Your SlideShare is downloading. ×
0
La sfida tecnologica nel creare un   Giuseppe Paternò                                     CTO, GARL Sagl  Secure Identity S...
L’hacking “silenzioso”: i furti di identità                                 milioni di vittime di furti di identità solame...
Un esempio concreto                   Durante un nostro security assessment di una emittente                        radiot...
Le identità e la vita reale: “Vorrei ma ....”                              Non              Non                           ...
Le identità e la vita reale      • La tematica delle identità digitali non e’ semplice anche per i più esperti. Ci voglion...
L’idea: SecurePass                            Creare una         “Banca Svizzera          delle Identità”          che fos...
Cosa fa SecurePass         La “banca SecurePass” è un servizio on-line erogato in         modalità cloud “Software-as-a-Se...
I valori di SecurePass      • Garantire la protezione delle identità digitali implementando la        massima sicurezza po...
Gli ambiti di SecurePass      • Cloud            • Applicazioni e sistemi sensibili ospitati in un cloud/hosting provider ...
Esempio pratico: Emergency                            • Agenzia non-governativa che offre cure                            ...
Let’s get technical now ... :-)Wednesday 19 October 2011                                     11
Protezione delle identità      • SecurePass e’ un sistema di directory con sistemi di partizionamento sicuro dei dati e cr...
Protezione degli accessi      • SecurePass deve essere facile da integrare in applicazioni, sistemi e apparati presenti su...
Esempi: Networking      • Virtual Private Networks            • SSL VPN e VPN tradizionali      • Network Access Control  ...
Esempi: Applicazioni tradizionali      • Accesso sicuro a server ed applicazioni        che:            • Sono pubblicati ...
Esempi: Applicativi Web      • Applicativi web in hosting/cloud che sono acceduti        tramite Internet      • Portali e...
Esempi: Infrastrutture Cloud e applicativi speciali      • VMWare Cloud Director      • Qualsiasi sistema di cloud managem...
L’approccio “alla Google”      • Una “banca delle identità” deve essere scalabile e resiliente            • deve poter sca...
SecurePass in architettura Multi-Datacenter                                           Datacenter Svizzera (Active)        ...
SecurePass: l’architettura software                                                LDAP                                   ...
I meccanismi di protezione di SecurePass      • Macchine fisiche presidiate e in ambiente ad accesso riservato      • Sicur...
Network Protection & Isolation                                                                           Acme Inc         ...
Presenza      • SecurePass è un servizio di        GARL Sagl      • Sede principale in Svizzera e        ufficio a Londra  ...
The Swiss Identity Bank             you trust                       Registrati su:                    www.secure-pass.net ...
Upcoming SlideShare
Loading in...5
×

Smau Milano 2011 Giuseppe Paternò

505

Published on

SecurePass: la sfida tecnologica nel creare un secure identity service provider

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
505
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Smau Milano 2011 Giuseppe Paternò"

