Modernizzazione della gestione delle identità su larga scala

Un’importante agenzia statale che fornisce servizi informatici gestisce la gestione delle identità e degli accessi per oltre 145.000 utenti distribuiti in decine di enti statali, tra cui le forze dell’ordine, i cui sistemi devono soddisfare i rigorosi requisiti di sicurezza previsti dai Servizi informativi della giustizia penale (CJIS).  

In qualità di cliente di lunga data di RSA, l’agenzia si era affidata per anni a RSA SecurID e ad Authentication Manager per proteggere il proprio ambiente on-premise. Ciò di cui aveva bisogno ora era un percorso da seguire: un modo per estendere quella solida base a un ambiente Microsoft incentrato sul cloud, eliminare il carico di lavoro dell’help desk che era cresciuto di pari passo con la base utenti e implementare un sistema di autenticazione resistente al phishing e senza password, come richiesto dalla sua strategia Zero Trust. 

L'agenzia ha trovato questa strada grazie a RSA. Anziché sostituire ciò che già possedeva, l’agenzia ha modernizzato le proprie capacità, estendendo la piattaforma RSA esistente al cloud con RSA ID Plus, aggiungendo funzionalità self-service e automazione del ciclo di vita con RSA ID Plus Prime e implementando RSA Help Desk Live Verify per colmare una delle vulnerabilità più sfruttate in qualsiasi grande organizzazione: l’help desk stesso. Il risultato è una piattaforma di gestione delle identità autorizzata da FedRAMP, conforme allo standard FIPS 140-3 e allineata alle norme CJIS, che opera in sinergia con Microsoft Entra Identity, proteggendo le risorse cloud, ibride e on-premise da un’unica console unificata. 

Le organizzazioni IT dei governi statali operano su una scala tale da rendere la modernizzazione delle identità un’esigenza sia urgente che complessa. Questa sola agenzia gestisce oltre 145.000 identità utente distribuite su decine di entità, ciascuna con profili di rischio, obblighi di conformità ed esigenze di autenticazione diversi. L’ecosistema Microsoft, fulcro della sua infrastruttura, era cresciuto in modo significativo, con Microsoft 365 e Microsoft Entra Identity che ora gestiscono l’accesso ai carichi di lavoro basati sul cloud in tutta l’azienda. Allo stesso tempo, i sistemi on-premise, l’accesso alla rete connesso a RADIUS, le applicazioni legacy e gli ambienti ad alta sicurezza che non potevano essere trasferiti sul cloud rimanevano essenziali per le operazioni quotidiane. 

Microsoft offre solide funzionalità di gestione delle identità all’interno del proprio ecosistema, ma proprio le aree in cui Entra presenta delle limitazioni erano anche quelle in cui si concentrava il rischio per questa agenzia: carichi di lavoro ibridi e on-premise, applicazioni legacy che richiedono l’autenticazione tramite token hardware, ambienti air-gapped o dipendenti da RADIUS e casi d’uso ad alta sicurezza con requisiti di conformità FIPS e CJIS. Colmare tali lacune di vulnerabilità richiedeva una piattaforma appositamente progettata per estendere le funzionalità laddove Microsoft si ferma. RSA ID Plus, in quanto complemento autorizzato da FedRAMP a Microsoft Entra, rappresentava proprio quella piattaforma. 

L'infrastruttura di identità esistente dell'agenzia funzionava su una versione precedente di una soluzione di autenticazione RSA on-premises. Tale soluzione precedente supportava circa 109.000 token software e 36.000 token hardware. E sebbene fosse sempre stato affidabile, non era più sufficiente a soddisfare le crescenti esigenze dell’agenzia. Erano emersi diversi problemi critici per l’attività: 

