SOLUZIONI DI SICUREZZA

Controllare l’accesso ai dati IoT, il sistema ABAC: soluzioni pratiche

È sempre più importante riuscire a controllare l’accesso ai dati IoT anche per consentirne la condivisione sicura all’interno di un’organizzazione. Ecco cos’è e come funziona il sistema di controllo ABAC e come configurare un modello di autorizzazione dinamico per l’accesso ai dati

22 Ago 2019
V
Nicola Vanin

Data Governance & Information Security Senior Manager


Con l’aumento della quantità di informazioni generate attraverso i dispositivi IoT, diventa sempre più importante condividere i dati in modo sicuro all’interno di un’organizzazione per poi generare approfondimenti analitici che ovviamente hanno a che fare con la sicurezza e la protezione dei dati personali e commerciali.

E con così tanti dati generati tramite dispositivi IoT, le aziende devono avere tra le loro priorità quella di controllare chi può e non può accedervi.

Controllare l’accesso ai dati IoT: il sistema ABAC

In questo contesto, un esempio di protezione da considerare è l’autorizzazione dinamica fornita con il sistema ABAC (Attribute Based Access Control).

ABAC è un modello di controllo dell’accesso ai dati che consente alle organizzazioni di condividere in modo sicuro i dati IoT garantendo al contempo agli utenti autorizzati l’accesso a dati riservati solo nelle giuste condizioni.

Mentre le reti informatiche convenzionali adottano il paradigma Based Access Control (RBAC) dove ad un utente è assegnato un ruolo come “amministratore” che predetermina i diritti di accesso, con il metodo ABAC l’autorizzazione dipende dall’assegnazione di cosiddetti “attributi” a ciascuna entità nel sistema.

Gli attributi sono insiemi di etichette o proprietà che possono essere utilizzati per descrivere tutte le entità che devono essere considerate ai fini dell’autorizzazione. Ogni attributo è costituito da una coppia chiave-valore come “Ruolo = Manager”

Un attributo può fare riferimento ad un utente o ad una particolare risorsa o all’ambiente circostante, è definito come una particolare proprietà, ruolo o permesso associato un componente nel sistema ed è assegnato dopo una procedura di autenticazione dall’amministratore di sistema.

Ciò rende ABAC estremamente interessante per l’adozione in sistemi che richiedono un controllo di accesso granulare come l’Internet of Things.

WEBINAR
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Sicurezza
Sicurezza dei dati

La particolarità del modello ABAC, infatti, si basa sulla creazione di un set di attributi per qualsiasi elemento del proprio sistema. Una policy di gestione centralizzata definisce quali combinazioni di attributi utente e oggetto sono richieste per eseguire qualsiasi azione.

A differenza di RBAC, in ABAC è possibile utilizzare anche attributi che non sono ancora registrati nel sistema ma che verranno visualizzati durante il processo di lavoro.

Questo approccio è adatto per un’azienda di qualsiasi dimensione, ma è principalmente utilizzato per le grandi organizzazioni.

ABAC, infatti, richiede più tempo e impegno rispetto all’RBAC nella fase di installazione e configurazione, poiché gli amministratori della sicurezza devono definire tutti gli attributi del sistema. Inizialmente, è necessario assegnare manualmente gli attributi a ciascun componente del sistema.

Ma una volta che si sono create le politiche per le posizioni di lavoro e le risorse più comuni nella azienda, si può semplicemente copiarle per ogni nuovo utente e risorsa.

Questo è simile a come un ruolo funziona nel modello RBAC, ma nel modello ABAC gli attributi possono essere modificati per le esigenze di un particolare utente senza creare un nuovo ruolo.

Gli attributi rendono ABAC un modello di controllo degli accessi più dettagliato rispetto all’RBAC.