  1. 1. La sfida tecnologica nel creare un Giuseppe Paternò CTO, GARL Sagl Secure Identity Service Provider 19 Ottobre 2011Wednesday 19 October 2011 1
  2. 2. L’hacking “silenzioso”: i furti di identità milioni di vittime di furti di identità solamente negli USA nel 10 2008 (Javelin Strategy and Research, 2009) miliardi di dollari all’anno la perdita economica mondiale 221 relativa al furto di identità (Aberdeen Group) ore di lavoro per correggere i problemi relativi ai furti di 5840 identità, ovvero l’equivalente di due anni di lavoro di una persona (ITRC Aftermath Study, 2004). milioni di dati compromessi tra le aziende e agenzie 35 governative nel solo 2008 (ITRC) miliardi di euro di danni alle aziende nella sola Italia nel 2009 2 (Ricerca ABI)Wednesday 19 October 2011 2
  3. 3. Un esempio concreto Durante un nostro security assessment di una emittente radiotelevisiva, il furto di identità ha causato: • Compromissione dell’accesso remoto e accesso a tutti i sistemi • Accesso alla mail aziendale di tutti i dipendenti • Accesso alle informazioni estremamente riservate: stipendi, budget dell’azienda, bilanci, ecc... • Accesso completo al sistema di messa in onda: teletext, messa in onda radio, messa in onda video con la possibilità di cambiare i contenuti in qualsiasi momento • Accesso ai sistemi elettrici dell’azienda, con la possibilità di spegnere completamente l’azienda e le trasmissioni televisive/radiofonicheWednesday 19 October 2011 3
  4. 4. Le identità e la vita reale: “Vorrei ma ....” Non Non abbiamo abbiamo tempo budgetWednesday 19 October 2011 4
  5. 5. Le identità e la vita reale • La tematica delle identità digitali non e’ semplice anche per i più esperti. Ci vogliono: • personale dedicato, spesso una squadra di persone, con conoscenze tecniche molto elevate • infrastrutture dedicate, con ridondanza geografica e alta banda/velocità tra le sedi • licenze e canoni di manutenzione di differenti software e sistemi operativi (identity management, strong authentication, data replication, CAL, ...) • consulenti estremamente competenti dedicati al set-up dell’infrastruttura • Non tutte le aziende, anche tra le più grandi, possono permettersi di avere una elevata protezione delle identità • Con il clould computing, i problemi diventano sempre più complicati e costosi (alta disponibilita’, ecc..)Wednesday 19 October 2011 5
  6. 6. L’idea: SecurePass Creare una “Banca Svizzera delle Identità” che fosse alla portata di tutti e che implementasse alti standard di sicurezza, con particolare focus all’ambito cloudWednesday 19 October 2011 6
  7. 7. Cosa fa SecurePass La “banca SecurePass” è un servizio on-line erogato in modalità cloud “Software-as-a-Service” (SaaS) che offre alle aziende una gestione e una protezione a 360 gradi delle identità. Garantisce l’azienda che chi Garantisce l’utente che la sua accede al dato, all’applicazione o identità digitale non venga al sistema sia veramente chi dice compromessa. di essere; di essere in linea con i requisiti minimi di legge. Solleva l’azienda dai costi fissi e Solleva l’utente dal ricordare nascosti di gestione. password complesse, previste dalla leggeWednesday 19 October 2011 7
  8. 8. I valori di SecurePass • Garantire la protezione delle identità digitali implementando la massima sicurezza possibile • Neutralità: non vogliamo essere influenzati ne’ da vendor, da fondi di investimento o da specifiche nazioni. • Facilità di gestione: le identità non devono essere un peso per l’IT Manager, che deve concentrarsi sul sostenere il business principale dell’azienda • Facilità di integrazione negli applicativi e nei sistemi esistenti • Trasparenza: nessun costo nascosto, il cliente paga per quello che usa • L’uso di standard Internet: non vogliamo legare il cliente con protocolli proprietariWednesday 19 October 2011 8
  9. 9. Gli ambiti di SecurePass • Cloud • Applicazioni e sistemi sensibili ospitati in un cloud/hosting provider • Accesso sicuro ad infrastrutture cloud per cloud providers (es: VMWare, Citrix, ....) • Extranet/DMZ • Portali web disponibili dall’esterno a persone selezionate • Accesso a sistemi e applicazioni esposti su Internet • Compatibilità verso VPN e SSL VPN per avere il massimo ritorno degli investimenti e minor gestione da parte dell’IT • Micro/Piccole imprese che decidono di spostare tutto sulla cloud.Wednesday 19 October 2011 9
  10. 10. Esempio pratico: Emergency • Agenzia non-governativa che offre cure gratuite e di qualità alle vittime della guerra e della povertà • Presente in 7 paesi nel mondo, alcuni considerati “zone di guerra”, ha curato più di 4 milioni di persone • Accessi del personale volontario internazionale da ogni angolo del pianeta via Internet • Obiettivo: proteggere le identità di tutto personale e le cartelle cliniche di tutti i pazienti curati.Wednesday 19 October 2011 10
  11. 11. Let’s get technical now ... :-)Wednesday 19 October 2011 11