• Carico di lavoro dell'help desk: Le richieste di reimpostazione delle credenziali e di onboarding generavano circa 2.500 chiamate all’help desk al mese. L’esperienza self-service legata alla soluzione precedente offriva possibilità di personalizzazione limitate e non consentiva di ridurre tale volume. Peggio ancora, l’help desk stesso rappresentava un rischio per la sicurezza: gli attacchi di ingegneria sociale che si spacciavano per utenti legittimi per ottenere l’accesso attraverso i canali di assistenza costituivano un rischio non affrontato. 
• Zero Trust e autenticazione multifattoriale (MFA) resistente al phishing: L’iniziativa Zero Trust dell’agenzia richiedeva un sistema di autenticazione resistente al phishing in tutti gli ambienti, non solo nei sistemi cloud-native. I flussi tradizionali basati su OTP e password non erano in grado di soddisfare tale requisito e l’agenzia aveva bisogno di espandere la propria soluzione per includere autenticatori push, biometrici, codici QR e autenticatori hardware certificati FIDO2 e FIDO, mantenendo intatto il proprio investimento esistente in token. 
• Conformità e certificazione: Gli organismi preposti all'applicazione della legge all'interno dell'agenzia richiedevano un sistema di autenticazione conforme allo standard CJIS, dotato di registri di audit centralizzati e reportistica in tempo reale. I requisiti di allineamento federali indicavano soluzioni autorizzate da FedRAMP. I casi d'uso ad alta sicurezza richiedevano dispositivi di autenticazione hardware certificati FIPS 140-3.
• Rendicontazione e governance: La rendicontazione manuale, basata su fogli di calcolo, non era in grado di adattarsi alle esigenze di revisione e conformità in tutto il 145.000 utenti. L'agenzia aveva bisogno di una visibilità automatizzata e in tempo reale sugli eventi di autenticazione, sullo stato del ciclo di vita dei token e sull'attività degli utenti. 

La modernizzazione doveva affrontare tutti questi aspetti contemporaneamente, senza ricorrere a una sostituzione radicale che avrebbe causato disagi a una forza lavoro di 145.000 utenti che hanno già familiarità con l'autenticazione RSA. 

RSA ID Plus è certificato FedRAMP ed è stato progettato appositamente per altamente complesso ambienti ibridi. Si integra con Microsoft Entra Identità tramite SAML e OpenID Connect, estendendo una politica di autenticazione coerente a Microsoft 365, alle applicazioni ospitate nel cloud e ai sistemi on-premises, senza sostituire il livello di identità Microsoft né richiedere all’agenzia di gestire due console separate. Mentre Entra copre il cloud Microsoft, RSA copre tutto il resto: RADIUS, applicazioni legacy, ambienti air-gapped e carichi di lavoro che richiedono un livello di sicurezza superiore a quello offerto dagli strumenti cloud-native. 

“L’agenzia non ha dovuto scegliere tra la protezione del proprio ambiente Microsoft e la salvaguardia del proprio investimento in RSA. RSA ID Plus ha reso possibile entrambe le cose contemporaneamente.”

RSA offriva inoltre qualcosa che nessuna soluzione puntuale poteva garantire: una risposta completa al problema dell’help desk. RSA Help Desk Live Verify (in attesa di brevetto) fornisce una verifica bidirezionale dell’identità senza password per le interazioni con l’help desk, consentendo al personale dell’help desk e agli utenti di verificare reciprocamente le proprie identità senza PIN, segreti condivisi o domande a risposta aperta che possano essere ricercate o oggetto di ingegneria sociale. Per un’agenzia che gestisce 145.000 utenti In decine di entità, Help Desk Live Verify ha risolto una vulnerabilità sistemica che nessuna espansione dell’autenticazione a più fattori (MFA) sarebbe riuscita a colmare da sola. 

Per i casi d’uso che richiedono il massimo livello di sicurezza dell’agenzia, gli ambienti soggetti alla normativa CJIS, i sistemi delle forze dell’ordine e i ruoli che richiedono hardware certificato FIPS, RSA ha proposto la serie RSA iShield Key 2: autenticatori hardware certificati FIDO2 con certificazione FIPS 140-3 Livello 3, che supportano un’autenticazione resistente al phishing e senza password conforme all’Ordine Esecutivo 14028, alle direttive OMB M-22-09 e M-24-14. Nessun altro fornitore oggetto della valutazione è stato in grado di garantire quel livello di sicurezza hardware insieme all’ampiezza dell’offerta ibrida fornita da RSA. 

