Che cos'è un identity fabric?

Nell'era della trasformazione digitale, la maggior parte delle organizzazioni gestisce ambienti ibridi e multicloud che contengono asset on-premise, applicazioni legacy e vari servizi cloud. È comune che ognuno di questi sistemi disponga di una propria gestione delle identità e degli accessi (IAM), il che significa che le organizzazioni devono destreggiarsi tra più directory utente e sistemi di identità.

La proliferazione di sistemi di identità disconnessi può degradare l'esperienza dell'utente e creare lacune di visibilità e sicurezza che gli aggressori possono sfruttare a proprio vantaggio. Secondo l'IBM® X-Force Threat Intelligence Index, gli attacchi basati sull'identità sono uno dei vettori di attacco più comuni, responsabili del 30% degli accessi non autorizzati.  

Un identity fabric aiuta a unificare i sistemi di identità disconnessi nell'ecosistema digitale di un'organizzazione. Questa unificazione semplifica il monitoraggio delle attività e l'applicazione di misure coerenti di governance delle identità, autenticazione e autorizzazione per tutti gli utenti su ogni applicazione e piattaforma.

Si tratta di un approccio centralizzato che migliora la visibilità sulle attività degli utenti, rafforza il livello di sicurezza e l'efficienza operativa dell'organizzazione e crea un'esperienza utente più snella.

Gli identity fabric consentono alle organizzazioni di integrare i diversi sistemi di identità di varie app, asset e servizi. Un'organizzazione può applicare politiche di accesso unificate, monitorare l'attività degli utenti, risolvere le vulnerabilità e implementare controlli di sicurezza coerenti su tutti i sistemi. 

I sistemi di gestione delle identità e degli accessi sono strumenti critici per la sicurezza delle identità perché aiutano a proteggere le identità digitali, bloccano le attività non autorizzate e garantiscono che solo le persone giuste possano accedere alle risorse giuste, e per i giusti motivi.

Tuttavia, molte organizzazioni si trova a gestire più soluzioni di gestione delle identità e degli accessi (IAM) collegate a diverse directory utente. La maggior parte di loro utilizza una soluzione di gestione delle identità e degli accessi per gli utenti interni e una soluzione separata di gestione delle identità e degli accessi dei clienti per i clienti e altri utenti esterni.

Tuttavia, diverse organizzazioni hanno a che fare con più di due sistemi di identità. Potenzialmente, ogni app legacy, provider di cloud e sistema on-premise può avere la propria soluzione di gestione delle identità e degli accessi (IAM) e il proprio servizio di directory.

Questi silo creano un'esperienza utente incoerente, poiché ogni sistema potrebbe richiedere credenziali separate, livelli di autorizzazione e misure di sicurezza.

Inoltre, i sistemi di identità disconnessi comportano rischi notevoli per la sicurezza. Le identità degli utenti sono l'obiettivo principale degli attacchi informatici. L'X-Force Threat Intelligence Index riporta che il furto di credenziali è l'impatto più comune subito dalle vittime di violazioni.

Senza un approccio centralizzato, può essere difficile applicare solide misure di cybersecurity, come l'autenticazione senza password con chiavi FIDO, l'autenticazione basata sul rischio (RBA) e la gestione delle minacce all'identità in tempo reale. Alcuni sistemi di gestione delle identità e degli accessi (IAM) addirittura non supportano alcune di queste misure.  

Una soluzione di identity fabric offre un livello unificato per la gestione e la protezione delle identità digitali tra app, asset e provider di cloud. Fornisce alle organizzazioni una maggiore visibilità sugli account e sulle attività degli utenti e un controllo più coerente sulle politiche e sui processi che li proteggono in ogni sistema, applicazione e piattaforma.

Pensiamo a come un operatore sanitario potrebbe utilizzare un'architettura di identità per creare un sistema più sicuro ed efficiente per i professionisti medici.

Un operatore sanitario normalmente si affida a una serie di strumenti tecnologici come sistemi di pianificazione, sistemi di registrazione dei pazienti, piattaforme di telemedicina e sistemi per la condivisione dei dati con altri operatori sanitari.  

