Che cos'è Identity and Access Management (IAM)?

Che cos'è la gestione delle identità e degli accessi (IAM)?

La gestione delle identità e degli accessi (acronimo inglese IAM o IdAM) è un modo di capire chi è un utente e cosa gli è consentito fare. L'IAM è come un buttafuori all'entrata di una discoteca che ha la lista di chi può entrare, chi non può e chi può andare nell'area VIP. L'IAM spesso viene anche chiamata IdM o gestione identità.

In more technical terms, IAM is a means of managing a given set of users' digital identities, and the privileges associated with each identity. It is an umbrella term that covers a number of different products that all do this same basic function. Within an organization, IAM may be a single product, or it may be a combination of processes, software products, cloud services, and hardware that give administrators visibility and control over the organizational data that individual users can access.

Cosa si intende per "identità" in ambito computing?

Non è possibile caricare e archiviare l'intera identità di una persona in un computer, quindi per "identità" in un contesto informatico si intende un determinato gruppo di proprietà che possono essere misurate e registrate digitalmente e agevolmente. Pensiamo a una carta d'identità o a un passaporto: i documenti non riportano ogni fatto relativo alla persona, ma contengono caratteristiche personali sufficienti a poter confrontare l'identità della persona a quella sul documento in maniera rapida.

Per verificare l'identità, un sistema informatico valuta un utente su caratteristiche a lui peculiari. Se queste combaciano, l'identità dell'utente è confermata. Queste caratteristiche sono anche conosciute come "fattori di autenticazione", perché aiutano a verificare che un utente sia davvero chi dica di essere.

I tre fattori di autenticazione più diffusi sono:

• qualcosa che l'utente conosce
• qualcosa che l'utente possiede
• qualcosa che l'utente è

Qualcosa che l'utente conosce: questo fattore è un elemento di conoscenza che, in linea teorica, è noto soltanto a un utente, come una combinazione di nome utente/password.

Supponiamo che Giovanni voglia leggere le sue e-mail di lavoro da casa. Per farlo, deve prima effettuare l'accesso all'account e-mail stabilendo la propria identità, perché se qualcun altro avesse accesso alla sua casella di posta, i dati aziendali sarebbero compromessi.

Giovanni effettua l'accesso immettendo il suo indirizzo e-mail, giovanni@azienda.it, e la password che solo lui conosce - ad esempio “5jt*2)f12?y”. Presumibilmente, nessuno oltre a Giovanni è al corrente di questa password, quindi il sistema di e-mail riconosce Giovanni e gli concede l'accesso al suo account di posta. Se qualcuno tentasse di impersonare Giovanni, immettendo l'indirizzo e-mail "giovanni@azienda.it", questi non potrebbe ottenere l'accesso senza conoscere la password “5jt*2)f12?y”.

Qualcosa che l'utente possiede: questo fattore si riferisce al possesso di un "token" fisico che viene distribuito agli utenti autorizzati. L'esempio più semplice di questo fattore di autenticazione è l'utilizzo di una chiave per aprire la porta di casa. Si presuppone che avrà la chiave solo una persona che possiede o affitta la casa, o che comunque abbia diritto ad accedervi.

In un contesto informatico, l'oggetto fisico potrebbe essere una chiave elettronica, un dispositivo USB o persino uno smartphone. Supponiamo che l'azienda di Giovanni voglia essere sicura oltre ogni dubbio che gli utenti siano chi dichiarano di essere, controllando due fattori di autenticazione invece che uno. Adesso, invece di digitare solo la sua password segreta - quel fattore che solo l'utente sa - Giovanni deve dimostrare al sistema di e-mail di essere in possesso anche di un oggetto che nessun altro possiede. Giovanni è l'unico al mondo che possiede il suo smartphone personale, quindi il sistema gli invia un messaggio contenente un codice univoco che Giovanni inserirà per dimostrare di essere in possesso dello smartphone.

Qualcosa che l'utente è: questo si riferisce a una proprietà fisica del proprio corpo. Un esempio comune di questo fattore di autenticazione è Face ID, una funzione offerta da molti smartphone moderni. Un altro esempio è la scansione dell'impronta digitale. Altri metodi meno comuni utilizzati da alcune organizzazioni dalla sicurezza elevata sono la scansione della retina e gli esami del sangue.

Ipotizziamo che l'azienda di Giovanni decida di incrementare ulteriormente il livello di sicurezza, obbligando gli utenti a verificare tre fattori invece di due (questa è una cosa rara). Ora Giovanni dovrà immettere la sua password, certificare di essere in possesso del suo smartphone e scansionare l'impronta digitale, prima che il sistema di e-mail confermi che si tratta davvero di lui.

Per riepilogare: nel mondo reale, l'identità di una persona è un insieme complesso di caratteristiche personali: la propria storia personale, la propria posizione geografica, e altri fattori. Nel mondo digitale, l'identità di un utente è composta da alcuni o tutti e tre i fattori di autenticazione, che sono archiviati in un database digitale delle identità. Per impedire che degli impostori possano impersonare i veri utenti, i sistemi informatici verificano l'identità di un utente rispetto ai dati presenti nel database delle identità.

Che cosa è la gestione degli accessi?

Il termine "accesso" fa riferimento a quali dati un utente può vedere, e quali azioni può compiere una volta entrato nel sistema. Quando Giovanni accede alla sua casella di posta elettronica, può vedere tutte le e-mail che ha inviato e ricevuto, mentre non dovrebbe poter vedere le e-mail inviate dalla sua collega Tamara.

