Che cos'è la gestione identità e accesso (IAM)?

I sistemi di gestione identità e accesso (IAM) verificano l'identità degli utenti e ne controllano i privilegi.

Share facebook icon linkedin icon twitter icon email icon

IAM

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Scopri cosa significa "identità" in un contesto informatico
  • Comprendi cos'è "l'accesso utente"
  • Scopri perché la gestione delle identità e degli accessi è così importante nel cloud computing

Che cos'è la gestione delle identità e degli accessi (IAM)?

La gestione delle identità e degli accessi (acronimo inglese IAM o IdAM) è un modo di capire chi è un utente e cosa gli è consentito fare. L'IAM è come un buttafuori all'entrata di una discoteca che ha la lista di chi può entrare, chi non può e chi può andare nell'area VIP. L'IAM spesso viene anche chiamata IdM o gestione identità.

gestione delle identità e degli accessi iam

In termini più tecnici, l'IAM è un mezzo per gestire le identità digitali di un determinato gruppo di utenti e i privilegi associati a ciascuna identità. È un termine generico che raggruppa una serie di prodotti diversi che assolvono tutti la stessa funzione di base. All'interno di un'organizzazione, l'IAM potrebbe essere un singolo prodotto oppure una combinazione di processi, software, servizi cloude hardware che fornisce agli amministratori la visibilità e il controllo dei dati organizzativi a cui possono accedere i singoli utenti.

Cosa si intende per "identità" in ambito computing?

Non è possibile caricare e archiviare l'intera identità di una persona in un computer, quindi per "identità" in un contesto informatico si intende un determinato gruppo di proprietà che possono essere misurate e registrate digitalmente e agevolmente. Pensiamo a una carta d'identità o a un passaporto: i documenti non riportano ogni fatto relativo alla persona, ma contengono caratteristiche personali sufficienti a poter confrontare l'identità della persona a quella sul documento in maniera rapida.

Per verificare l'identità, un sistema informatico valuta un utente su caratteristiche a lui peculiari. Se queste combaciano, l'identità dell'utente è confermata. Queste caratteristiche sono anche conosciute come "fattori di autenticazione", perché aiutano a verificare che un utente sia davvero chi dica di essere.

I tre fattori di autenticazione più diffusi sono:

  • qualcosa che l'utente conosce
  • qualcosa che l'utente possiede
  • qualcosa che l'utente è

Qualcosa che l'utente conosce: questo fattore è un elemento di conoscenza che, in linea teorica, è noto soltanto a un utente, come una combinazione di nome utente/password.

Supponiamo che Giovanni voglia leggere le sue e-mail di lavoro da casa. Per farlo, deve prima effettuare l'accesso all'account e-mail stabilendo la propria identità, perché se qualcun altro avesse accesso alla sua casella di posta, i dati aziendali sarebbero compromessi.

Giovanni effettua l'accesso immettendo il suo indirizzo e-mail, giovanni@azienda.it, e la password che solo lui conosce - ad esempio “5jt*2)f12?y”. Presumibilmente, nessuno oltre a Giovanni è al corrente di questa password, quindi il sistema di e-mail riconosce Giovanni e gli concede l'accesso al suo account di posta. Se qualcuno tentasse di impersonare Giovanni, immettendo l'indirizzo e-mail "giovanni@azienda.it", questi non potrebbe ottenere l'accesso senza conoscere la password “5jt*2)f12?y”.

Qualcosa che l'utente possiede: questo fattore si riferisce al possesso di un "token" fisico che viene distribuito agli utenti autorizzati. L'esempio più semplice di questo fattore di autenticazione è l'utilizzo di una chiave per aprire la porta di casa. Si presuppone che avrà la chiave solo una persona che possiede o affitta la casa, o che comunque abbia diritto ad accedervi.

