¿Qué es la Gestión de identidad y acceso (IAM)?

Los sistemas de Gestión de identidad y acceso (IAM) verifican las identidades de los usuarios y controlan sus privilegios.

Share facebook icon linkedin icon twitter icon email icon

IAM

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Descubrir qué significa "identidad" en un contexto informático
  • Entender qué es el acceso del usuario
  • Explorar por qué la gestión de identidad y acceso es tan importante para la nube

¿Qué es la gestión de identidad y acceso (IAM)?

La gestión de identidad y acceso (abreviado: IAM o IdAM) es un modo de saber quién es un usuario y qué tiene permiso para hacer. IAM es como el portero de una discoteca con una lista de quién puede entrar, quién no y quién puede acceder a la zona VIP. IAM también se conoce como gestión de identidad (IdM).

gestión de la identidad y el acceso (IAM por sus siglas en inglés)

En palabras más técnicas, IAM es un modo de administrar un conjunto dado de identidades digitales de los usuarios y los privilegios asociados con cada identidad. Es un término genérico que cubre una serie de productos diferentes, todos con la misma función básica. En una organización, IAM puede ser un producto único o una combinación de procesos, productos de software, servicios en la nube y hardware, que ofrecen a los administradores visibilidad y control sobre los datos de la organización a los que pueden acceder los usuarios individuales.

¿Qué es identidad en el contexto informático?

La identidad completa de una persona no puede cargarse y almacenarse en una ordenador, así que la "identidad" en un contexto informático indica un cierto conjunto de propiedades que, de forma conveniente, se pueden medir y registrar digitalmente. Piense en una carnet de identidad o en un pasaporte: el carnet de identidad no registra todos los datos acerca de una persona , pero sí que contiene suficientes características personales para que la identidad de una persona se pueda comparar rápidamente con los datos del carnet.

Para verificar la identidad, un sistema informático evaluará a un usuario para buscar características que sean específicas de los mismos. Si estos coinciden, se confirmará la identidad del usuario. Estas características también se conocen como "factores de autenticación", porque ayudan a autenticar a un usuario que dice ser quién es.

Los tres factores de autenticación más utilizados son:

  • Algo que sabe el usuario
  • Algo que tiene el usuario
  • Algo que el usuario es

Algo que sabe el usuario: este factor es una información que solo debe tener un usuario, como la combinación de nombre de usuario y contraseña.

Imagina que John quiere revisar su correo electrónico del trabajo desde casa. Para hacerlo, en primer lugar tendrá que iniciar sesión en su cuenta de correo electrónico demostrando identidad, ya si alguien que no fuera John accediera a su correo electrónico, se verían comprometidos los datos de la empresa.

John inicia sesión introduciendo su correo electrónico, john@company.com y la contraseña que solo él sabe, por ejemplo, "5jt*2)f12?y" Además de John, supuestamente nadie sabe esta contraseña, por lo que el sistema de correo electrónico reconoce a John y le permite acceder a su cuenta de correo electrónico. Si alguien más intentara hacerse pasar por John introduciendo su dirección de correo electrónico "john@company.com", no podría acceder sin introducir la contraseña "5jt*2)f12?y".

Algo que tiene el usuario: este factor se refiere a la posesión de un objeto físico otorgado a usuarios autorizados. El ejemplo más básico de este factor de autenticación es el uso de una llave para entrar en casa. Se supone que solo alguien que sea propietario, arrendatario o que de otra manera tenga permiso para entrar en la casa, contará con una llave.

En un contexto informático, el objeto físico podría ser un llavero con mando a distancia, un dispositivo USB o incluso un teléfono inteligente. Supongamos que la organización de John quisiera asegurarse de que todos los usuarios son quienes dicen ser mediante el uso de dos factores de autenticación en lugar de uno. Ahora, en lugar de simplemente introducir su contraseña secreta, el factor de algo que sabe el usuario, John tiene que mostrarle al sistema de correo electrónico que cuenta con un objeto que nadie más tiene. John es la única persona en el mundo que posee su teléfono inteligente personal, así que el sistema de correo electrónico le envía un mensaje de texto con un código de uso único, que John tiene que introducir para demostrar que posee el teléfono.

Algo que el usuario es: esto hace referencia a una propiedad física del propio cuerpo. Un ejemplo habitual de este factor de autenticación es Face ID, una función incluida en muchos teléfonos inteligentes modernos. Otro ejemplo es el escaneado de huellas dactilares. Los escaneados de retina y los análisis de sangre son métodos menos comunes utilizados por algunas organizaciones de alta seguridad.

Imagina que la organización de John decide reforzar todavía más la seguridad haciendo que los usuarios verifiquen tres factores en lugar de dos (poco habitual). Ahora, John tendrá que introducir su contraseña, verificar la posesión de su teléfono inteligente y escanear su huella digital antes de que el sistema de correo electrónico confirme que se trata realmente de John.

En resumen: en el mundo real, la propia identidad es una compleja combinación de características personales, historia, ubicación y otros factores. En el mundo digital, la identidad de un usuario está compuesta de todos o algunos de los tres factores de autenticación, almacenados digitalmente en una base de datos de identidad. Para evitar que los impostores se hagan pasar por usuarios reales, los sistemas informáticos comprobarán la identidad de un usuario mediante el uso de la base de datos de identidad.

¿Qué es gestión de acceso?

"Access" hace referencia a qué datos puede ver un usuario y qué acciones puede llevar a cabo una vez hayan iniciado sesión. Cuando John inicia sesión en su correo electrónico, puede ver todos los correos electrónicos enviados y recibidos. Sin embargo, no debería poder ver los correos electrónicos enviados y recibidos por Tracy, su compañera de trabajo.

