Che cos'è la gestione degli accessi?

La gestione degli accessi e la gestione delle identità insieme costituiscono i due pilastri di una più ampia disciplina di cybersecurity: la gestione delle identità e degli accessi (IAM). L'IAM si occupa del provisioning e della protezione delle identità digitali e delle autorizzazioni utente in un sistema IT.

La gestione delle identità implica la creazione e la manutenzione delle identità per tutti gli utenti di un sistema, inclusi gli utenti umani (dipendenti, clienti o appaltatori) e gli utenti non umani (agenti AI, IoT e dispositivi endpoint o workload automatizzati).

La gestione degli accessi implica la facilitazione dell'accesso sicuro di questi utenti ai dati, alle risorse locali e alle app e agli asset basati sul cloud di un'organizzazione. Le funzioni principali della gestione degli accessi includono l'amministrazione delle politiche di accesso degli utenti, l'autenticazione delle identità degli utenti e l'autorizzazione degli utenti validi a eseguire determinate azioni in un sistema.

Con l'avvento del cloud computing, delle soluzioni software-as-a-service (SaaS), del lavoro da remoto e dell'AI generativa, la gestione degli accessi è diventata una componente fondamentale della sicurezza della rete. Le organizzazioni devono consentire a più tipi di utenti di accedere a più tipi di risorse in più località, il tutto prevenendo le violazioni dei dati e tenendo lontani gli utenti non autorizzati. 

Secondo il National Institute of Standards and Technology (NIST), le principali funzioni di gestione degli accessi includono:

• Amministrazione delle politiche
• Autenticazione
• Autorizzazione

Le policy di accesso granulari regolano le autorizzazioni di accesso degli utenti nella maggior parte dei sistemi di gestione degli accessi. Le organizzazioni possono adottare diversi approcci per definire le proprie politiche di accesso.

Un framework di controllo degli accessi comune è l'RBAC (Role-Based Access Control) in cui i privilegi degli utenti si basano sulle loro funzioni lavorative. RBAC aiuta a semplificare il processo di impostazione delle autorizzazioni utente e riduce i rischi di concedere agli utenti privilegi più elevati di quelli necessari.

Ad esempio, supponiamo che gli amministratori di sistema stiano impostando le autorizzazioni per un firewall di rete.

• Un rappresentante commerciale molto probabilmente non avrebbe alcun accesso, in quanto il ruolo dell'utente non lo richiede.
  
  
• Un analista della sicurezza di livello junior potrebbe essere in grado di visualizzare le configurazioni del firewall, ma non di modificarle.
  
  
• Il Chief Information Security Officer (CISO) avrà pieno accesso amministrativo.
  
  
• Un'application programming interface (API) per un sistema integrato di gestione degli eventi e delle informazioni di sicurezza (SIEM) potrebbe essere in grado di leggere i registri delle attività del firewall.

Le organizzazioni possono utilizzare altri framework di controllo degli accessi in alternativa o in combinazione con il RBAC. Questi framework includono:

• Il controllo di accesso obbligatorio (MAC) applica criteri definiti centralmente a tutti gli utenti, in base ai livelli di autorizzazione o ai punteggi di affidabilità.
  
  
• Il controllo di accesso discrezionale (DAC) consente ai proprietari delle risorse di impostare le proprie regole di controllo degli accessi per tali risorse. 
  
  
• Il controllo degli accessi basato sugli attributi (ABAC) analizza gli attributi di utenti, oggetti e azioni per determinare se concedere l'accesso. Questi attributi includono il nome di un utente, il tipo di risorsa e l'ora del giorno.

La maggior parte dei framework di controllo degli accessi delle organizzazioni segue il principio del privilegio minimo. Spesso associato alle strategie di sicurezza Zero Trust, il principio del privilegio minimo afferma che gli utenti devono disporre solo delle autorizzazioni minime necessarie per completare un'attività. I privilegi devono essere revocati al termine dell'attività per aiutare a prevenire futuri rischi per la sicurezza.

L'autenticazione è il processo di verifica che un utente sia chi dichiara di essere.