Un identity fabric consente ai professionisti di accedere a tutti questi sistemi tramite un'unica identità. Non solo è più conveniente rispetto a richiedere più accessi, ma consente anche all'organizzazione di applicare gli stessi livelli di accesso e controlli di sicurezza su tutte le piattaforme. Ad esempio, un medico sarebbe in grado di accedere a tutti i dati dei propri pazienti in ciascun sistema, ma non ai dati di pazienti che non segue personalmente.  

L'applicazione centralizzata delle politiche aiuta a garantire la conformità alle leggi sulla privacy dei dati e a prevenire gli accessi non autorizzati, comprese le situazioni in cui gli utenti legittimi dispongono di più autorizzazioni di quelle di cui hanno davvero bisogno.

Un sistema di identificazione funziona integrando e sincronizzando i numerosi servizi di identità eterogenei esistenti nella rete di un'organizzazione in un'infrastruttura IAM unificata.

Molti sistemi di identità si basano in larga misura sulle application programming interface (API). Le API consentono ai sistemi disconnessi di comunicare in modo sicuro, scambiare dati di identità e applicare politiche di gestione delle identità e degli accessi coerenti. Alcune strutture utilizzano anche protocolli di comunicazione standardizzati come OAuth o Security Assertion Markup Language (SAML) per connettere i sistemi IAM.

Esistono diverse opzioni per l'implementazione di un identity fabric. Alcuni fornitori offrono piattaforme apposite che forniscono alle organizzazioni funzionalità complete per connettere sistemi di identità pronti all'uso. Altre organizzazioni adottano un approccio best-in-class integrando diverse soluzioni puntuali. Le organizzazioni con esigenze specifiche possono creare i propri identity fabric con codice e API personalizzati.

Sebbene la natura e la struttura degli identity fabric possano variare, la maggior parte delle organizzazioni utilizza una combinazione di questi elementi per creare i propri:

Il software di identity orchestration coordina sistemi IAM eterogenei per creare workflow di identità coesi e fluidi, come gli accessi degli utenti, l'onboarding e il provisioning degli account, che si estendono su più sistemi.

Le piattaforme di identity orchestration fungono da piani di controllo centrali per tutti i sistemi di identità in una rete. Ogni strumento per l'identità si integra con la piattaforma di orchestrazione, creando un fabric unificato.

Gli strumenti di identity orchestration vengono spesso utilizzati per creare sistemi di single sign-on (SSO) che consentono agli utenti di accedere a più applicazioni con un unico set di credenziali.

Le soluzioni di rilevamento e risposta alle minacce di identità (ITDR) monitorano i sistemi per individuare e correggere le minacce basate sull'identità, come l'escalation dei privilegi e l'hijacking degli account, che possono portare a violazioni dei dati e altri problemi. 

Quando una soluzione ITDR rileva un comportamento potenzialmente dannoso, avvisa il team di sicurezza e attiva una risposta automatica, ad esempio il blocco immediato dell'accesso dell'account ai dati sensibili.

Le applicazioni legacy non sempre supportano misure di sicurezza moderne come l'autenticazione a più fattori (MFA) o le architetture zero trust. Molte piattaforme di identity orchestration e soluzioni di identity fabric offrono strumenti low-code e no-code per implementare rapidamente queste applicazioni. Questi strumenti forniscono interfacce visive drag-and-drop per la configurazione dei workflow di identità in aggiunta alle app di tipo legacy. Ad esempio, se un'app non supporta l'MFA, uno strumento di identity orchestration può connettere quell'app a una soluzione MFA separata, creando un workflow semplificato tra i due sistemi. 

L'autenticazione basata sul rischio (RBA), conosciuta anche come autenticazione adattiva, valuta in tempo reale il livello di rischio di ciascun utente che tenta di accedere agli asset aziendali. L'RBA regola dinamicamente i requisiti di autenticazione in base a tali valutazioni del rischio.

L'RBA valuta i comportamenti degli utenti come velocità di digitazione, dispositivi utilizzati e posizione geografica, per determinare il livello di rischio di un utente. Un utente che mostra comportamenti noti, come l'utilizzo di un dispositivo conosciuto e la registrazione dalla stessa posizione, è considerato a basso rischio. Potrebbe dover solo inserire una password per confermare la sua identità.

