Un ruolo significativo ed essenziale di qualsiasi piattaforma è quello del l’identificazione e dell’ autorizzazione.
Questi due termini sono spesso confusi ed erroneamente combinati come un’unica entità. Per poter capire queste differenze e usare in modo corretto sulle piattaforme cloud come Azure, è fondamentale conoscere le diverse tecnologie che queste piattaforme offrono per facilitare il nostro lavoro.
Identificazione o autorizzazione??
L’ identificazione è l’atto di provare chi sei, spesso eseguito con un nome utente/combinazione di password. Se puoi fornire i dettagli corretti, a un sistema, quello ti autentica e basta. L’ identificazione non ti dà accesso a nulla; dimostra semplicemente chi sei.
Una volta che un sistema conferma che tu sei quello che ritieni di essere, comincia a controllare per vedere a cosa hai accesso: questo è denominata Autorizzazione.
In Azure, l’autorizzazione è l’atto di verificare se si ha il diritto di accesso a un particolare risorsa o servizio, ad esempio a un account di archiviazione, e le azioni che è possibile eseguire su quell account, ad esempio la creazione, l’eliminazione, la modifica o anche la lettura dei dati in quell account di archiviazione.
Fortunatamente, Azure offre una serie di servizi, suddivisi in 2 gruppi
- Servizi di identificazione e
- Servizi di autorizzazione,
Questi servizi consentono di controllare rigorosamente e in un modo capillare come gli utenti si identificano e a quali servizi possono quindi accedere.
Tradizionalmente, l’ identificazione avveniva tramite semplici combinazioni di nome utente/password; tuttavia, questa come l’unica forma di identificazione è inefficace e non e sufficiente per proteggersi.
Bisogna escogitare altre forme più sicure a fine di proteggere i dati, quindi è necessario considerare molti fattori e strategie durante la progettazione di un meccanismo di identificazione.
Ad esempio, scegliendo una sola forma di identificazione i seguenti casi, possono accadere;
- Un utente può scegliere una password troppo semplice, aumentando le possibilità che essa venga compromessa.
- Password complesse o le continue modifiche di essa significa che gli utenti se ne dimentichino con più facilita’.
- Potrebbero verificarsi ritardi nel processo di identificazione se un utente continua a chiamare sempre un helpdesk per richiedere la reimpostazione della password.
- La stessa, unica combinazione nome/utente-password è più facile essere individuata e rubata, quindi facile preda agli attacchi phishing.
- I database delle password possono essere compromessi una volta individuata, potete immaginare cosa può succedere!!… vero?? .
Quando dei sistemi sono ospitati e fanno parte in una rete fisicamente isolata, alcuni di questi problemi vengono mitigati poiché per essere compromessi è necessario prima l’accesso fisico a un edificio dove risiedono i server per prima, in seguito a un server o almeno a un dispositivo configurato con una connessione VPN (Virtual Private Network) che, a sua volta, richiederebbe un certificate di controllo. Quindi e molto difficile che questo avvenga.
Tuttavia, negli scenari cloud, e in particolare nei sistemi ibridi, in cui sono necessari meccanismi di identificazione esterna, questi meccanismi esterni, come la impostazione di una password e tanti altri, devono essere mappati o sincronizzati con i sistemi interni all azienda, tuttavia questo fisico controllo d’accesso non può essere sempre raggiunto e garantito.
Con questi scenari in mente, e opportuno considerare come potremmo affrontare quanto segue:
- La gestione e l’applicazione delle regole alle password
- Come aggiungere altri livelli di protezione per le password
- Come proteggere in modo sicuro le password
Ora che siamo venuti a conoscenza ad alcuni dei problemi che dobbiamo affrontare con i sistemi di identificazione, in particolare quelli che si basano su combinazioni nome utente/password, possiamo esaminare quali opzioni abbiamo per mitigare i rischi di un eventuale accesso non autorizzato nei sistemi Cloud Azure. In primo luogo, vediamo cosa offre Microsoft in fatto di sicurezza con la piattaforma Active Directory.