Che cos'è la gestione identità e accesso (IAM)?

I sistemi di gestione identità e accesso (IAM) verificano l'identità degli utenti e ne controllano i privilegi.

Share facebook icon linkedin icon twitter icon email icon

IAM

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Scopri cosa significa "identità" in un contesto informatico
  • Comprendi cos'è "l'accesso utente"
  • Scopri perché la gestione delle identità e degli accessi è così importante nel cloud computing

Che cos'è la gestione identità e accesso (IAM)?

La gestione identità e accesso (acronimo inglese IAM o IdAM) è un modo di capire chi è un utente e cosa gli è consentito fare. L'IAM è come un buttafuori all'entrata di una discoteca che ha la lista di chi può entrare, chi non può e chi può andare nell'area VIP. L'IAM spesso viene anche chiamata IdM o gestione identità.

identity and access management iam

In termini più tecnici, l'IAM è un mezzo per gestire le identità digitali di un determinato gruppo di utenti e i privilegi associati a ciascuna identità. È un termine generico che racchiude una serie di prodotti diversi che eseguono questa funzione base. All'interno di un'organizzazione, l'IAM potrebbe essere un singolo prodotto oppure una combinazione di processi, software, servizi cloud e hardware che fornisce agli amministratori la visibilità e il controllo dei dati organizzativi a cui possono accedere i diversi utenti.

Cos'è l'identità in un contesto informatico?

Non è possibile caricare e archiviare l'intera identità di una persona in un computer, quindi "identità" in un contesto informatico significa un determinato gruppo di proprietà che possono essere misurate e registrate digitalmente e convenientemente. Pensiamo a una carta d'identità o a un passaporto: questi non elencano ogni fatto relativo alla persona, ma contengono caratteristiche personali sufficienti a poter confrontare l'identità della persona a quella sul documento in maniera rapida.

Per verificare l'identità, un sistema informatico valuta un utente riguardo le caratteristiche a questi specifiche. Se queste combaciano, l'identità dell'utente è confermata. Queste caratteristiche sono anche conosciute come "fattori di autenticazione", perché aiutano a verificare che un utente sia davvero chi dica di essere.

I tre fattori di autenticazione più diffusi sono:

  • qualcosa che l'utente conosce
  • qualcosa che l'utente possiede
  • qualcosa che l'utente è

Qualcosa che l'utente conosce: questo fattore è un fatto conosciuto solo da un utente, come una combinazione di nome utente e password.

Supponiamo che Giovanni voglia leggere le sue e-mail di lavoro da casa. Per farlo, deve prima effettuare l'accesso all'account e-mail stabilendo la propria identità, perché se qualcuno diverso da Giovanni avesse accesso alla posta di Giovanni, allora si comprometterebbero i dati aziendali.

Giovanni effettua l'accesso immettendo il suo indirizzo e-mail, giovanni@azienda.it, e la password che solo lui conosce - ad esempio “5jt*2)f12?y”. Presumibilmente, nessuno oltre a Giovanni è al corrente di questa password, quindi il sistema di e-mail riconosce Giovanni e gli dà accesso al suo account di posta. Se qualcuno tentasse di impersonare Giovanni, immettendo l'indirizzo e-mail "giovanni@azienda.it", questi non potrebbe ottenere l'accesso senza saper digitare la password “5jt*2)f12?y”.

Qualcosa che l'utente possiede: questo fattore si riferisce ad essere in possesso di un "token" fisico che viene distribuito agli utenti autorizzati. L'esempio più semplice di questo fattore di autenticazione è l'utilizzo di una chiave per aprire la porta di casa. Si presuppone che avrà la chiave solo una persona che possiede o affitta la casa o che vi è in qualche modo ammessa.

In un contesto informatico, l'oggetto fisico potrebbe essere una chiave elettronica, un dispositivo USB o persino uno smartphone. Supponiamo che l'azienda di Giovanni voglia assicurarsi al massimo che gli utenti siano chi dichiarano di essere, verificando due fattori di autenticazione invece che uno. Adesso, invece di digitare solo la sua password segreta - quel fattore che solo l'utente sa - Giovanni deve dimostrare al sistema di e-mail di essere in possesso anche di un oggetto che non possiede nessun altro. Giovanni è l'unico al mondo che possiede il suo smartphone personale, quindi il sistema gli invia un messaggio contenente un codice unico e Giovanni lo inserisce per dimostrare di essere in possesso dello smartphone.

Qualcosa che l'utente è: questo si riferisce a una proprietà fisica del proprio corpo. Un esempio comune di questo fattore di autenticazione è Face ID, una funzione offerta da molti smartphone moderni. Un altro esempio è la scansione dell'impronta digitale. Altri metodi meno comuni utilizzati da alcune organizzazioni dalla sicurezza elevata sono la scansione della retina e gli esami del sangue.

Mettiamo che l'azienda di Giovanni decida di aumentare la sicurezza ancora di più, obbligando gli utenti a verificare tre fattori invece di due (questa è una cosa rara). Ora Giovanni deve immettere la sua password, verificare di essere in possesso del suo smartphone e scansionare l'impronta digitale prima che il sistema di e-mail confermi che si tratti davvero di Giovanni.

Per riepilogare: nel mondo reale, l'identità di una persona è un insieme complesso di caratteristiche personali, storia, ubicazione e altri fattori. Nel mondo digitale, l'identità di un utente è composta da alcuni o tutti e tre i fattori di autenticazione, che sono archiviati in un database digitale delle identità. Per impedire che gli impostori possano impersonare i veri utenti, i sistemi informatici verificano l'identità di un utente nel database delle identità.

Cos'è la gestione degli accessi?

