¿Qué es la gestión de identidad y acceso (IAM)?

Los sistemas de gestión de identidad y acceso (IAM) comprueban las identidades de los usuarios y controlan los privilegios de los usuarios.

Share facebook icon linkedin icon twitter icon email icon

IAM

Metas de aprendizaje

Después de leer este artículo usted podrá:

  • Aprender lo que significa "identidad" en un contexto informático
  • Comprender qué es el acceso de los usuarios
  • Explorar por qué la gestión de identidad y acceso es tan importante para la nube

¿Qué es la gestión de identidad y acceso (IAM)?

La gestión de identidad y acceso (IAM o IdAM para abreviar) es una forma de saber quién es un usuario y qué se le permite hacer. IAM es como el portero en la puerta de un club nocturno con una lista de quién tiene permitido entrar, quién no tiene permitido entrar y quién puede acceder al área VIP. IAM también se llama gestión de identidad (IdM).

Gestión de identidad y acceso iam

En términos más técnicos, IAM es un medio para gestionar un conjunto determinado de identidades digitales de los usuarios y privilegios relacionados con cada identidad. Es un término general que abarca una serie de productos diferentes que tienen esta misma función básica. Dentro de una organización, IAM puede ser un solo producto o una combinación de procesos, productos de software, servicios en la nube y hardware que brinda a los administradores visibilidad y control de los datos de la organización a los que los usuarios individuales pueden tener acceso.

¿Qué es la identidad en el contexto de la informática?

La identidad completa de una persona no puede cargarse y almacenarse en una computadora, por lo que "identidad" en un contexto informático significa un cierto conjunto de propiedades que se pueden medir y registrar convenientemente de manera digital. Piense en una tarjeta de identificación o un pasaporte: no todos los hechos sobre una persona se registran en una tarjeta de identificación, pero contiene suficientes características personales para que la identidad de una persona se pueda comparar con rapidez con la tarjeta de identificación.

Para verificar la identidad, un sistema informático evaluará a un usuario en busca de características que sean específicas de él. Si coinciden, se confirma la identidad del usuario. Estas características también se conocen como "factores de autenticación" porque ayudan a autenticar que un usuario es quien dice ser.

Los tres factores de autenticación más utilizados son:

  • Algo que el usuario sabe
  • Algo que el usuario tiene
  • Algo que caracteriza al usuario

Algo que el usuario sabe: este factor es información que solo un usuario debe conocer, como una combinación de nombre de usuario y contraseña.

Imagina que John quiere revisar su correo electrónico del trabajo desde su casa. Para hacerlo, primero tendrá que iniciar sesión en su cuenta de correo electrónico y establecer su identidad, porque si alguien que no es John accediera al correo electrónico de John, los datos de la empresa se verían comprometidos.

John inicia sesión con su correo electrónico, john@company.com, y la contraseña que solo él conoce, por ejemplo, “5jt*2)f12?y”. Supuestamente, nadie más que John conoce esta contraseña, por lo tanto, el sistema de correo electrónico reconoce a John y le permite acceder a su cuenta de correo electrónico. Si alguien más intentara hacerse pasar por John e ingresase su dirección de correo electrónico como "john@company.com", no tendría éxito si no escribe "5jt*2)f12?y" como contraseña.

Algo que tiene el usuario: este factor se refiere a la posesión de un token físico que se emite a los usuarios autorizados. El ejemplo más básico de este factor de autenticación es el uso de una llave física de la casa para entrar en ella. La suposición es que solo alguien que posee, alquila o tiene permitido el ingreso a la casa tendrá una llave.

En un contexto informático, el objeto físico podría ser un llavero, un dispositivo USB o incluso un teléfono inteligente. Supón que la organización de John quisiese estar muy segura de que todos los usuarios sean realmente quienes dicen que son al marcar dos factores de autenticación en lugar de uno. Ahora, en lugar de simplemente ingresar su contraseña secreta, algo que el usuario sabe, John tiene que mostrarle al sistema de correo electrónico que posee un objeto que nadie más tiene. John es la única persona en el mundo que posee su teléfono inteligente personal, por lo que el sistema de correo electrónico le envía un mensaje de texto con un código único y John los escribe para demostrar que tiene el teléfono en su posesión.

Algo que caracteriza al usuario: esto se refiere a una propiedad física del cuerpo. Un ejemplo común de este factor de autenticación en acción es el reconocimiento facial, una característica que ofrecen muchos teléfonos inteligentes modernos. El escaneo de huellas digitales es otro ejemplo. Los métodos menos comunes que usan algunas organizaciones de alta seguridad incluyen escaneos de retina y análisis de sangre.

Imagina que la organización de John decide reforzar aún más la seguridad al hacer que los usuarios verifiquen tres factores en lugar de dos (esto es poco común). Ahora, John tiene que ingresar su contraseña, verificar la posesión de su teléfono inteligente y escanear su huella digital antes de que el sistema de correo electrónico confirme que realmente es John.

Para resumir: en el mundo real, nuestra identidad es una combinación compleja de características personales, historia, ubicación y otros factores. En el mundo digital, la identidad de un usuario se compone de algunos o de todos los factores de autenticación, almacenados digitalmente en una base de datos de identidad. Para evitar que los impostores se hagan pasar por los usuarios reales, los sistemas informáticos verificarán la identidad de un usuario con la base de datos de identidad.

¿Qué es la gestión de acceso?

El "acceso" se refiere a qué datos puede ver un usuario y qué acciones puede realizar una vez que inicia sesión. Una vez que John inicia sesión en su correo electrónico, puede ver todos los correos electrónicos que ha enviado y recibido. Sin embargo, no debería poder ver los correos electrónicos enviados y recibidos por Tracy, su compañero de trabajo.

