¿Qué es la gestión de identidad y acceso (IAM)?

Los sistemas de gestión de identidad y acceso (IAM) comprueban las identidades de los usuarios y controlan los privilegios de los usuarios.

Share facebook icon linkedin icon twitter icon email icon

IAM

Metas de aprendizaje

Después de leer este artículo usted podrá:

  • Aprender lo que significa "identidad" en un contexto informático
  • Comprender qué es el acceso de los usuarios
  • Explorar por qué la gestión de identidad y acceso es tan importante para la nube

¿Qué es la gestión de identidad y acceso (IAM)?

La gestión de identidad y acceso (IAM o IdAM para abreviar) es una forma de saber quién es un usuario y qué se le permite hacer. IAM es como el portero en la puerta de un club nocturno con una lista de quién tiene permitido entrar, quién no tiene permitido entrar y quién puede acceder al área VIP. IAM también se llama gestión de identidad (IdM).

identity and access management iam

En términos más técnicos, IAM es un medio para gestionar un conjunto dado de identidades digitales de los usuarios y privilegios asociados con cada identidad. Es un término general que cubre una serie de productos diferentes que cumplen la misma función básica. Dentro de una organización, IAM puede ser un solo producto o puede ser una combinación de procesos, productos de software, servicios en la nube y hardware que brindan a los administradores visibilidad y control sobre los datos organizacionales a los que los usuarios individuales pueden tener acceso.

¿Qué es la identidad en el contexto de la informática?

La identidad completa de una persona no puede cargarse y almacenarse en una computadora, por lo que "identidad" en un contexto informático significa un cierto conjunto de propiedades que se pueden medir y registrar convenientemente de manera digital. Por ejemplo, una tarjeta de identificación o un pasaporte: no todos los hechos sobre una persona se registran en una tarjeta de identificación, pero contiene suficientes características personales que permite que la identidad de una persona pueda coincidir rápidamente con la tarjeta de identificación.

Para verificar la identidad, un sistema informático evaluará a un usuario en busca de características que sean específicas para ellos. Si coinciden, se confirma la identidad del usuario. Estas características también se conocen como "factores de autenticación" porque ayudan a autenticar que un usuario es quien dice ser.

Los tres factores de autenticación más utilizados son:

  • Algo que el usuario sabe
  • Algo que el usuario tiene
  • Algo que caracteriza al usuario

Algo que el usuario sabe: este factor es algo que solo un usuario debe saber, como una combinación de nombre de usuario y contraseña.

Imagina que John quiere revisar su correo electrónico del trabajo desde su casa. Para hacerlo, primero tendrá que iniciar sesión en su cuenta de correo electrónico al establecer su identidad, porque si alguien que no es John accediera al correo electrónico de John, los datos de la empresa se verían comprometidos.

John inicia sesión al ingresar su correo electrónico, john@company.com, y la contraseña que solo él conoce; por ejemplo, “5jt*2)f12?y”. Supuestamente, nadie más aparte de John conoce esta contraseña, por lo que el sistema de correo electrónico reconoce a John y le permite acceder a su cuenta de correo electrónico. Si alguien más intentara hacerse pasar por John al ingresar su dirección de correo electrónico como "john@company.com", no tendría éxito sin saber escribir "5jt*2)f12?y" como contraseña.

Algo que tiene el usuario: este factor se refiere a la posesión de un token físico que se emite a usuarios autorizados. El ejemplo más básico de este factor de autenticación es el uso de una llave de casa física para ingresar a la casa. La suposición es que solo alguien que posee, alquila o de otra manera está permitido entrar a la casa tendrá una llave.

En un contexto informático, el objeto físico podría ser un llavero, un dispositivo USB o incluso un teléfono inteligente. Supón que la organización de John quería estar muy segura de que todos los usuarios fueran realmente quienes dijeron que eran al marcar dos factores de autenticación en lugar de uno. Ahora, en lugar de simplemente ingresar su contraseña secreta –algo que el usuario sabe– John tiene que mostrarle al sistema de correo electrónico que posee un objeto que nadie más tiene. John es la única persona en el mundo que posee su teléfono inteligente personal, por lo que el sistema de correo electrónico le envía un mensaje de texto con un código único y John escribe el código para demostrar que tiene el teléfono en su posesión.

Algo que caracteriza al usuario: esto se refiere a una propiedad física del cuerpo. Un ejemplo común de este factor de autenticación en acción es el reconocimiento facial, una característica que ofrecen muchos teléfonos inteligentes modernos. El escaneo de huellas digitales es otro ejemplo. Los métodos menos comunes que usan algunas organizaciones de alta seguridad incluyen escaneos de retina y análisis de sangre.

Imagina que la organización de John decide reforzar aún más la seguridad al hacer que los usuarios verifiquen tres factores en lugar de dos (esto es poco común). Ahora, John tiene que ingresar su contraseña, verificar la posesión de su teléfono inteligente y escanear su huella digital antes de que el sistema de correo electrónico confirme que realmente es John.

Para resumir: en el mundo real, nuestra identidad es una combinación compleja de características personales, historia, ubicación y otros factores. En el mundo digital, la identidad de un usuario se compone de algunos o de todos los factores de autenticación, almacenados digitalmente en una base de datos de identidad. Para evitar que los impostores se hagan pasar por usuarios reales, los sistemas informáticos verificarán la identidad de un usuario con la base de datos de identidad.

¿Qué es la gestión de acceso?

"Acceso" se refiere a qué datos puede ver un usuario y qué acciones puede realizar una vez que inicia sesión. Una vez que John inicia sesión en su correo electrónico, puede ver todos los correos electrónicos que ha enviado y recibido. Sin embargo, no debería poder ver los correos electrónicos enviados y recibidos por Tracy, su compañero de trabajo.

