Smau Milano 2011 Giuseppe Paternò

download Smau Milano 2011 Giuseppe Paternò

If you can't read please download the document

  • date post

    03-Dec-2014
  • Category

    Technology

  • view

    704
  • download

    2

Embed Size (px)

description

SecurePass: la sfida tecnologica nel creare un secure identity service provider

Transcript of Smau Milano 2011 Giuseppe Paternò

  • 1. La sda tecnologica nel creare un Giuseppe Patern CTO, GARL SaglSecure Identity Service Provider 19 Ottobre 2011Wednesday 19 October 2011 1

2. Lhacking silenzioso: i furti di identit milioni di vittime di furti di identit solamente negli USA nel10 2008 (Javelin Strategy and Research, 2009) miliardi di dollari allanno la perdita economica mondiale221relativa al furto di identit (Aberdeen Group) ore di lavoro per correggere i problemi relativi ai furti di 5840identit, ovvero lequivalente di due anni di lavoro di una persona (ITRC Aftermath Study, 2004). milioni di dati compromessi tra le aziende e agenzie35 governative nel solo 2008 (ITRC) miliardi di euro di danni alle aziende nella sola Italia nel 20092(Ricerca ABI)Wednesday 19 October 20112 3. Un esempio concreto Durante un nostro security assessment di una emittenteradiotelevisiva, il furto di identit ha causato: Compromissione dellaccesso remoto e accesso a tutti i sistemi Accesso alla mail aziendale di tutti i dipendenti Accesso alle informazioni estremamente riservate: stipendi, budget dellazienda, bilanci,ecc... Accesso completo al sistema di messa in onda: teletext, messa in onda radio, messa inonda video con la possibilit di cambiare i contenuti in qualsiasi momento Accesso ai sistemi elettrici dellazienda, con la possibilit di spegnere completamentelazienda e le trasmissioni televisive/radiofonicheWednesday 19 October 2011 3 4. Le identit e la vita reale: Vorrei ma ....NonNonabbiamoabbiamo tempobudgetWednesday 19 October 20114 5. Le identit e la vita reale La tematica delle identit digitali non e semplice anche per i pi esperti. Ci vogliono: personale dedicato, spesso una squadra di persone, con conoscenze tecniche moltoelevate infrastrutture dedicate, con ridondanza geograca e alta banda/velocit tra le sedi licenze e canoni di manutenzione di differenti software e sistemi operativi (identitymanagement, strong authentication, data replication, CAL, ...) consulenti estremamente competenti dedicati al set-up dellinfrastruttura Non tutte le aziende, anche tra le pi grandi, possono permettersi di avere una elevataprotezione delle identit Con il clould computing, i problemi diventano sempre pi complicati e costosi (altadisponibilita, ecc..)Wednesday 19 October 2011 5 6. Lidea: SecurePassCreare una Banca Svizzeradelle Identitche fosse alla portata di tutti e che implementasse alti standard di sicurezza,con particolare focus allambito cloudWednesday 19 October 20116 7. Cosa fa SecurePass La banca SecurePass un servizio on-line erogato in modalit cloud Software-as-a-Service (SaaS) che offre alle aziende una gestione e una protezione a 360 gradidelle identit. Garantisce lazienda che chiGarantisce lutente che la sua accede al dato, allapplicazione oidentit digitale non venga al sistema sia veramente chi dice compromessa. di essere; di essere in linea con i requisiti minimi di legge. Solleva lazienda dai costi ssi eSolleva lutente dal ricordare nascosti di gestione. password complesse, previste dalla leggeWednesday 19 October 2011 7 8. I valori di SecurePass Garantire la protezione delle identit digitali implementando lamassima sicurezza possibile Neutralit: non vogliamo essere inuenzati ne da vendor, da fondi diinvestimento o da speciche nazioni. Facilit di gestione: le identit non devono essere un peso per lITManager, che deve concentrarsi sul sostenere il business principaledellazienda Facilit di integrazione negli applicativi e nei sistemi esistenti Trasparenza: nessun costo nascosto, il cliente paga per quello che usa Luso di standard Internet: non vogliamo legare il cliente con protocolliproprietariWednesday 19 October 2011 8 9. Gli ambiti di SecurePass Cloud Applicazioni e sistemi sensibili ospitati in un cloud/hosting provider Accesso sicuro ad infrastrutture cloud per cloud providers (es: VMWare, Citrix, ....) Extranet/DMZ Portali web disponibili dallesterno a persone selezionate Accesso a sistemi e applicazioni esposti su Internet Compatibilit verso VPN e SSL VPN per avere il massimo ritorno degli investimenti e minorgestione da parte dellIT Micro/Piccole imprese che decidono di spostare tutto sulla cloud.Wednesday 19 October 2011 9 10. Esempio pratico: Emergency Agenzia non-governativa che offre curegratuite e di qualit alle vittime della guerrae della povert Presente in 7 paesi nel mondo, alcuniconsiderati zone di guerra, ha curato pidi 4 milioni di persone Accessi del personale volontariointernazionale da ogni angolo del pianeta viaInternet Obiettivo: proteggere le identit di tuttopersonale e le cartelle cliniche di tutti ipazienti curati.Wednesday 19 October 2011 10 11. Lets get technical now ... :-)Wednesday 19 October 2011 11 12. Protezione delle identit SecurePass e un