Quando un utente accede a un sistema o richiede l'accesso a una risorsa, invia le credenziali, note come "fattori di autenticazione", per dimostrare la propria identità. Un utente umano, ad esempio, inserisce una password o una scansione dell'impronta digitale biometrica, mentre uno non umano può condividere un certificato digitale.

Gli strumenti di gestione degli accessi confrontano i fattori inviati con le credenziali archiviate per l'utente. Se corrispondono, all'utente viene concesso l'accesso.

Anche se una password è la forma di autenticazione più semplice, è anche una delle più deboli. La maggior parte degli strumenti di gestione degli accessi oggi utilizza metodi di autenticazione più avanzati. Questi metodi includono:

• Autenticazione a due fattori (2FA) e autenticazione a più fattori (MFA), in cui gli utenti devono fornire almeno due elementi di prova per dimostrare la propria identità.
  
  
• Autenticazione senza password, che utilizza credenziali diverse dalla password, come un fattore biometrico o una passkey FIDO .
  
  
• Single sign-on (SSO), che consente agli utenti di accedere a più app e servizi con un unico set di credenziali di accesso. I sistemi SSO utilizzano spesso protocolli aperti come SAML (Security Assertion Markup Language) e OIDC (OpenID Connect) per condividere i dati di autenticazione tra i servizi.
  
  
• Autenticazione adattiva, che utilizza l'intelligenza artificiale (AI) e il machine learning (ML) per analizzare il livello di rischio di un utente sulla base di fattori quali il comportamento, il livello di sicurezza del dispositivo e la tempistica. I requisiti di autenticazione cambiano in tempo reale al variare dei livelli di rischio, con accessi più rischiosi che richiedono un'autenticazione più forte.

L'autorizzazione è il processo per concedere agli utenti verificati i livelli di accesso appropriati a una risorsa.

L'autenticazione e l'autorizzazione sono profondamente collegate e la prima è in genere un prerequisito della seconda. Dopo che l'identità dell'utente è stata dimostrata, il sistema di gestione degli accessi verifica i privilegi dell'utente in base a politiche di accesso predefinite registrate in un database centrale o in un motore di policy. Il sistema autorizza quindi l'utente ad avere quei privilegi specifici durante la sessione.

Limitando le autorizzazioni degli utenti in base alle politiche di accesso, gli strumenti di gestione degli accessi possono aiutare a prevenire sia le minacce interne che abusano dolosamente dei loro privilegi sia gli utenti ben intenzionati che abusano accidentalmente dei loro diritti.

Se la convalida dell'identità di un utente fallisce, il sistema di gestione degli accessi non lo autorizza, impedendogli di utilizzare i privilegi associati al suo account. In questo modo, si evita che gli aggressori esterni possano appropriarsi indebitamente dei privilegi degli utenti legittimi e abusarne.

Le soluzioni di gestione degli accessi possono essere ampiamente classificate in due categories: strumenti che controllano l'accesso per gli utenti interni, come i dipendenti, e strumenti che controllano l'accesso per gli utenti esterni, come i clienti. 

Gli utenti interni di un'organizzazione, quali personale, manager e amministratori, necessitano spesso di accedere a più sistemi, tra cui app aziendali, app di messaggistica, database aziendali, sistemi HR e altro ancora.

Quasi tutte le risorse interne di un'azienda sono considerate sensibili e richiedono protezione da hacker malintenzionati. Ma non tutti gli utenti interni hanno bisogno di accedere a tutte le risorse interne. Le organizzazioni hanno bisogno di sofisticati strumenti di gestione degli accessi che consentano loro di controllare le autorizzazioni di accesso degli utenti a livello granulare.

Gli strumenti comuni di gestione degli accessi interni includono:

Le piattaforme IAM sono soluzioni complete che integrano le funzioni fondamentali di gestione delle identità e degli accessi in un unico sistema. Le caratteristiche comuni delle piattaforme di gestione delle identità e degli accessi (IAM) includono directory utente, strumenti di autenticazione, amministrazione delle politiche di accesso e caratteristiche di rilevamento e risposta alle minacce all'identità (ITDR).