"Accesso" si riferisce a quali dati può vedere un utente e quali azioni può compiere una volta effettuato l'accesso. Quando Giovanni accede alla sua e-mail, può vedere tutte le e-mail che ha inviato e ricevuto. Invece non dovrebbe poter vedere le e-mail inviate dalla sua collega Tamara.

In parole povere, solo perché l'identità di un utente è stata verificata, ciò non significa che egli debba avere accesso a qualsiasi cosa desideri, all'interno di un sistema o di una rete. Ad esempio, un dipendente di livello base di un'azienda dovrebbe poter accedere al proprio account e-mail, ma non i dati dei libri paga o le informazioni riservate delle risorse umane.

La gestione degli accessi è il processo di controllare e tracciare l'accesso. Ciascun utente di un sistema avrà privilegi diversi all'interno del sistema stesso, sulla base delle necessità personali. Un contabile deve avere accesso e deve poter modificare i libri paga quindi, una volta verificata la sua identità, dovrebbe poter visualizzare e aggiornare quei dati oltre che ad avere accesso al suo account e-mail.

Perché l'IAM è così importante per il cloud computing?

Nel cloud computing, i dati sono archiviati remotamente e vi si accede tramite Internet. Visto che gli utenti possono connettersi a Internet da praticamente qualsiasi luogo e dispositivo, per la maggior parte dei servizi cloud non importa da dove o da che dispositivo ci si connetta. Gli utenti non devono più trovarsi in ufficio o usare un dispositivo aziendale per accedere al cloud. E, infatti, il personale remoto sta diventando una cosa sempre più comune.

Quindi è l'identità a diventare il punto fondamentale da cui controllare l'accesso, e non il perimetro di rete.* È l'identità dell'utente, non il suo dispositivo o la sua ubicazione, a determinare a quali dati del cloud ha accesso e anche se può accedere del tutto.

Per capire perché l'identità è così importante facciamo un esempio. Supponiamo che un criminale informatico voglia accedere a dei file riservati all'interno del datacenter di un'azienda. Nel periodo prima che il cloud computing fosse una cosa comune, i criminali informatici dovevano oltrepassare il firewall aziendale che protegge una rete interna oppure accedere fisicamente al server introducendosi nell'edificio che lo contiene o corrompendo un dipendente interno. L'obiettivo principale del criminale informatico era di oltrepassare il perimetro di rete.

Invece grazie al cloud computing, i file riservati sono archiviati in un server cloud remoto. Visto che i dipendenti dell'azienda devono poter accedere ai file, essi eseguono l'accesso tramite browser o un'app. Se un criminale informatico vuole accedere ai file, ora tutto ciò che gli serve sono le credenziali di accesso di un dipendente (come nome utente e password) e una connessione a Internet: egli non deve più superare un perimetro di rete.

L'IAM contribuisce a impedire gli attacchi basati sull'identità e le violazioni di dati che provengono dall'aumento dei privilegi (quando un utente non autorizzato ha troppo accesso). Di conseguenza, i sistemi IAM sono fondamentali per il cloud computing e per gestire i team remoti.

*Perimetro di rete si riferisce al perimetro di una rete interna; è un confine virtuale che separa la rete interna sicura e gestita dall'Internet non sicuro e non gestito. Tutti i computer di ufficio, più i dispositivi connessi come le stampanti, si trovano all'interno di tale perimetro, ma un server remoto in un datacenter dall'altra parte del mondo non lo è.

Qual è il ruolo dell'IAM all'interno dell'architettura implementazione cloud stack/cloud?

Spesso l'IAM è un servizio cloud attraverso il quale gli utenti devono passare per raggiungere il resto dell'infrastruttura cloud di un'organizzazione. Può anche essere implementata presso la sede di un'azienda su una rete interna. Inoltre, alcuni provider cloud spesso includono l'IAM insieme agli altri servizi.

Le aziende che usano un'architettura multicloud o a cloud ibrido potrebbero invece usare un provider separato per l'IAM. Slacciare l'IAM da altri servizi cloud pubblici o privati consente a queste aziende di godere di una maggiore flessibilità: possono comunque mantenere le identità e gli accessi nel proprio database se cambiano fornitore di servizi cloud.

Cos'è un provider di identità (IdP)?

Un provider di identità (IdP) è un prodotto o un servizio che assiste nel gestire le identità. Un IdP spesso gestisce il processo di accesso effettivo. I provider Single Sign On (SSO) rientrano in questa categoria. Gli IdP possono far parte di una struttura IAM, ma in genere non assistono nel gestire l'accesso degli utenti.

Cos'è l'identità come un servizio (Identity-as-a-Service o IDaaS)?

L'identità come un servizio (Identity-as-a-Service o IDaaS) è un servizio cloud che verifica l'identità. È un'offerta SaaS da un provider cloud, un modo di esternalizzare parzialmente la gestione delle identità. In alcuni casi, IDaaS e IdP sono pressoché intercambiabili, ma, in altri casi, il provider IDaaS offre delle funzionalità aggiuntive oltre alla verifica e alla gestione delle identità. A seconda delle funzionalità offerte dal provider IDaaS, questa può far parte di una struttura IAM oppure comprendere l'intero sistema IAM.

Che assistenza offre Cloudflare per l'IAM e il cloud?

Cloudflare Access è un prodotto IAM che monitora l'accesso degli utenti a qualsiasi dominio, applicazione o percorso ospitato su Cloudflare. Integra con i provider SSO e consente agli amministratori di modificare e personalizzare le autorizzazioni utente. Cloudflare Access aiuta ad applicare le politiche di sicurezza sia per i dipendenti interni in locale sia per i lavoratori in remoto.

Cloudflare può essere implementato in qualsiasi setup di infrastruttura cloud, fornendo una maggiore flessibilità alle aziende con un'implementazione multicloud o a cloud ibrido che include un provider IAM.