Controllare l’accesso ai dati IoT: le linee guida del NIST

I componenti principali del modello ABAC, oltre all’attributo, secondo il le linee guida del National Institute of Standards and Technology (NIST) sono:

  • caratteristiche dell’utente: posizione, dipartimento, indirizzo IP, livello di autorizzazione e via dicendo del dipendente;
  • caratteristiche dell’oggetto: tipo, creatore, sensibilità, livello di autorizzazione richiesto ecc.;
  • tipo di azione: leggi, scrivi, modifica, copia, incolla ecc.;
  • caratteristiche ambientali: ora, giorno della settimana, posizione ecc.;
  • soggetto: qualsiasi utente o risorsa che può eseguire azioni nella rete; a un soggetto vengono assegnati attributi per definire il suo livello di autorizzazione;
  • oggetto: qualsiasi dato memorizzato nella rete; agli oggetti vengono assegnati attributi per descriverli e identificarli;
  • operazione: qualsiasi azione intrapresa da qualsiasi soggetto nella rete;
  • politica: un insieme di regole che consentono o limitano qualsiasi azione nel sistema di recupero delle informazioni; le regole sono istruzioni “IF / THEN” basate sugli attributi di qualsiasi elemento (utente, risorsa, ambiente).

Quindi, i vantaggi dell’utilizzo di ABAC nell’IoT possono essere riassunti come segue:

  • riduzione dei dati: ABAC utilizza gli attributi per identificare i richiedenti, pertanto, l’ABAC può essere utilizzato per fornire accesso solo ai dati personali richiesti per la fornitura di una richiesta a un servizio. Questo concetto è noto come minimizzazione dei dati;
  • miglioramento della privacy: ABAC supporta la minimizzazione dei dati. Ciò consente a un’organizzazione di progettare meglio le richieste di data protection in cui vengono specificati solo i dati richiesti;
  • implementazioni di policy based decisions: le decisioni di accesso alle risorse sono gestite tramite politiche piuttosto che da individui;
  • maggior dinamicità: le decisioni di accesso vengono prese durante il runtime poiché utilizzano anche informazioni di contesto. Esempio: supponiamo che esista una policy che concede l’accesso a una risorsa specifica che si trovano a Roma. Pertanto, il sistema durante il runtime dovrà verificare la posizione del richiedente prima di prendere una decisione di accesso;
  • flessibilità: le decisioni di accesso sono associate alle politiche di accesso piuttosto che ai ruoli. Ciò consente al sistema di essere più flessibile nella progettazione delle politiche in base alle esigenze. Questo perché le autorizzazioni non sono più legate ai ruoli come nel RBAC.

Ad esempio, quando un nuovo dispositivo si unisce a un sistema, non sarà necessario modificare le regole o le policy finché al nuovo dispositivo verranno assegnati gli attributi necessari per accedere alle risorse richieste. Questa capacità è uno dei principali vantaggi dell’utilizzo di ABAC nell’IoT.

Di conseguenza, ABAC è una tecnologia promettente per il controllo degli accessi per l’IoT. Molte industrie hanno iniziato a esplorare i vantaggi dell’utilizzo di ABAC per la gestione del controllo di accesso a cose e risorse nell’IoT. Ad esempio nel settore sanitario, lo studio sottolinea che dal punto di vista del paziente, l’ABAC può essere utilizzato per raccogliere efficacemente il consenso degli utenti per la gestione della Cartella clinica elettronica dei pazienti.

Conclusione

Per far fronte a determinate sfide poste dalla capacità del dispositivo e dalla natura delle reti IoT, è necessario un modello di controllo dell’accesso leggero per risolvere i problemi di sicurezza e data protection. L’uso di complessi algoritmi di crittografia è impossibile a causa della natura volatile dell’ambiente IoT e dei dispositivi pervasivi con risorse limitate.

Attraverso una soluzione ABAC possiamo un modello di controllo degli accessi per l’Internet delle cose, in cui viene effettuato un accoppiamento tra il controllo dell’accesso basato sugli attributi e il concetto di fiducia.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Sebbene il concetto stesso sia esistito per molti anni, ABAC è considerato un modello di autorizzazione di “nuova generazione” perché fornisce un controllo dell’accesso dinamico, sensibile al contesto e intelligente al consentendo alle imprese una grande flessibilità di implementazione sulle loro infrastrutture esistenti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5