En otras palabras, solo porque la identidad de un usuario esté verificada, eso no significa que deberían poder acceder a lo que quieran dentro de un sistema o una red. Por ejemplo, un empleado de bajo nivel dentro de una empresa debería poder acceder a su cuenta de correo electrónico corporativo, pero no debería poder acceder a los registros de nómina o información confidencial de recursos humanos.

La gestión de acceso es el proceso de control y seguimiento del acceso. Cada usuario dentro de un sistema tendrá diferentes privilegios dentro de ese sistema en función de sus necesidades individuales. De hecho, un contador necesita acceder y editar registros de nómina, por lo que una vez que verifiquen su identidad, debería poder ver y actualizar esos registros, así como acceder a su cuenta de correo electrónico.

¿Por qué IAM es tan importante para la informática en la nube?

En la informática en la nube, los datos se almacenan de forma remota y se accede a ellos a través de Internet. Debido a que los usuarios pueden conectarse a Internet desde casi cualquier ubicación y cualquier dispositivo, la mayoría de los servicios en la nube son independientes del dispositivo y la ubicación. Los usuarios ya no necesitan estar en la oficina o en un dispositivo propiedad de la compañía para acceder a la nube. Y, de hecho, las fuerzas de trabajo remotas se están volviendo más comunes.

Como resultado, la identidad se convierte en el punto más importante para controlar el acceso, no el perímetro de la red.* La identidad del usuario, no su dispositivo o ubicación, determina a qué datos en la nube tiene acceso y si tiene acceso a ellos en lo absoluto.

Para comprender por qué la identidad es tan importante, aquí hay una ilustración. Supongamos que un ciberdelincuente quiere acceder a archivos confidenciales en el centro de datos corporativos de una empresa. En la época antes de que la informática en la nube fuera ampliamente adoptada, el ciberdelincuente tendría que eludir el firewall corporativo que protegía la red interna o acceder físicamente al servidor al irrumpir en el edificio o al sobornar a un empleado interno. El objetivo principal del criminal sería lograr pasar el perímetro de la red.

Sin embargo, con la informática en la nube, los archivos confidenciales se almacenan en un servidor remoto en la nube. Debido a que los empleados de la empresa necesitan acceder a los archivos, lo hacen al iniciar sesión a través del navegador o una aplicación. Si un ciberdelincuente quiere acceder a los archivos, ahora todo lo que necesita es credenciales de inicio de sesión de los empleados (como un nombre de usuario y contraseña) y una conexión a Internet; el criminal no necesita pasar un perímetro de red.

IAM ayuda a evitar los ataques basados en identidad y las filtraciones de datos que se derivan del escalamiento de privilegios (cuando un usuario no autorizado tiene demasiado acceso). Por lo tanto, los sistemas IAM son esenciales para la informática en la nube y para gestionar equipos remotos.

*El perímetro de la red se refiere a los bordes de una red interna; es un límite virtual que separa la red interna segura gestionada de la Internet no segura y no controlada. Todas las computadoras en una oficina, además de los dispositivos conectados como impresoras de oficina, están dentro de este perímetro, pero un servidor remoto en un centro de datos en todo el mundo no lo está.

¿Dónde encaja IAM en una pila de implementación de nube/arquitectura de nube?

IAM a menudo es un servicio en la nube que los usuarios deben pasar para acceder al resto de la infraestructura en la nube de una organización. También se puede implementar en las instalaciones de una organización en una red interna. Finalmente, algunos proveedores de nube pública pueden agrupar IAM con sus otros servicios.

Las empresas que utilizan una arquitectura de nube híbrida o multinube pueden emplear en cambio un proveedor independiente para IAM. Desacoplar IAM de sus otros servicios de nube públicos o privados les ofrece más flexibilidad: aún pueden mantener su identidad y acceder a su base de datos si cambian de proveedor de nube.

¿Qué es un proveedor de identidad (IdP)?

Un proveedor de identidad (IdP) es un producto o servicio que ayuda a administrar la identidad. Un IdP a menudo maneja el proceso de inicio de sesión real. Los proveedores de inicio de sesión único (SSO) se ajustan a esta categoría. Los IdP pueden ser parte de un marco de IAM, pero generalmente no ayudan con la gestión del acceso de los usuarios.

¿Qué es la identidad como servicio (IDaaS)?

La identidad como servicio (IDaaS) es un servicio en la nube que verifica la identidad. Es una oferta de SaaS de un proveedor de la nube, una forma de externalizar parcialmente la gestión de identidad. En algunos casos, IDaaS e IdP son esencialmente intercambiables, pero en otros casos, el proveedor de IDaaS ofrece capacidades adicionales además de la verificación y gestión de identidad. Según las capacidades que ofrece el proveedor de IDaaS, IDaaS puede ser parte de un marco de IAM o puede ser todo el sistema de IAM.

¿Cómo ayuda Cloudflare con IAM y la nube?

Cloudflare Access es un producto de IAM que supervisa el acceso de los usuarios a cualquier dominio, aplicación o ruta alojada en Cloudflare. Se integra con los proveedores de SSO y permite a los administradores alterar y personalizar los permisos de los usuarios. Cloudflare Access ayuda a aplicar políticas de seguridad tanto para los empleados internos locales como para los trabajadores remotos.

Cloudflare se puede implementar frente a cualquier configuración de infraestructura de nube, lo que permite una mayor flexibilidad a las empresas con una implementación de multinube o híbrida que incluye un proveedor de IAM.