sistema di directory con sistemi di partizionamento sicuro dei dati e crittograa ad alto standard La protezione dellidentit dellutente e basata su sistemi multipli e indipendenti di autenticazione forte: Il mattoncino base e un sistema One Time Password (OTP) basata su algoritmi standard e riconosciuti dallacomunit internazionale come robusti Stiamo lavorando ad altri meccanismi di strong authentication facili da usare Client disponibile per: Smartphones (iPhone e Android; BlackBerry in fase di lavorazione), gratuito e indipendente dalla coperturaGSM Software token per Windows, Mac e Linux (Ubuntu) gratuito Hardware token Secondo livello di password (PIN) alfanumericoWednesday 19 October 2011 12 13. Protezione degli accessi SecurePass deve essere facile da integrare in applicazioni, sistemi e apparati presenti sulmercato La soluzione e ladozione di standard Internet, in particolare: RADIUS: presente in gran parte degli apparati di rete, VPN e sistemi operativi LDAP: presente in gran parte i sistemi operativi, degli applicativi tradizionali e web-based CAS: standard di Web Single Sign-On che vi permette di autenticarvi una volta sola a tutti ivostri applicativi Web Se implementate uno di questi standard, siete gi compatibili con SecurePass (gran parte delsoftware commerciale e Open Source lo e gi) Implementare questi standard e di poca fatica grazie al gran numero di framework disponibili edesempi per tutti i linguaggi di programmazioneWednesday 19 October 201113 14. Esempi: Networking Virtual Private Networks SSL VPN e VPN tradizionali Network Access Control Accesso alla rete Wireless, inclusogli HotSpots Accesso alla rete wired Accesso amministrativo agli apparatiesposti, es: router ISP con IP pubblicoWednesday 19 October 2011 14 15. Esempi: Applicazioni tradizionali Accesso sicuro a server ed applicazioniche: Sono pubblicati su Internet o Extranet Contengono dati riservati Ad esempio accedendo allapplicativovia: Windows Terminal services via RDP SSH ad un host Unix Secure File Transfers (SFTP/SCP)Wednesday 19 October 201115 16. Esempi: Applicativi Web Applicativi web in hosting/cloud che sono accedutitramite Internet Portali e applicativi in Extranet (es: accesso partner) Siti Intranet che necessitano di unautenticazione forte Per poter integrare il sistema di Web Single Sign-Onservice deve: Essere ospitato su un web-server di tipo Apacheweb server o Microsoft Internet Information Server(IIS) Che sia scritto in: Java, PHP, Python, Ruby, Perland .NET Qualsiasi linguaggio di programmazione o web-servercapace di autenticarsi con RADIUS o LDAPWednesday 19 October 201116 17. Esempi: Infrastrutture Cloud e applicativi speciali VMWare Cloud Director Qualsiasi sistema di cloud management(es: XenServer) compatibile con: RADIUS LDAP Sistemi autorizzativi es: banche e istituti nanziari, istitutigovernativi, ecc ....Wednesday 19 October 2011 17 18. Lapproccio alla Google Una banca delle identit deve essere scalabile e resiliente deve poter scalare e posizionare i dati il pi vicino possibile al cliente deve sopravvivere a multiple failures, da quelli locali (rottura dei server e degliapparati) a down di un interno datacenter e/o di dorsali Internet di una o pi nazioni I software tradizionali non sono pronti ad un sistema scalabile a piacere: durante itest abbiamo trovato limitazioni sui databases SQL e su LDAP con pi di 3-4datacenters Il software e stato scritto da zero interamente in-house, incluse le interfacce RADIUSe LDAP Si e usato un approccio de-strutturato come quello adottato da GoogleWednesday 19 October 201118 19. SecurePass in architettura Multi-Datacenter Datacenter Svizzera (Active)Replica sicura inalta velocit Standby Datacenter/Datacenter Italia (Active)Offsite BackupWednesday 19 October 201119 20. SecurePass: larchitettura softwareLDAPWebRADIUSCore AdminAPIs External CASAPIsWednesday 19 October 201120 21. I meccanismi di protezione di SecurePass Macchine siche presidiate e in ambiente ad accesso riservato Sicurezza dei dati su tutti i livelli dello stack ISO/OSI Accesso ai servers soltanto da parte del personale consentito Accesso dei clienti alla sola porzione dei dati a loro riservata Autorizzazzione di accesso multi-livello Protezione anti-DoS nativa Network Protection & IsolationWednesday 19 October 201121 22. Network Protection & Isolation Acme Inc Acme Inc valid userFooBar Inc La nostra tecnologia esclusiva di Network Protection & Isolation limita laccesso di un utente al solo apparato o applicazione a cui ha diritto di accedere. SecurePass e in grado di riconoscere da quale apparato o applicazione proviene la richiesta di autenticazione, se lapparato o lapplicazione e valido/a e se lutente e abilitato ad accedere da quella risorsa.Wednesday 19 October 2011 22 23. Presenza SecurePass un servizio diGARL Sagl Sede principale in Svizzera eufcio a Londra Partner presenti sul territorio:Svizzera, Italia, Turchia e UK La lista dei partner suwww.secure-pass.netWednesday 19 October 201123 24. The Swiss Identity Bank you trust Registrati su:www.secure-pass.neted usa il promo code smau2011Wednesday 19 October 2011 24