Un utente che effettua il login da un dispositivo sconosciuto o da una nuova posizione, invece, potrebbe essere considerato a rischio maggiore. Il sistema RBA potrebbe sottoporre l'utente a misure di controllo degli accessi aggiuntive, come una scansione delle impronte digitali.

I servizi di directory sono repository che memorizzano e gestiscono informazioni sugli utenti dei sistemi e delle applicazioni. La sincronizzazione dei servizi di elenco nell'ambiente IT di un'organizzazione offre una visione unica e autorevole di ogni utente, permettendo di applicare politiche di sicurezza dell'identità uniformi per ciascun utente in ogni sistema, invece di ricorrere a set di politiche separati per ogni directory. 

Gli strumenti di governance e amministrazione delle identità (IGA) aiutano a gestire le identità degli utenti durante tutto il loro ciclo di vita, dall'onboarding al deprovisioning, fino all'offboarding. Lo scopo dell'IGA è garantire che le politiche di accesso e l'attività degli utenti siano conformi a normative quali il Regolamento generale sulla protezione dei dati (GDPR) e l'Health Insurance Portability and Accountability Act (HIPAA).

Gli strumenti IGA aiutano ad automatizzare e a semplificare attività come il provisioning degli utenti, l'implementazione delle politiche di accesso e la revisione dei diritti di accesso. 

Gli strumenti di gestione degli accessi privilegiati (PAM) regolano e proteggono gli account con privilegi (come gli account amministratore) e le attività privilegiate (come l'utilizzo di dati sensibili).

Gli account con privilegi richiedono una protezione più forte rispetto agli account standard perché sono obiettivi ad alto valore che i hacker possono utilizzare per causare gravi danni. La gestione PAM applica misure di sicurezza avanzate, come la protezione delle credenziali di accesso e l'accesso just-in-time, per controllare in modo rigoroso il modo in cui gli utenti ottengono privilegi elevati e l'uso che ne fanno.

I sistemi IAM frammentati e gli elenchi degli utenti possono creare silo, lasciando le organizzazioni a gestire identità diverse e controlli di accesso per ogni singolo sistema. Implementare un identity fabric aiuta ad abbattere questi silo e a semplificare la gestione delle identità e degli accessi. 

Un'architettura di identity fabric unifica i servizi di identità disconnessi, creando un'unica identità digitale per ogni utente. Ciò consente all'organizzazione di impostare e applicare autorizzazioni e politiche uniformi in base all'accesso di ciascun utente agli ambienti cloud, ai sistemi e alle applicazioni legacy, garantendo un'esperienza utente coerente, indipendentemente dall'applicazione o dal sistema a cui l'utente accede.

Gli identity fabric supportano anche la scalabilità del sistema. Le organizzazioni non dovranno più temere interruzioni nei sistemi di identità nel caso introducano nuovi strumenti o asset in una rete perché ogni nuova risorsa viene integrata nello stesso fabric.

Le organizzazioni utilizzano spesso un identity fabric come punto di controllo centralizzato per implementare le più recenti tecnologie e pratiche di cybersecurity. Ad esempio, un'organizzazione potrebbe voler applicare l'autenticazione a più fattori (MFA) o un approccio zero-trust, in cui non esiste alcuna fiducia intrinseca per nessun utente.

In un sistema frammentato di più soluzioni IAM e directory di utenti, sarebbe difficile per l'organizzazione implementare in modo coerente queste misure di cybersecurity. Con un identity fabric, invece, l'organizzazione ottiene visibilità e controllo unificati delle politiche di sicurezza delle identità, può imporre centralmente l'accesso sicuro alle risorse e monitorare e analizzare i comportamenti degli utenti su tutti i sistemi per rilevare potenziali minacce. 

Le organizzazioni spesso scelgono di affidarsi a un identity fabric centralizzato per semplificare le iniziative di protezione dei dati e conformità. Possono applicare politiche di accesso ai dati sensibili in base ai ruoli degli utenti, monitorare le attività degli utenti con tali dati e garantire il rispetto del principio del privilegio minimo.

Gestendo le identità digitali con un sistema unificato, sono in grado di applicare gli standard di conformità e di registrare le attività degli utenti su tutti i sistemi e le applicazioni contemporaneamente. Questa funzionalità semplifica gli audit trail e la creazione di report di conformità da presentare alle agenzie di regolamentazione.