En otras palabras, solo porque la identidad de un usuario esté verificada, no significa que pueda acceder a lo que quiera dentro de un sistema o una red. Por ejemplo, un empleado de bajo nivel de una empresa debería poder acceder a su cuenta de correo electrónico corporativo, pero no debería poder acceder a los registros de nómina o a información confidencial de recursos humanos.

La gestión de acceso es el proceso de control y seguimiento del acceso. Cada usuario de un sistema tendrá diferentes privilegios dentro de ese sistema en función de sus necesidades individuales. De hecho, un contador necesita acceder y editar registros de nómina, por lo que una vez que verifique su identidad, debería poder ver y actualizar esos registros, así como acceder a su cuenta de correo electrónico.

¿Por qué IAM es tan importante para la informática en la nube?

En la informática en la nube, los datos se almacenan de forma remota y se accede a ellos a través de Internet. Debido a que los usuarios pueden conectarse a Internet desde casi cualquier ubicación y cualquier dispositivo, la mayoría de los servicios en la nube son independientes del dispositivo y la ubicación. Los usuarios ya no necesitan estar en la oficina o tener un dispositivo propiedad de la empresa para acceder a la nube. Y, de hecho, las fuerzas de trabajo remotas se están volviendo más comunes.

Como resultado, la identidad se convierte en el punto más importante para controlar el acceso, no el perímetro de la red.* La identidad del usuario, no su dispositivo o ubicación, determina a qué datos en la nube tiene acceso y si tiene acceso a ellos en lo absoluto.

Para comprender por qué la identidad es tan importante, aquí le ofrecemos un ejemplo. Supongamos que un ciberdelincuente quiere acceder a archivos confidenciales en el centro de datos corporativos de una empresa. Antes de que la informática en la nube fuera ampliamente adoptada, el ciberdelincuente tendría que eludir el firewall corporativo que protegía la red interna o acceder físicamente al servidor, irrumpir en el edificio o sobornar a un empleado interno. El objetivo principal del delincuente sería pasar el perímetro de la red.

Sin embargo, con la informática en la nube, los archivos confidenciales se almacenan en un servidor remoto en la nube. Debido a que los empleados de la empresa necesitan acceder a los archivos, lo hacen al iniciar sesión a través del navegador o una aplicación. Si un ciberdelincuente quiere acceder a los archivos, ahora todo lo que necesita son las credenciales de inicio de sesión de los empleados (como un nombre de usuario y contraseña) y una conexión a Internet; el criminal no necesita pasar un perímetro de red.

IAM ayuda a evitar los ataques en función de la identidady las fugas de datos que se producen por el escalamiento de privilegios (cuando un usuario no autorizado tiene demasiado acceso). Por lo tanto, los sistemas IAM son esenciales para la informática en la nube y para gestionar equipos remotos.

*El perímetro de la red hace referencia a los bordes de una red interna; es un límite virtual que separa la red interna segura y gestionada de la Internet no segura y no controlada. Todas las computadoras en una oficina, además de los dispositivos conectados, como las impresoras, están dentro de este perímetro, pero un servidor remoto en un centro de datos del otro lado del mundo no lo está.

¿Dónde encaja IAM en una implementación de pila en la nube/arquitectura de nube?

IAM suele ser un servicio en la nube que los usuarios deben pasar para acceder al resto de la infraestructura en la nube de una organización. También se puede implementar en una red interna en las instalaciones de una organización. Finalmente, algunos proveedores de servicio en la nube pública pueden agrupar IAM con sus otros servicios.

Las empresas que utilizan una arquitectura de nube híbrida o multinube pueden emplear, en cambio, un proveedor independiente para IAM. Desacoplar IAM de sus otros servicios de nube pública o privada les ofrece más flexibilidad: aún pueden mantener su identidad y acceder a su base de datos si cambian de proveedor de servicios en la nube.

¿Qué es un proveedor de identidad (IdP)?

Un proveedor de identidad (IdP) es un producto o servicio que ayuda a administrar la identidad. Un IdP a menudo maneja el proceso de inicio de sesión propiamente dicho. Los proveedores de inicio de sesión único (SSO) se ajustan a esta categoría. Los IdP pueden ser parte de un marco de IAM, pero, en general, no ayudan con la gestión del acceso de los usuarios.

¿Qué es la identidad como servicio (IDaaS)?

La identidad como servicio (IDaaS) es un servicio en la nube que verifica la identidad. Es una oferta de SaaS de un proveedor de servicios en la nube, una forma de externalizar parcialmente la gestión de identidad. En algunos casos, IDaaS e IdP son esencialmente intercambiables, pero en otros casos, el proveedor de IDaaS ofrece capacidades adicionales además de la verificación y gestión de identidad. Según las capacidades que ofrece el proveedor de IDaaS, IDaaS puede ser parte de un marco de IAM o puede ser todo el sistema de IAM.

¿Cómo ayuda Cloudflare con IAM y la nube?

Cloudflare Access es un producto de IAM que supervisa el acceso de los usuarios a cualquier dominio, aplicación o ruta alojada en Cloudflare. Se integra con los proveedores de SSO y permite que los administradores modifiquen y personalicen los permisos de los usuarios. Cloudflare Access ayuda a aplicar políticas de seguridad tanto para los empleados internos locales como para los trabajadores remotos.

Cloudflare se puede implementar frente a cualquier configuración de infraestructura de nube, lo que permite una mayor flexibilidad a las empresas con una implementación de un sistema multinube o híbrido que incluye un proveedor de IAM.