In un contesto informatico, l'oggetto fisico potrebbe essere una chiave elettronica, un dispositivo USB o persino uno smartphone. Supponiamo che l'azienda di Giovanni voglia essere sicura oltre ogni dubbio che gli utenti siano chi dichiarano di essere, controllando due fattori di autenticazione invece che uno. Adesso, invece di digitare solo la sua password segreta - quel fattore che solo l'utente sa - Giovanni deve dimostrare al sistema di e-mail di essere in possesso anche di un oggetto che nessun altro possiede. Giovanni è l'unico al mondo che possiede il suo smartphone personale, quindi il sistema gli invia un messaggio contenente un codice univoco che Giovanni inserirà per dimostrare di essere in possesso dello smartphone.

Qualcosa che l'utente è: questo si riferisce a una proprietà fisica del proprio corpo. Un esempio comune di questo fattore di autenticazione è Face ID, una funzione offerta da molti smartphone moderni. Un altro esempio è la scansione dell'impronta digitale. Altri metodi meno comuni utilizzati da alcune organizzazioni dalla sicurezza elevata sono la scansione della retina e gli esami del sangue.

Ipotizziamo che l'azienda di Giovanni decida di incrementare ulteriormente il livello di sicurezza, obbligando gli utenti a verificare tre fattori invece di due (questa è una cosa rara). Ora Giovanni dovrà immettere la sua password, certificare di essere in possesso del suo smartphone e scansionare l'impronta digitale, prima che il sistema di e-mail confermi che si tratta davvero di lui.

Per riepilogare: nel mondo reale, l'identità di una persona è un insieme complesso di caratteristiche personali: la propria storia personale, la propria posizione geografica, e altri fattori. Nel mondo digitale, l'identità di un utente è composta da alcuni o tutti e tre i fattori di autenticazione, che sono archiviati in un database digitale delle identità. Per impedire che degli impostori possano impersonare i veri utenti, i sistemi informatici verificano l'identità di un utente rispetto ai dati presenti nel database delle identità.

Che cosa è la gestione degli accessi?

Il termine "accesso" fa riferimento a quali dati un utente può vedere, e quali azioni può compiere una volta entrato nel sistema. Quando Giovanni accede alla sua casella di posta elettronica, può vedere tutte le e-mail che ha inviato e ricevuto, mentre non dovrebbe poter vedere le e-mail inviate dalla sua collega Tamara.

In breve, solo perché l'identità di un utente è stata verificata, ciò non significa che egli debba avere accesso a qualsiasi cosa desideri, all'interno di un sistema o di una rete. Ad esempio, un dipendente di livello base di un'azienda dovrebbe poter accedere al proprio account e-mail, ma non ai dati delle buste paga o alle informazioni riservate di HR.

La gestione degli accessi è il processo di controllare e tracciare l'accesso. Ciascun utente di un sistema avrà privilegi diversi all'interno di un dato sistema, basati su necessità individuali. Un contabile deve avere accesso e deve poter modificare le buste paga. Pertanto, una volta verificata la sua identità, dovrebbe poter visualizzare e aggiornare anche quei dati, oltre ad avere accesso al suo account e-mail.

Perché l'IAM è così importante per il cloud computing?

Nel cloud computing, i dati sono archiviati in remoto e vi si accede tramite Internet. Visto che gli utenti possono connettersi a Internet da praticamente qualsiasi luogo e dispositivo, per la maggior parte dei servizi cloud non importa da dove o da che dispositivo ci si connetta. Gli utenti non devono più trovarsi in ufficio o usare un dispositivo aziendale per accedere al cloud. E, infatti, il personale remoto sta diventando una cosa sempre più comune.

Quindi è l'identità a diventare il punto fondamentale da cui controllare l'accesso, e non il perimetro di rete.* È l'identità dell'utente, non il suo dispositivo o la sua ubicazione, a determinare a quali dati del cloud avrà accesso e persino il suo stesso diritto ad accedere.