En otras palabras, solo porque se haya verificado la identidad de un usuario, no implica necesariamente que deberían poder tener acceso a lo que quieran dentro de un sistema o red. Por ejemplo, un empleado de bajo nivel en una empresa debería poder tener acceso a su cuenta de correo electrónico corporativo, pero no debería poder acceder a los registros de nóminas o a la información confidencial de recursos humanos.

La gestión de acceso es el proceso de control y seguimiento del acceso. Cada usuario en un sistema tendrá diferentes privilegios en dicho sistema en función de sus necesidades individuales. Efectivamente, un contable necesita acceder y editar los registros de nóminas, así que que una vez que se verifique su identidad, debería poder ver y actualizar esos registros, así como tener acceso a su cuenta de correo electrónico.

¿Por qué IAM es tan importante para la computación en nube?

En la computación en nube, se almacenan los datos de forma remota y se accede a ellos a través de Internet. Como los usuarios se pueden conectar a Internet desde casi cualquier ubicación y dispositivo, la mayoría de los servicios en la nube operan independientemente del dispositivo y la ubicación. Los usuarios ya no tienen que estar presentes en la oficina o utilizar un dispositivo propiedad de la empresa para acceder a la nube. De hecho, el teletrabajo cada vez es más habitual.

Como resultado, la identidad se convierte en el punto más importante a la hora de controlar el acceso, no el perímetro de la red.* La identidad del usuario, y no su dispositivo o ubicación, determina a qué datos pueden acceder en la nube y si cuentan en general con acceso.

Para entender por qué es tan importante la identidad, aquí hay una ilustración. Supongamos que un ciberdelincuente quiere acceder a archivos confidenciales del centro de datos corporativos de una empresa. En la época anterior a la adopción generalizada de la computación en nube, el ciberdelincuente tendría que superar el firewall de la empresa que protege la red interna, o acceder físicamente al servidor entrando de manera ilegal en el edificio o sobornando a un empleado interno. El objetivo principal del delincuente sería superar el perímetro de red.

Sin embargo, con la computación en la nube, los archivos confidenciales se almacenan en un servidor remoto en la nube. Ya que los empleados de la empresa necesitan acceder a los archivos, lo hacen iniciando sesión mediante un navegador o una aplicación. Si un ciberdelincuente quiere acceder a los archivos, solo necesita las credenciales de inicio de sesión de los empleados (nombre de usuario y contraseña) y una conexión a Internet; el delincuente no tiene que superar un perímetro de red.

IAM ayuda a prevenir los ataques basados en identidad y las fugas de datos que provengan de escaladas de privilegios (cuando un usuario no autorizado tiene demasiado acceso). Por tanto, los sistemas de IAM son fundamentales para la computación en nube y para gestionar equipos en remoto.

*El perímetro de la red hace referencia a los extremos de una red interna; es un límite virtual que separa la red interna gestionada y segura del Internet no seguro y sin controlar. Todos los ordenadores de una oficina, más los dispositivos conectados como las impresoras de la oficina, están dentro de este perímetro, pero un servidor en remoto en un centro de datos que cruza el mundo no lo está.

¿Dónde encaja IAM en una pila de implementación en nube/arquitectura de nube?

A menudo, IAM es un servicio en la nube que los usuarios deben atravesar para poder acceder al resto de la infraestructura en la nube de una organización. También se puede implementar en una red interna en las instalaciones de la organización. Por último, algunos proveedores públicos de nube pueden agrupar IAM con sus otros servicios.

En cambio, las empresas que utilizan una arquitectura de multinube o nube híbrida pueden utilizar un proveedor independiente para IAM. Desacoplar IAM de sus otros servicios en la nube públicos o privados les proporciona más flexibilidad: pueden mantener su identidad y acceder a su base de datos si cambian de proveedor de nube.

¿Qué es un proveedor de identidad (IdP)?

Un proveedor de identidad (IdP) es un producto o servicio que ayuda a gestionar la identidad. Un IdP suele gestionar el proceso de inicio de sesión. Los proveedores de Inicio de sesión único (SSO) entran en esta categoría. Los IdP pueden formar parte de un marco IAM, pero generalmente no ayudan con la gestión de acceso de usuarios.

¿Qué es la Identidad como servicio (IDaaS)?

La identidad como servicio (IDaaS) es un servicio en la nube que verifica la identidad. Es una oferta de SaaS de los proveedores de nube, un modo de externalizar de forma parcial la gestión de identidad. En algunos casos, IDaaS e IdP son esencialmente intercambiables, pero en otros casos, el proveedor de IDaaS ofrece funciones adicionales además de la verificación y gestión de identidad. Dependiendo de las funciones que ofrezca el proveedor de IDaaS, IDaaS puede formar parte de un marco de IAM o constituir todo el sistema de IAM.

¿Cómo ayuda Cloudflare con IAM y la nube?

Cloudflare Access es un producto de IAM que supervisa el acceso de los usuarios a cualquier dominio, aplicación o ruta alojada en Cloudflare. Se integra con los proveedores de SSO y permite a los administradores alterar y personalizar los permisos de los usuarios. Cloudflare Access ayuda a aplicar políticas de seguridad tanto para los empleados internos en las instalaciones como para los trabajadores en remoto.

Cloudflare se puede implementar en cualquier configuración de infraestructura en la nube, lo cual permite una mayor flexibilidad a las empresas con un despliegue de multinube o nube híbrida que incluya un proveedor de IAM.