati di scansione e analisi dell’identità che monitorano continuamente qualsiasi nuova politica o aggiornamento e analizzano i permessi concessi per numerosi tipi di risorse nel rispettivo ambiente cloud. Inoltre, indagare su strumenti di terze parti che vanno oltre queste capacità per includere visualizzazione avanzata, analisi dei percorsi di attacco e altro ancora.
3. Valutare l’uso degli standard di identità interni
Aggiungere nuovi servizi con standard non familiari ai team di sviluppo delle applicazioni interne può causare problemi di prestazioni. Quando si valutano i servizi IAM cloud, come l’identità come servizio (IDaaS), avere una discussione con i team di sviluppo delle applicazioni per assicurarsi che possano supportare gli standard necessari per integrare applicazioni e dati con l’ambiente IAM cloud.
4. Investigare sulla sicurezza del fornitore di servizi IAM
Investigare approfonditamente sui controlli di sicurezza del cloud in atto presso i fornitori IAM. Assicurarsi che mantengano controlli di sicurezza rigorosi, inclusi crittografia, registrazione e monitoraggio, e controllo degli accessi basato sui ruoli, specialmente se i dati dell’identità degli utenti sono memorizzati all’interno del loro ambiente o se i confini di fiducia si estendono nel loro cloud. Verificare che il fornitore possa anche soddisfare eventuali requisiti di conformità specifici del settore associati ai dati di identità.
5. Adottare IDaaS e implementarlo dove possibile
La maggior parte delle organizzazioni che si spostano verso il multi-cloud ha bisogno come minimo di una fonte di registrazione dell’identità, come Active Directory, Microsoft Entra ID o un altro repository centrale, così come di un tipo di SSO federato per gli utenti finali. Per raggiungere questi obiettivi, molti si rivolgono a fornitori IDaaS che gestiscono transazioni di identità relative alla valutazione zero-trust, autenticazione, autorizzazione e registrazione e monitoraggio di tutte le attività e i comportamenti. I proprietari delle informazioni dovrebbero integrare l’interazione IDaaS nel ciclo di vita dello sviluppo del software (SDLC), specialmente quando si lavora con dei partner. Ciò richiede un impegno nell’utilizzo di IDaaS durante la fase di sviluppo dei requisiti dello SDLC per assicurarsi che non causi problemi nel tempo.
6. Integrare l’IAM multi-cloud in altre iniziative
Considerare gli attuali e pianificati scenari utente in cui le funzionalità IAM cloud saranno o potranno essere utilizzate e come questi scenari influenzeranno il dispiegamento dell’IAM cloud. Ad esempio, le iniziative BYOD che supportano una vasta gamma di dispositivi mobili potrebbero richiedere considerazioni speciali per adottare un’identità multi-cloud integrata ai sistemi di gestione degli accessi.
Inoltre, è opportuno valutare come altre iniziative di sicurezza possono integrarsi con la gestione dell’identità multi-cloud. L’accesso alla rete zero-trust, ad esempio, può aiutare una popolazione di utenti finali diversificata ad accedere alle risorse cloud attraverso un modello di validazione dell’identità utente/macchina mediato e controllo delle politiche.