  12. 12. Protezione delle identità • SecurePass e’ un sistema di directory con sistemi di partizionamento sicuro dei dati e crittografia ad alto standard • La protezione dellidentità dell’utente e’ basata su sistemi multipli e indipendenti di autenticazione forte: • Il “mattoncino base” e’ un sistema One Time Password (OTP) basata su algoritmi standard e riconosciuti dalla comunità internazionale come “robusti” • Stiamo lavorando ad altri meccanismi di strong authentication facili da usare • Client disponibile per: • Smartphones (iPhone e Android; BlackBerry in fase di lavorazione), gratuito e indipendente dalla copertura GSM • Software token per Windows, Mac e Linux (Ubuntu) gratuito • Hardware token • Secondo livello di password (PIN) alfanumericoWednesday 19 October 2011 12
  13. 13. Protezione degli accessi • SecurePass deve essere facile da integrare in applicazioni, sistemi e apparati presenti sul mercato • La soluzione e’ l’adozione di standard Internet, in particolare: • RADIUS: presente in gran parte degli apparati di rete, VPN e sistemi operativi • LDAP: presente in gran parte i sistemi operativi, degli applicativi tradizionali e web-based • CAS: standard di Web Single Sign-On che vi permette di autenticarvi una volta sola a tutti i vostri applicativi Web • Se implementate uno di questi standard, siete già compatibili con SecurePass (gran parte del software commerciale e Open Source lo e’ già) • Implementare questi standard e’ di poca fatica grazie al gran numero di framework disponibili ed esempi per tutti i linguaggi di programmazioneWednesday 19 October 2011 13
  14. 14. Esempi: Networking • Virtual Private Networks • SSL VPN e VPN tradizionali • Network Access Control • Accesso alla rete Wireless, incluso gli HotSpots • Accesso alla rete “wired” • Accesso amministrativo agli apparati esposti, es: router ISP con IP pubblicoWednesday 19 October 2011 14
  15. 15. Esempi: Applicazioni tradizionali • Accesso sicuro a server ed applicazioni che: • Sono pubblicati su Internet o Extranet • Contengono dati riservati • Ad esempio accedendo all’applicativo via: • Windows Terminal services via RDP • SSH ad un host Unix • Secure File Transfers (SFTP/SCP)Wednesday 19 October 2011 15
  16. 16. Esempi: Applicativi Web • Applicativi web in hosting/cloud che sono acceduti tramite Internet • Portali e applicativi in Extranet (es: accesso partner) • Siti Intranet che necessitano di un’autenticazione forte • Per poter integrare il sistema di Web Single Sign-On service deve: • Essere ospitato su un web-server di tipo Apache web server o Microsoft Internet Information Server (IIS) • Che sia scritto in: Java, PHP, Python, Ruby, Perl and .NET • Qualsiasi linguaggio di programmazione o web-server capace di autenticarsi con RADIUS o LDAPWednesday 19 October 2011 16
  17. 17. Esempi: Infrastrutture Cloud e applicativi speciali • VMWare Cloud Director • Qualsiasi sistema di cloud management (es: XenServer) compatibile con: • RADIUS • LDAP • Sistemi autorizzativi • es: banche e istituti finanziari, istituti governativi, ecc ....Wednesday 19 October 2011 17
  18. 18. L’approccio “alla Google” • Una “banca delle identità” deve essere scalabile e resiliente • deve poter scalare e posizionare i dati il “più vicino possibile” al cliente • deve sopravvivere a multiple failures, da quelli locali (rottura dei server e degli apparati) a down di un interno datacenter e/o di dorsali Internet di una o più nazioni • I software “tradizionali” non sono pronti ad un sistema scalabile a piacere: durante i test abbiamo trovato limitazioni sui databases SQL e su LDAP con più di 3-4 datacenters • Il software e’ stato scritto da zero interamente in-house, incluse le interfacce RADIUS e LDAP • Si e’ usato un approccio de-strutturato come quello adottato da GoogleWednesday 19 October 2011 18
  19. 19. SecurePass in architettura Multi-Datacenter Datacenter Svizzera (Active) Replica sicura in alta velocità Standby Datacenter/ Datacenter Italia (Active) Offsite BackupWednesday 19 October 2011 19
  20. 20. SecurePass: l’architettura software LDAP Web RADIUS Core Admin APIs External CAS APIsWednesday 19 October 2011 20
  21. 21. I meccanismi di protezione di SecurePass • Macchine fisiche presidiate e in ambiente ad accesso riservato • Sicurezza dei dati su tutti i livelli dello stack ISO/OSI • Accesso ai servers soltanto da parte del personale consentito • Accesso dei clienti alla sola porzione dei dati a loro riservata • Autorizzazzione di accesso multi-livello • Protezione anti-DoS nativa • Network Protection & IsolationWednesday 19 October 2011 21
  22. 22. Network Protection & Isolation Acme Inc Acme Inc valid user FooBar Inc La nostra tecnologia esclusiva di Network Protection & Isolation limita l’accesso di un utente al solo apparato o applicazione a cui ha diritto di accedere. SecurePass e’ in grado di riconoscere da quale apparato o applicazione proviene la richiesta di autenticazione, se l’apparato o l’applicazione e’ valido/a e se l’utente e’ abilitato ad accedere da quella risorsa.Wednesday 19 October 2011 22
  23. 23. Presenza • SecurePass è un servizio di GARL Sagl • Sede principale in Svizzera e ufficio a Londra • Partner presenti sul territorio: Svizzera, Italia, Turchia e UK • La lista dei partner su www.secure-pass.netWednesday 19 October 2011 23
  24. 24. The Swiss Identity Bank you trust Registrati su: www.secure-pass.net ed usa il promo code smau2011Wednesday 19 October 2011 24
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×