Home
topics
Gestione delle identità e degli accessi
Data di pubblicazione: 22 gennaio 2024
Autori: Matthew Kosinski, Amber Forrest
La gestione delle identità e degli accessi (IAM) è la disciplina della cybersecurity che si occupa del modo in cui gli utenti accedono alle risorse digitali e di cosa possono fare con tali risorse. I sistemi IAM tengono lontani gli hacker assicurando che ogni utente disponga solo delle autorizzazioni esatte necessarie per svolgere il proprio lavoro e nient'altro.
La rete aziendale media ospita sia utenti umani (dipendenti, clienti, collaboratori) che utenti non umani (bot, IoT e dispositivi endpoint, workload automatizzati). Con l'aumento del lavoro da remoto e del cloud computing, questi utenti sono sempre più distribuiti, come lo sono le risorse alle quali hanno bisogno di accedere.
Le organizzazioni possono avere difficoltà a tenere traccia di ciò che tutti questi utenti fanno con le app e delle risorse sparse nelle sedi on-premise, remote e sul cloud. Questa mancanza di controllo comporta gravi rischi, perché gli hacker possono entrare in una rete non rilevata. Gli insider malevoli possono abusare dei loro diritti di accesso, ma anche gli utenti benigni possono violare accidentalmente le normative sulla protezione dei dati.
Le iniziative IAM possono aiutare a semplificare il controllo degli accessi, proteggendo le risorse senza interromperne gli usi legittimi. I sistemi di gestione dell'identità e degli accessi assegnano a ogni utente un'identità digitale distinta con autorizzazioni personalizzate in base al ruolo dell'utente, alle esigenze di conformità e ad altri fattori. In questo modo, l'IAM garantisce che solo gli utenti giusti possano accedere alle risorse giuste per i motivi giusti, mentre gli accessi e le attività non autorizzate vengono bloccati.
Ottieni gli insight necessari per prevenire e reagire agli attacchi informatici con maggiore rapidità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Lo scopo di IAM è quello di fermare gli hacker consentendo agli utenti autorizzati di svolgere facilmente le autorità per le quali sono autorizzati, ma non altro. Le implementazioni IAM utilizzano diversi strumenti e strategie per raggiungere questo obiettivo, ma tutti tendono a seguire la stessa struttura di base.
Un sistema IAM tradizionale dispone di un database o una directory di utenti che contiene dettagli su chi è ogni utente e su cosa può fare in un sistema informatico. Mentre gli utenti si spostano all'interno di un sistema, l'IAM utilizza le informazioni nel database per verificare la loro identità, monitorare le loro attività e assicurarsi che facciano solo ciò che il database dice che possono fare.
Per una comprensione più approfondita del funzionamento dell'IAM, è utile esaminare i quattro componenti principali di questo tipo di iniziative: gestione del ciclo di vita delle identità, controllo degli accessi, autenticazione e autorizzazione e governance delle identità.
La gestione del ciclo di vita delle identità è il processo di creazione e mantenimento delle identità utente digitali per ogni utente, umano e non, in un sistema.
Per monitorare l'attività degli utenti e applicare autorizzazioni personalizzate, le organizzazioni devono differenziare tra i singoli utenti. Lo fa IAM assegnando a ciascun utente un'identità digitale. Le identità digitali sono raccolte di attributi distintivi che indicano al sistema chi o cosa è ogni utente. Le identità spesso includono tratti come il nome dell'utente, le credenziali di accesso, il numero ID, la qualifica professionale e i diritti di accesso.
Le identità digitali in genere vengono memorizzate in un database o in una directory centrale che funge da fonte di verità. Il sistema IAM utilizza le informazioni contenute in questo database per convalidare gli utenti e determinare ciò che permetterà o non permetterà loro di fare.
In alcune iniziative IAM, i team IT o di cybersecurity gestiscono manualmente l'onboarding degli utenti, aggiornando le identità nel tempo e rimuovendo o effettuando l'offboarding degli utenti che escono dal sistema. Alcuni strumenti IAM consentono un approccio self-service. Gli utenti forniscono le proprie informazioni, il sistema crea automaticamente la loro identità e imposta i livelli di accesso appropriati.
Le identità digitali distinte non solo aiutano le organizzazioni a monitorare gli utenti, ma permettono anche di impostare e applicare politiche di accesso più granulari. L'IAM consente alle aziende di concedere autorizzazioni di sistema diverse a identità diverse anziché concedere a ogni utente autorizzato gli stessi privilegi.