La gestione degli accessi privilegiati (PAM) è un sottoinsieme della gestione degli accessi che regola e protegge gli account utente con privilegi elevati (come gli account amministratore) e le attività privilegiate (come l'utilizzo di dati sensibili).

In molti sistemi IT, gli account con privilegi elevati ricevono protezioni speciali perché sono obiettivi di alto valore che i malintenzionati possono utilizzare per causare gravi danni.

Gli strumenti PAM isolano le identità privilegiate dalle altre utilizzando credenziali e protocolli di accesso just-in-time (JIT). JIT offre agli utenti autorizzati l'accesso privilegiato a una risorsa specifica per un periodo di tempo limitato su richiesta, anziché concedere agli utenti autorizzazioni permanentemente elevate.

Gli strumenti di governance e amministrazione delle identità (IGA) aiutano a garantire che le politiche di accesso e i controlli di accesso di un'organizzazione soddisfino i requisiti di sicurezza e i mandati normativi.

Le soluzioni IGA offrono strumenti per la definizione e l'implementazione di policy di accesso conformi durante l'intero ciclo di vita di ciascun utente. Alcuni strumenti IGA possono anche contribuire ad automatizzare i principali workflow di conformità, come l'onboarding e il provisioning degli utenti, le recensioni, le nuove richieste di accesso e il deprovisioning per gli utenti esterni. Queste funzioni offrono alle organizzazioni una maggiore supervisione sulle autorizzazioni e sulle attività degli utenti, il che rende più facile rilevare e bloccare l'uso improprio e l'abuso dei privilegi.

Le soluzioni ZTNA sono strumenti di accesso remoto che seguono il principio di fiducia zero: "non fidarti mai, verifica sempre".

Gli strumenti di accesso remoto tradizionali, come le reti private virtuali (VPN), connettono gli utenti remoti all'intera rete aziendale. Al contrario, ZTNA collega gli utenti solo alle app e alle risorse specifiche a cui hanno il permesso di accedere.

Inoltre, nel modello ZTNA, gli utenti non sono mai implicitamente attendibili. Ogni richiesta di accesso per ogni risorsa deve essere verificata e convalidata, indipendentemente dall'identità o dalla posizione dell'utente. 

Le organizzazioni devono spesso facilitare l'accesso sicuro alle risorse per gli utenti esterni. I clienti potrebbero aver bisogno di accedere ai propri account sulle piattaforme di e-commerce. I fornitori potrebbero aver bisogno di accedere ai sistemi di fatturazione. I business partner potrebbero aver bisogno di accedere ai dati condivisi. Gli strumenti di gestione degli accessi esterni servono specificamente a questi utenti esterni.

Alcune organizzazioni utilizzano gli stessi strumenti per la gestione degli accessi interni ed esterni, ma questa strategia non è sempre fattibile. Le esigenze degli utenti interni ed esterni possono essere diverse. Ad esempio, gli utenti esterni spesso danno priorità alla comodità rispetto alla sicurezza, mentre gli utenti interni hanno privilegi più elevati che richiedono protezioni più forti.

Gli strumenti di gestione delle identità e degli accessi dei clienti (CIAM) governano le identità digitali e la sicurezza degli accessi per i clienti e altri utenti che si trovano al di fuori di un'organizzazione.

Come altri strumenti di gestione degli accessi, i sistemi CIAM aiutano ad autenticare gli utenti e facilitano l'accesso sicuro ai servizi digitali. La differenza principale è che gli strumenti CIAM enfatizzano l'esperienza dell'utente attraverso la profilazione progressiva (che consente agli utenti di completare i propri profili nel tempo), gli accessi ai social e altre caratteristiche intuitive dell'utente. 

Gli strumenti di gestione degli accessi consentono alle organizzazioni di garantire agli utenti autorizzati un accesso sicuro alle risorse sensibili, indipendentemente dalla loro ubicazione.

Il risultato è una rete più sicura ed efficiente. Gli utenti hanno l'accesso ininterrotto di cui hanno bisogno per svolgere il proprio lavoro, mentre gli attori delle minacce e gli utenti non autorizzati sono esclusi.