L'accordo è stato reso possibile grazie a ThunderCat Technology in qualità di rivenditore della soluzione e Carahsoft Technology Corp in qualità di distributore, entrambi apportando al programma una profonda esperienza negli appalti del settore pubblico. RSA Professional Services ha messo a disposizione per dodici mesi un consulente residente a tempo parziale dedicato, integrato nell’ambiente dell’agenzia e responsabile della progettazione, dell’implementazione e del trasferimento di conoscenze durante l’intero processo. 

L’implementazione si è svolta in due fasi. Nella prima, RSA ID Plus è stato implementato in un modello di cloud ibrido, collegando la soluzione di autenticazione RSA legacy dell’agenzia alla piattaforma cloud RSA tramite Identity Router integrati. I token hardware e software esistenti sono stati mantenuti senza necessità di nuova registrazione. Microsoft Active Directory e LDAP sono stati integrati come fonti di identità. Le politiche di autenticazione sono state estese a Microsoft Entra e Microsoft 365 tramite SAML e OIDC. L’intera gamma di autenticatori moderni – notifiche push, dati biometrici, codici QR, hardware certificato FIDO2 e FIDO – è stata abilitata parallelamente al parco token legacy. L’agenzia ha implementato il suo primo portale Single Sign-On (SSO).  

Nella seconda fase, RSA ID Plus Prime è stato integrato nella piattaforma. Il portale self-service di Prime ha sostituito la console legacy di Authentication Manager, configurata per rispecchiare i flussi di lavoro esistenti, in modo che la transizione richiedesse una formazione minima. Il portale di amministrazione dell’Help Desk ha fornito al personale di supporto un’interfaccia dedicata, mentre RSA Help Desk Live Verify ha protetto tali interazioni dagli attacchi di ingegneria sociale. Il framework di integrazione Prime AMIS ha sostituito la reportistica manuale con funzionalità automatizzate e in tempo reale relative ad API, flussi di lavoro e audit. La verifica dell’identità tramite il portale Prime Identity Verification, utilizzato come front-end per Socure ID Proofing (la soluzione di verifica dell’identità già in uso presso l’agenzia), ha reso più sicuri e snelli i flussi di lavoro relativi all’onboarding dei nuovi utenti e al recupero delle credenziali, senza richiedere un intervento IT intensivo con gli utenti finali. 

La modernizzazione ha prodotto risultati su tre fronti: livello di sicurezza, efficienza operativa e preparazione alla conformità. 

Sicurezza e conformità 

• Autenticazione a più fattori (MFA) resistente al phishing in tutta l'azienda: L'agenzia è passata dal tradizionale OTP a una suite completa di autenticatori resistenti al phishing, notifiche push, dati biometrici, codici QR, FIDO2 e hardware certificato FIPS 140-3, gestiti da un'unica console in ambienti cloud, ibridi e on-premise. Ciò ha soddisfatto i requisiti del modello Zero Trust e ha risposto alle esigenze del CJIS in materia di autenticazione ad alta sicurezza nei sistemi delle forze dell’ordine.
• Allineamento tra FedRAMP e FIPS: L'autorizzazione FedRAMP di RSA ID Plus ha fornito il livello minimo di conformità federale richiesto dall'agenzia. Per i casi d’uso che richiedono il massimo livello di sicurezza, la certificazione FIPS 140-3 Livello 3 di RSA iShield Key 2 ha soddisfatto i requisiti previsti dall’EO 14028 e dall’OMB M-22-09, mentre il set di strumenti nativo di Microsoft non offriva alcuna soluzione equivalente. 
• Rischio di ingegneria sociale nell'help desk eliminato: RSA Help Desk Live Verify ha eliminato il vettore di attacco all’help desk sostituendo la verifica basata su una base di conoscenze con un sistema bidirezionale di verifica dell’identità senza password, garantendo che né gli utenti né il personale di assistenza possano essere indotti, tramite tecniche di ingegneria sociale, a compromettere le proprie credenziali. 