Oggi, molti sistemi IAM utilizzano il controllo degli accessi basato sui ruoli (RBAC). Con esso, i privilegi di ciascun utente vengono stabiliti in base alla sua funzione lavorativa e sul suo livello di responsabilità. RBAC aiuta a semplificare il processo di impostazione delle autorizzazioni utente e riduce i rischi di concedere agli utenti privilegi più elevati di quelli necessari.
Poniamo il caso che un'azienda stia impostando le autorizzazioni per un firewall di rete. Un rappresentante commerciale probabilmente non avrà alcun accesso, in quanto il suo lavoro non lo richiede. Un analista della sicurezza di livello junior potrà visualizzare le configurazioni del firewall ma non di modificarle. Il Chief Information Security Officer (CISO) avrà invece pieno accesso amministrativo. Un'API che integra il SIEM dell'azienda con il firewall sarà essere in grado di leggere i registri delle attività del firewall, ma nient'altro.
Per una maggiore sicurezza, i sistemi IAM possono anche applicare il principio del privilegio minimo alle autorizzazioni di accesso degli utenti. Spesso associato a strategie di Zero Trust in materia di cybersecurity, il principio del privilegio minimo sostiene che gli utenti devono disporre solo delle autorizzazioni più basse necessarie per svolgere le proprie attività e che i privilegi devono essere revocati non appena l'attività viene completata.
In linea con il principio del privilegio minimo, molti sistemi IAM dispongono di metodi e tecnologie distinti per la gestione degli accessi privilegiati (PAM). PAM è la disciplina di cybersecurity che supervisiona la sicurezza degli account e il controllo degli accessi per gli account utente con privilegi elevati, come gli amministratori di sistema.
Gli account privilegiati vengono trattati con maggiore attenzione rispetto ad altri ruoli IAM perché il furto di queste credenziali consentirebbe agli hacker di fare ciò che vogliono. Gli strumenti PAM isolano le identità privilegiate dalle altre, utilizzando credenziali e protocolli di accesso just-in-time per una maggiore sicurezza.
Le informazioni sui diritti di accesso di ciascun utente solitamente vengono memorizzate nel database centrale del sistema IAM come parte dell'identità digitale di ciascun utente e utilizzate per applicare i livelli di privilegio distinti di ciascun utente.
Autenticazione e autorizzazione sono il modo in cui i sistemi IAM applicano politiche di controllo degli accessi personalizzate.
L'autenticazione è il processo per determinare che un utente, umano o meno, sia chi dichiara di essere. Quando un utente accede a un sistema o richiede l'accesso a una risorsa, invia le credenziali per garantire la propria identità. Un utente umano, ad esempio, inserisce una password, mentre uno non umano può condividere un certificato digitale. Il sistema IAM verifica queste credenziali con il database centrale. Se corrispondono, l'accesso viene concesso.
Sebbene una combinazione di nome utente e password sia la forma di autenticazione più semplice, è anche una delle più deboli. Per questo motivo, la maggior parte delle implementazioni IAM oggi utilizza metodi di autenticazione più avanzati.
L'autenticazione a più fattori (MFA) richiede agli utenti di fornire due o più fattori di autenticazione per dimostrare la propria identità. Alcuni fattori comuni includono un codice di sicurezza che viene inviato al telefono dell'utente, una chiave di sicurezza fisica o un dato biometrico, come la scansione dell'impronta digitale.
Single Sign-On (SSO) consente agli utenti di accedere a più app e servizi con un unico set di credenziali di accesso. Il portale SSO autentica l'utente e genera un certificato o un token che funge da chiave di sicurezza per altre risorse. I sistemi SSO utilizzano protocolli aperti come Security Assertion Markup Language (SAML) per condividere liberamente le chiavi tra diversi provider di servizi.
L'autenticazione adattiva, chiamata anche autenticazione basata sul rischio, utilizza AI e machine learning per analizzare il comportamento degli utenti e modificare i requisiti di autenticazione in tempo reale quando cambia il livello di rischio. Richiedendo un'autenticazione più rigorosa per le attività più rischiose, gli schemi di autenticazione basati sul rischio rendono più difficile per gli hacker o le minacce interne raggiungere gli asset critici.