Per capire perché l'identità è così importante, facciamo un esempio. Supponiamo che un criminale informatico voglia accedere a dei file riservati riposti del datacenter di una azienda. Quando il cloud computing non era stato ancora adottato su larga scala, i criminali informatici erano obbligati a superare il firewall aziendale posto a protezione della rete interna, oppure dovevano accedere fisicamente al server, introducendosi nell'edificio che lo custodiva oppure corrompendo un dipendente interno. L'obiettivo principale del criminale informatico era pertanto oltrepassare il perimetro di rete.

Grazie al cloud computing, i file riservati sono archiviati in un server cloud remoto. Visto che i dipendenti dell'azienda devono potervi accedere, eseguiranno l'accesso tramite browser o un'app. Se un criminale informatico vuole accedere ai file, tutto ciò che gli serve sono le credenziali di accesso di un dipendente (come nome utente e password) e una connessione a Internet, dato che non è più costretto a superare un perimetro di rete.

L'IAM contribuisce a impedire gli attacchi basati sull'identità e le violazioni di dati che provengono dall'aumento dei privilegi (quando un utente non autorizzato ha troppo accesso). Di conseguenza, i sistemi IAM sono fondamentali per il cloud computing e per gestire i team remoti.

*Perimetro di rete si riferisce al perimetro di una rete interna; è un confine virtuale che separa la rete interna sicura e gestita dall'Internet non sicuro e non gestito. Tutti i computer di ufficio, più i dispositivi connessi come le stampanti, si trovano all'interno di tale perimetro, ma un server remoto in un datacenter dall'altra parte del mondo non lo è.

Dove si inserisce l'IAM in un deployment cloud con architettura stack/cloud?

Spesso l'IAM è un servizio cloud attraverso il quale gli utenti devono passare per raggiungere il resto dell'infrastruttura cloud di un'organizzazione. Può anche essere implementata presso la sede di un'azienda su una rete interna. Inoltre, alcuni provider cloud spesso includono l'IAM insieme agli altri servizi.

Le aziende che usano un'architettura multicloud o a cloud ibrido potrebbero invece usare un provider separato per l'IAM. Slacciare l'IAM da altri servizi cloud pubblici o privaticonsente a queste aziende di godere di una maggiore flessibilità: possono comunque mantenere le identità e gli accessi nel proprio database se cambiano fornitore di servizi cloud.

Cos'è un provider di identità (IdP)?

Un provider di identità (IdP) è un prodotto o un servizio che assiste nella gestione delle identità. Un IdP spesso gestisce l'effettivo processo di accesso. I provider Single Sign On (SSO) rientrano in questa categoria. Gli IdP possono far parte di una struttura IAM, ma in genere non assistono nel gestire l'accesso degli utenti.

Cos'è l'identità come un servizio (Identity-as-a-Service o IDaaS)?

L'identità come un servizio (Identity-as-a-Service o IDaaS) è un servizio cloud che verifica l'identità. È un'offerta SaaS da un provider cloud, un modo di esternalizzare parzialmente la gestione delle identità. . In alcuni casi, IDaaS e IdP sono pressoché intercambiabili, ma, in altri casi, il provider IDaaS offre delle funzionalità aggiuntive oltre alla verifica e alla gestione delle identità. A seconda delle funzionalità offerte dal provider IDaaS, questa può far parte di una struttura IAM oppure comprendere l'intero sistema IAM.

In che modo Cloudflare può supportare l'IAM e il cloud?

Cloudflare Access è un prodotto IAM che monitora l'accesso degli utenti a qualsiasi dominio, applicazione o percorso ospitato su Cloudflare. Integra con i provider SSO e consente agli amministratori di modificare e personalizzare le autorizzazioni utente. Cloudflare Access aiuta ad applicare le politiche di sicurezza sia per i dipendenti interni in sede, sia per i lavoratori in remoto.

Cloudflare può essere implementato in qualsiasi configurazione di infrastruttura cloud, fornendo una maggiore flessibilità alle aziende con un'implementazione multicloud o a cloud ibrido che include un provider IAM.