Miglioramenti operativi 

• Riduzione del volume delle richieste all'help desk: Il portale self-service Prime ha consentito agli utenti di gestire autonomamente le proprie credenziali, registrare dispositivi di autenticazione e completare la procedura di onboarding senza l’intervento del reparto IT. L’agenzia prevede di ridurre di 2.500 il numero di chiamate all’help desk al mese relative a richieste in materia di identità.
• Reportistica in tempo reale e preparazione alle verifiche: La generazione automatizzata di report tramite il framework Prime AMIS ha sostituito i processi manuali, fornendo ai team addetti alla conformità una visibilità in tempo reale sugli eventi di autenticazione, sullo stato del ciclo di vita dei token e sull’attività degli utenti, elementi fondamentali per adempiere agli obblighi di audit CJIS in tutte le entità delle forze dell’ordine dell’agenzia. 
• Modernizzazione senza interruzioni: I 109.000 token software e i 36.000 token hardware dell’agenzia sono stati conservati e trasferiti. Non è stata necessaria alcuna nuova registrazione per i 145.000 utenti. Il nuovo portale self-service è stato configurato in modo da rispecchiare i flussi di lavoro esistenti. Gli utenti finali hanno percepito la transizione come un miglioramento, non come un'interruzione. 
• Alta disponibilità su larga scala: L'architettura ibrida ad alta disponibilità ha garantito la resilienza su tutti i percorsi di autenticazione, sia nel cloud che in locale e su RADIUS, senza richiedere l'aggiunta di infrastrutture. 

Rafforzamento dell'ambiente Microsoft 

• RSA come livello di sicurezza di cui Entra aveva bisogno: RSA ID Plus ha esteso la politica di autenticazione a Microsoft 365, ai carichi di lavoro Azure e ai sistemi on-premise attraverso un’unica integrazione, aggiungendo la copertura ibrida, la garanzia hardware e il livello di conformità che Microsoft Entra da sola non era in grado di fornire. L’integrazione del metodo di autenticazione esterna (EAM) RSA/Microsoft Entra ha permesso di mantenere intatto l’investimento esistente in Microsoft, innalzando al contempo il livello di sicurezza in tutto l’ambiente combinato. 
• Esperienza unificata su entrambe le piattaforme: Il portale SSO "My Page" di RSA offriva agli utenti un'interfaccia di autenticazione uniforme, indipendentemente dal fatto che il loro carico di lavoro risiedesse in Microsoft 365 o in un sistema on-premises. Le politiche seguivano l'utente indipendentemente dall'ambiente. 

La piattaforma attualmente utilizzata dall’agenzia è progettata per crescere. L’architettura ibrida è in grado di integrare nuove agenzie, utenti e casi d’uso senza necessità di una riprogettazione dell’architettura. Le funzionalità FIDO2, di verifica dell’identità e l’hardware certificato FIPS sono già operative per supportare i requisiti relativi all’accesso senza password man mano che questi si estendono agli enti statali. Il trasferimento di conoscenze integrato nel programma di assistenza di RSA Professional Services garantisce che il personale dell’agenzia sia in grado di gestire ed estendere la piattaforma in modo autonomo. 

Per un ente governativo statale che da anni si affidava a RSA e aveva bisogno di modernizzarsi senza ripartire da zero, la strada da seguire passava proprio attraverso la partnership già in essere e attraverso un ambiente Microsoft che, proprio grazie a ciò, è ora notevolmente più sicuro. 

Questa iniziativa è stata realizzata in collaborazione con TuonoCa Technology, uno dei principali rivenditori di tecnologia per il settore pubblico, e Carahsoft Technology Corp, uno dei maggiori distributori di soluzioni IT per la pubblica amministrazione negli Stati Uniti. TuonoCa e l'esperienza di Carahsoft nella gestione dei canali di appalto statali e federali ha contribuito a portare a termine in modo efficiente la stipula del contratto per questo programma di modernizzazione, e il loro costante coinvolgimento nell'ecosistema RSA sostiene le iniziative in corso nel settore pubblico in materia di identità su tutto il territorio nazionale.