Si dice spesso che l’identità sia il nuovo perimetro nel mondo degli ecosistemi cloud-native e dello zero trust. L’identità è indiscutibilmente al centro di tutto ciò che facciamo nei sistemi moderni ed è anche la chiave per facilitare architetture zero trust e un corretto controllo degli accessi. Detto questo, l’esecuzione di Identity and Access Management (IAM) su larga scala può essere un compito arduo, motivo per cui sempre più organizzazioni stanno adottando soluzioni di identità come servizio (IDaaS).

IDaaS ha i suoi pro e contro, ma prima di esaminarli entrambi conviene chiarire cosa sia esattamente una soluzione IDaaS. Si tratta di un modello di consumo basato su cloud per IAM. Proprio come tutto il resto nel moderno ecosistema tecnologico di oggi, anche IAM può essere offerto come servizio. Sebbene vi siano alcune eccezioni, IDaaS viene generalmente fornito tramite il cloud e può essere offerto come offerta multi-tenant o modello di consegna dedicato a seconda dei requisiti organizzativi e delle capacità del provider in questione.

Gartner prevede che entro la fine del 2022 il 40% delle organizzazioni di medie e grandi dimensioni avrà adottato un’offerta IDaaS al posto dell’IAM tradizionale. Diversi fattori stanno infatti contribuendo a questa crescita, come l’adozione continua del cloud, la forza lavoro remota e la consapevolezza da parte delle organizzazioni di poter utilizzare IAM anziché ospitarlo e gestirlo esclusivamente, liberando tempo per concentrarsi maggiormente sulle proprie competenze chiave per fornire valore ai clienti.

Vantaggi di IDaaS

Alcuni dei vantaggi associati alle offerte IDaaS includono la possibilità di consumare anziché ospitare IAM e di scaricare parte del sovraccarico di gestione associato a IAM a un provider esterno. Altri vantaggi includono offerte ricche di funzionalità che rendono le implementazioni IAM più solide e sicure in molti casi. La maggior parte dei provider IDaaS offre anche funzionalità native e integrate come Single Sign-On (SSO) e autenticazione a più fattori (MFA).

I provider IDaaS utilizzano inoltre protocolli come OIDC e SAML per integrarsi con il probabile portafoglio tentacolare di applicazioni SaaS dell’organizzazione, in modo da garantire una soluzione di identità unificata e una governance IAM a livello aziendale.

Ma quali sono le differenze chiave tra le soluzioni IAM legacy e IDaaS? Proprio come il cloud in generale, una soluzione IDaaS abilitata per il cloud offre molti degli stessi vantaggi chiave. Le organizzazioni non devono più essere vincolate dalla loro capacità di scalare la propria infrastruttura IAM.

Le organizzazioni, inoltre, non hanno più bisogno di fornire fisicamente e gestire la tolleranza agli errori della propria infrastruttura IAM, poiché i provider IDaaS offrono un’infrastruttura disponibile a livello globale che può essere tollerante agli errori e può consentire alle organizzazioni di soddisfare i propri obiettivi di ripristino di emergenza e continuità aziendale (DR/BC), probabilmente un prezzo molto più basso.

digital identity

Svantaggi di IDaaS

Tuttavia, IDaaS non è tutto rose e fiori e le organizzazioni devono tenere conto di alcune considerazioni importanti quando ne valutano l’implementazione. Se l’identità è davvero il nuovo perimetro, l’adozione di IDaaS consegna un certo livello di controllo di questo perimetro a un provider di servizi IDaaS. Ciò ricorda il concetto di modello di responsabilità condivisa nel cloud, ma si estende ulteriormente non solo all’infrastruttura, ma anche a elementi critici come identità, autorizzazioni e controllo degli accessi.

Alcuni dei vantaggi appena citati possono diventare un punto di contesa a seconda dei requisiti organizzativi e della sensibilità alla sicurezza. Poiché si stanno consumando l’applicazione e il sistema associati a IAM, si è limitati alle autorizzazioni incluse nell’offerta dei provider e probabilmente si ha una capacità limitata di modificare il modo in cui l’offerta funziona.

Ciò è dovuto al fatto che il provider IDaaS offre la propria interfaccia/applicazione a molti clienti e non può permettersi di fornire loro un’eccessiva personalizzazione, con il conseguente rischio di perdere la possibilità di avere un’offerta standardizzata. Inoltre, si potrebbe incorrere in addebiti a sorpresa a causa di scelte sbagliate o poco accorte da parte degli amministratori; addebiti che in certi casi potrebbero persino arrivare a sforare il budget originariamente pianificato.

A parte queste preoccupazioni, alcuni dei maggiori problemi di sicurezza derivano dal pool di risorse e dagli aspetti dell’accesso di IDaaS. L’idea di avere una locazione condivisa con altri clienti può infatti essere fonte di di preoccupazione, poiché un incidente di sicurezza in uno dei loro ambienti logici potrebbe potenzialmente fornire un accesso laterale al vostro ambiente e, di conseguenza, al vostro intero ecosistema IT.

La natura di disponibilità a livello globale di IDaaS è certamente un vantaggio irresistibile, soprattutto considerando quanto sarebbe costoso fornire da soli quel livello di tolleranza agli errori. Detto questo, ci sono anche requisiti normativi da non trascurare assolutamente. Alcune organizzazioni sono limitate geograficamente (si pensi solo al GDPR) su aspetti come il luogo in cui possono conservare i loro sistemi/dati. Si può sempre collaborare con il provider IDaaS per garantire che i dati rimangano all’interno di una regione specifica, ma è sicuramente un argomento da considerare e affrontare se ci sono in ballo delle restrizioni geografiche.

E non sono preoccupazioni campate in aria. Solo un paio di mesi fa, uno dei maggiori fornitori di IDaaS, Okta, ha subito una violazione di sicurezza che ha colpito 366 diversi clienti aziendali. Se un provider IDaaS viene compromesso da un attore malintenzionato, la cosa potrebbe avere conseguenze devastanti per l’intera organizzazione o potenzialmente per l’intero settore, poiché molti provider IDaaS hanno a che fare con centinaia o migliaia di informazioni IAM critiche dei clienti.

Valutare attentamente IDaaS

Detto questo, è chiaro il motivo per cui molte organizzazioni stanno adottando le offerte IDaaS. Con l’ubiquità del cloud, queste aziende hanno spesso bisogno di opzioni IAM dinamiche e solide che supportino i loro diversi ecosistemi. Per molte organizzazioni, inoltre, i provider IDaaS possono offrire funzionalità IAM a prezzi estremamente vantaggiosi.

Infine, il consumo di IDaaS spesso consente alle organizzazioni di concentrarsi sulle proprie competenze chiave (attenzione massima ai propri clienti e stakeholder), che in genere non hanno a che fare con la gestione IAM. Come con qualsiasi tecnologia e offerta as-a-service, anche per IDaaS ci sono insomma fattori critici da considerare e le organizzazioni non dovrebbero adottare una soluzione simile senza pensarci attentamente.