Evoluzione nella gestione degli accessi al server con OKTA

Un detto diffuso in ambito investigativo recita “follow the money”, segui il denaro, a indicare che seguendo il flusso di una transazione, prima o poi, si arriva al colpevole di un crimine finanziario.  

Nell’ambito della cyber-security quel flusso è rappresentato dai dati: è questo l’oro gestito dalle aziende e ambìto dai criminali informatici. Obiettivo delle imprese, oggi, è proteggere proprio i caveaux che custodiscono i dati da eventuali attacchi. 

Si parla, ovviamente, di server, e, soprattutto, del controllare gli utenti che vi possono accedere. Si tratta della forma di protezione più elementare, ma anche più ignorata, poiché spesso ci si concentra sulla difesa da forme d’attacco esterne. Senza contare che si perde il controllo dei privilegi d’accesso al server e che le credenziali di determinati tipi d’utente d’alto livello, come i responsabili IT o i DevOp, sono assegnate senza alcuna forma di verifica sul loro utilizzo.  

Eppure, il gesto di un utente che appunta i propri dati di accesso su un foglio cartaceo, alla mercé di tutti, è quasi naturale da immaginare. Ed è qui che risiede uno dei principali problemi della moderna cyber-security: il controllo degli accessi ai server. 

Addio a chiavi e password 

Nel corso degli anni si sono sviluppate varie filosofie sulla gestione degli accessi, alcune anche molto efficaci, ma ci si è sempre scontrati con problemi di implementazione e di convivenza con vecchie tecnologie e policy aziendali.  

È per questo che Okta, col suo sistema Advanced Server Access, adotta una strategia diversa: eliminare, in toto, la necessità di utilizzare chiavi statiche, affidando il controllo degli accessi a un’architettura cloud.  

In questo modo, è possibile configurare gli accessi in modo granulare, cioè impostandoli sulla base di una fitta serie di parametri. Ed è proprio l’incrocio di tutti questi parametri a rendere unico e autentico ogni singolo accesso, creando sistemi di accesso immediati, con un meccanismo “usa e getta” che li rende utilizzabili una sola volta. Così, dopo ogni login, si è obbligati a generare un nuovo accesso, ottenendo il massimo della sicurezza. Come avere tutto ciò? Innanzitutto, controllando dispositivo, ora e data con cui si effettua l’accesso. Dopo di ciò, viene generato un certificato, che funge da lasciapassare al sistema, e il cui valore decade una volta utilizzato, costringendo a ripetere la sequenza. A questo punto, il collegamento al server avviene via SSH o RPD e una volta stabilita la connessione c’è un completo sistema di registrazione dei log che tiene conto di ogni attività eseguita durante la sessione. 

Integrazione senza sforzi 

Questo workflow, in un colpo solo, risolve tutti i problemi di sicurezza legati al furto o riutilizzo di accessi ai server, poiché password e chiavi statiche sono sostituite da certificati validi per un singolo utilizzo. Ma è anche un discorso di efficienza, poiché si unisce la praticità di un’autenticazione di tipo Single Sign–On o Multifactor, a un controllo contestualizzato degli accessi, il tutto coi vantaggi dell’integrazione cloud.  

L’Advanced Server Access di Okta non richiede complesse installazioni e si adatta perfettamente e senza sforzi a server Linux o Windows basati su cloud Aws, Azure, Google Cloud Platform, ma all’occorrenza può essere configurato ad hoc per server on-premise. Il tutto con un’architettura leggera, basata su un componente agent, installabile con poche righe PowerShell o bash nella propria infrastruttura tecnologica (sono supportati Windows Server 2012, 2012r2, 2016, Ubuntu dalla 12.04 in poi, Amazon Linux, RedHat e CentOS dalla 6 in poi, Debian Stable e FreeBSD). 

L’intera tecnologia di Okta, fondata su un rigido protocollo Zero Trust Access, si rifà a una directory unificata dalla quale è possibile gestire, con pochi clic, utenti, gruppi e policy. E per chi ha esigenze molto specifiche, tutta la tecnologia è esposta come API e dunque personalizzabile fin nei minimi dettagli.