In breve, solo perché l'identità di un utente è stata verificata, ciò non significa che egli debba avere accesso a qualsiasi cosa desideri, all'interno di un sistema o di una rete. Ad esempio, un dipendente di livello base di un'azienda dovrebbe poter accedere al proprio account e-mail, ma non ai dati delle buste paga o alle informazioni riservate di HR.

La gestione degli accessi è il processo di controllare e tracciare l'accesso. Ciascun utente di un sistema avrà privilegi diversi all'interno di un dato sistema, basati su necessità individuali. Un contabile deve avere accesso e deve poter modificare le buste paga. Pertanto, una volta verificata la sua identità, dovrebbe poter visualizzare e aggiornare anche quei dati, oltre ad avere accesso al suo account e-mail.

Perché l'IAM è così importante per il cloud computing?

Nel cloud computing, i dati sono archiviati in remoto e vi si accede tramite Internet. Visto che gli utenti possono connettersi a Internet da praticamente qualsiasi luogo e dispositivo, per la maggior parte dei servizi cloud non importa da dove o da che dispositivo ci si connetta. Gli utenti non devono più trovarsi in ufficio o usare un dispositivo aziendale per accedere al cloud. E, infatti, il personale remoto sta diventando una cosa sempre più comune.

Quindi è l'identità a diventare il punto fondamentale da cui controllare l'accesso, e non il perimetro di rete.* È l'identità dell'utente, non il suo dispositivo o la sua ubicazione, a determinare a quali dati del cloud avrà accesso e persino il suo stesso diritto ad accedere.

Per capire perché l'identità è così importante, facciamo un esempio. Supponiamo che un criminale informatico voglia accedere a dei file riservati riposti del datacenter di una azienda. Quando il cloud computing non era stato ancora adottato su larga scala, i criminali informatici erano obbligati a superare il firewall aziendale posto a protezione della rete interna, oppure dovevano accedere fisicamente al server, introducendosi nell'edificio che lo custodiva oppure corrompendo un dipendente interno. L'obiettivo principale del criminale informatico era pertanto oltrepassare il perimetro di rete.

Grazie al cloud computing, i file riservati sono archiviati in un server cloud remoto. Visto che i dipendenti dell'azienda devono potervi accedere, eseguiranno l'accesso tramite browser o un'app. Se un criminale informatico vuole accedere ai file, tutto ciò che gli serve sono le credenziali di accesso di un dipendente (come nome utente e password) e una connessione a Internet, dato che non è più costretto a superare un perimetro di rete.

L'IAM contribuisce a impedire gli attacchi basati sull'identità e le violazioni di dati che provengono dall'aumento dei privilegi (quando un utente non autorizzato ha troppo accesso). Di conseguenza, i sistemi IAM sono fondamentali per il cloud computing e per gestire i team remoti.

*Perimetro di rete si riferisce al perimetro di una rete interna; è un confine virtuale che separa la rete interna sicura e gestita dall'Internet non sicuro e non gestito. Tutti i computer di ufficio, più i dispositivi connessi come le stampanti, si trovano all'interno di tale perimetro, ma un server remoto in un datacenter dall'altra parte del mondo non lo è.

Where does IAM fit in a cloud architecture?

Spesso l'IAM è un servizio cloud attraverso il quale gli utenti devono passare per raggiungere il resto dell'infrastruttura cloud di un'organizzazione. Può anche essere implementata presso la sede di un'azienda su una rete interna. Inoltre, alcuni provider cloud spesso includono l'IAM insieme agli altri servizi.

Le aziende che usano un'architettura multicloud o a cloud ibrido potrebbero invece usare un provider separato per l'IAM. Slacciare l'IAM da altri servizi cloud pubblici o privaticonsente a queste aziende di godere di una maggiore flessibilità: possono comunque mantenere le identità e gli accessi nel proprio database se cambiano fornitore di servizi cloud.

Cos'è un provider di identità (IdP)?

Un provider di identità (IdP) è un prodotto o un servizio che assiste nella gestione delle identità. Un IdP spesso gestisce l'effettivo processo di accesso. I provider Single Sign On (SSO) rientrano in questa categoria. Gli IdP possono far parte di una struttura IAM, ma in genere non assistono nel gestire l'accesso degli utenti.

What is identity-as-a-service (IDaaS)?

Identity-as-a-service (IDaaS) is a cloud service that verifies identity. It is a SaaS offering from a cloud vendor, a way of partially outsourcing identity management. In some cases, IDaaS and IdP are essentially interchangeable – but in other cases, the IDaaS vendor offers additional capabilities on top of identity verification and management. Depending on the capabilities offered by the IDaaS vendor, IDaaS can be a part of an IAM framework, or it can be the whole IAM system.

Zero Trust identity and IAM

Zero Trust security is a model that strictly verifies identity for every user and device connecting to resources on a private network, whether the user or device is within or outside the network perimeter. Zero Trust is closely intertwined with IAM, since it relies on checking identity and restricting access.

Zero Trust uses multi-factor authentication (MFA), which checks two or three of the identity factors listed above instead of just one. It also requires implementing the principle of least privilege for access control. Most importantly, once a person's identity is confirmed, Zero Trust still does not automatically trust that person's actions. Instead, every request is monitored and inspected individually for compromised activity. Learn more about Zero Trust.

In che modo Cloudflare può supportare l'IAM e il cloud?

Cloudflare Access is an IAM product that monitors user access to any domain, application, or path hosted on Cloudflare. It integrates with SSO providers and allows administrators to alter and customize user permissions. Cloudflare Access helps enforce security policies for both on-premises internal employees and remote workers.

Cloudflare può essere implementato in qualsiasi configurazione di infrastruttura cloud, fornendo una maggiore flessibilità alle aziende con un'implementazione multicloud o a cloud ibrido che include un provider IAM.