Un utente che accede dal dispositivo e dalla posizione abituali inserirà solo la password, poiché questa situazione di routine comporta pochi rischi. Lo stesso utente che accede da un dispositivo non affidabile o cerca di visualizzare informazioni particolarmente sensibili potrebbe dover fornire più fattori, poiché sta assumendo comportamenti più rischiosi.
Dopo aver autenticato un utente, il sistema IAM controlla i privilegi connessi alla sua identità digitale nel database e lo autorizza ad accedere solo alle risorse ed eseguire le attività consentite dalle sue autorizzazioni.
La governance dell'identità è il processo di monitoraggio di ciò che gli utenti fanno con i diritti di accesso. I sistemi IAM monitorano gli utenti per assicurarsi che non abusino dei loro privilegi e per catturare gli hacker che potrebbero essersi intrufolati nella rete.
La governance delle identità è importante per la conformità normativa. Le aziende in genere elaborano le loro politiche di accesso per allinearsi ai mandati di sicurezza come il Regolamento generale sulla protezione dei dati (GDPR) o il Payment Card Industry Data Security Standard (PCI-DSS). Monitorando l'attività degli utenti, i sistemi IAM aiutano le aziende a garantire che le loro politiche funzionino come previsto. I sistemi IAM possono anche produrre audit trail per aiutare le aziende a dimostrare la propria conformità o a individuare le eventuali violazioni.
Molti workflow IAM fondamentali, come l'autenticazione degli utenti e il monitoraggio delle loro attività, sono difficili o addirittura impossibili da eseguire manualmente. Le organizzazioni preferiscono affidarsi a strumenti tecnologici per automatizzare i processi IAM.
In passato, erano costrette a usare soluzioni puntuali per gestire diverse parti dell'IAM, per esempio una per gestire l'autenticazione degli utenti, un'altra per applicare le politiche di accesso e una terza per controllare l'attività degli utenti.
Oggi le soluzioni IAM sono spesso piattaforme complete che fanno tutto o integrano più strumenti in un'unica soluzione. Sebbene le piattaforme IAM siano diverse tra loro, tendono tutte a condividere funzionalità di base comuni come:
Alcune soluzioni IAM sono realizzate per ecosistemi specifici, come le piattaforme Amazon Web Services (AWS) IAM e Google Cloud IAM, che controllano l'accesso alle risorse ospitate in tali cloud.
Altre soluzioni IAM, come quelle prodotte da Microsoft, IBM, Oracle e altre, sono destinate a funzionare per tutte le risorse di una rete aziendale, indipendentemente da dove sono ospitate. Possono fungere da provider di identità per tutti i tipi di servizi, utilizzando standard aperti come SAML e OpenID Connect (OIDC) per scambiare le informazioni di autenticazione degli utenti tra le applicazioni.
Le soluzioni di gestione delle identità e degli accessi hanno iniziato a essere spostate sempre più spesso off-premise, adottando un modello software-as-a-service (SaaS). Queste soluzioni IAM basate su cloud, chiamate "identity-as-a-service" (IDaaS) o "authentication-as-a-service" (AAAs), offrono alcune funzionalità che potrebbero mancare agli strumenti on-premise.
Gli strumenti IDaaS possono essere utili in reti aziendali complesse in cui utenti distribuiti accedono da vari dispositivi (Windows, Mac, Linux e dispositivi mobili) per accedere alle risorse situate in loco e nei cloud privati e pubblici. Mentre gli strumenti IAM on-premise non si adattano facilmente a così tanti utenti e risorse diversi tra le sedi, gli IDaaS ce la fanno meglio.
L'IDaaS può anche aiutare le organizzazioni a estendere i servizi IAM ad appaltatori, clienti e altri ruoli non dipendenti, semplificando le implementazioni IAM in quanto l'azienda non ha bisogno di utilizzare sistemi diversi per utenti diversi.
Gli strumenti IDaaS consentono inoltre alle aziende di esternalizzare alcuni degli aspetti più dispendiosi sia in termini di tempo che di risorse dell'IAM, come la creazione di nuovi account utente, l'autenticazione delle richieste di accesso e la governance delle identità.
Le iniziative IAM aiutano a soddisfare diversi casi d'uso come la cybersecurity, le operazioni aziendali e altro ancora.
Con l'aumento degli ambienti multi-cloud, l'AI e l'automazione e il lavoro da remoto, la trasformazione digitale significa che le aziende devono agevolare l'accesso sicuro per più tipi di utenti, a più tipi di risorse e in più sedi.
I sistemi IAM possono centralizzare la gestione degli accessi per tutti questi utenti e risorse, compresi gli utenti non dipendenti e non umani. Un numero crescente di piattaforme IAM ora incorpora o si integra con gli strumenti CIAM, consentendo alle organizzazioni di gestire l'accesso per gli utenti interni ed esterni dallo stesso sistema.
Le aziende oggi mantengono una forza lavoro remota e ibrida, e la rete aziendale media presenta un mix di sistemi legacy on-premise e app e servizi basati su cloud più recenti. In mezzo a questa complessità, le soluzioni IAM possono semplificare il controllo degli accessi.
Funzionalità come SSO e accesso adattivo consentono agli utenti di autenticarsi con il minimo sforzo, proteggendo al contempo gli asset vitali. Le organizzazioni possono gestire le identità digitali e le politiche di controllo degli accessi per tutti i sistemi da un'unica soluzione IAM centralizzata. Anziché implementare diversi strumenti di identità per asset diversi, i sistemi IAM completi creano un'unica fonte di verità, gestione e applicazione per l'intero ambiente IT.
I sistemi IAM, e in particolare quelli che supportano l'SSO, consentono agli utenti di accedere a più servizi con una singola identità anziché creare account diversi per ciascuno, riducendo notevolmente il numero di account utente che i team IT devono gestire. Anche la crescita delle soluzioni bring your own identity (BYOI), che consentono agli utenti di gestire le proprie identità e trasferirle fra i sistemi, aiuta a semplificare la gestione IT.
I sistemi IAM semplificano il processo di assegnazione delle autorizzazioni utente utilizzando metodi RBAC che impostano automaticamente i privilegi utente in base al ruolo e alle responsabilità. Gli strumenti IAM danno ai team IT e di sicurezza un'unica piattaforma per definire e applicare politiche di accesso per tutti gli utenti.
Standard come GDPR, PCI-DSS e SOX richiedono politiche rigorose su chi può accedere ai dati e per quali scopi. I sistemi IAM consentono alle aziende di impostare e applicare formali politiche di controllo degli accessi in grado di soddisfare tali standard. Le aziende possono anche monitorare le attività degli utenti per dimostrare la conformità durante gli audit.
Secondo il report Cost of a Data Breach di IBM, il furto di credenziali è una delle principali cause di violazione dei dati. Gli hacker spesso prendono di mira account con privilegi eccessivi o superiori a quelli di cui hanno bisogno, che sono solitamente meno protetti degli account amministratore e consentono ai criminali di accedere a vaste aree del sistema.
L'IAM aiuta a contrastare gli attacchi basati sulle credenziali aggiungendo ulteriori livelli di autenticazione, in modo che gli hacker abbiano bisogno di più di una semplice password per accedere ai dati sensibili. E anche se un hacker entra, i sistemi IAM aiutano a prevenirne il movimento laterale. Gli utenti ricevono solo le autorizzazioni di cui hanno bisogno e non altro. Gli utenti legittimi possono accedere a tutte le risorse di cui hanno bisogno su richiesta, mentre i malintenzionati e le minacce interne hanno le mani legate.
La famiglia IBM Security Verify fornisce funzionalità automatizzate, basate su cloud e on-premise per amministrare la governance delle identità, gestire l'identità e gli accessi della forza lavoro e dei clienti e controllare gli account con privilegi.
Instrada il tuo programma IAM per la forza lavoro e i consumatori verso il successo successo con competenze, strategia e supporto da parte di esperti di identità e sicurezza.
Strumenti di gestione degli accessi privilegiati per scoprire, controllare, gestire e proteggere gli account con privilegi attraverso gli endpoint e gli ambienti ibridi multi-cloud.
Esegui il provisioning, l'audit e la reportistica sull'accesso e l'attività degli utenti attraverso capacità di lifecycle, conformità e analytics, on-premise e per il cloud.
Estendi facilmente l'autenticazione moderna alle applicazioni legacy e migliora il livello di sicurezza, creando al contempo un'esperienza utente coerente.
L'SSO è uno schema di autenticazione che consente agli utenti di accedere a una sessione una volta e ottenere un accesso sicuro a più applicazioni e servizi correlati.
Il report Cost of a Data Breach condivide gli insight più recenti sul panorama delle minacce in espansione e offre raccomandazioni su come risparmiare tempo e limitare le perdite.
L'autenticazione a più fattori è un metodo di verifica dell'identità in cui un utente deve fornire almeno due prove per dimostrare la propria identità.