Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

IAM, gestione identità e accessi: come cambiano i processi di autenticazione

pittogramma Zerouno

Guida

IAM, gestione identità e accessi: come cambiano i processi di autenticazione

La gestione dell’identità e degli accessi è il must-have più importante del 2019. Gli esperti descrivono le ultime tendenze utili ad assicurare che solo gli utenti giusti (umani e non) abbiano accesso ai dati, alle applicazioni e alle risorse nel modo corretto

19 Giu 2019

di Laura Zanotti - Fonte TechTarget

Gestione delle identità e degli accessi o, nella definizione inglese, IAM (Identity Access Management) come requisito primario della sicurezza informatica.

L’evolutiva associata alla gestione dei permessi è lo specchio di quel mutevole panorama rappresentato dalla sicurezza informatica. Il modello di riferimento dello IAM, di conseguenza, sta cambiando. Gli esperti delineano le best practice, rispondendo ad alcuni quesiti fondamentali.

Gestione delle identità e degli accessi nel 2019

In che modo e perché le organizzazioni aziendali oggi dovrebbero implementare una gestione delle identità e degli accessi? Quali sono le sfide e le insidie ​​nell’implementazione di una soluzione IAM? In che modo le imprese possono avere la certezza che le loro implementazioni IAM funzionino nel modo più corretto e funzionale?

Assicurare che solo le persone giuste abbiano accesso ai dati, alle applicazioni e alle risorse corretti non significa semplicemente implementare uno strumento IAM e metterlo in produzione. Anche perché oggi non sono più solo le persone ad accedere a dati, applicazioni e risorse. Come qualsiasi altro capitolo della sicurezza informatica, è necessario capire bene la genesi del processo, analizzare i fattori concomitanti e tutte le possibili variabili, predisporre una ratio rispetto alla gestione dei permessi e, soprattutto, mantenere una visione olistica dell’azienda e del business.

La gestione delle identità e degli accessi, infatti, nel 2019 merita un’attenzione particolare. Oggi gli utenti si affidano a un mix sempre crescente di dispositivi mobili. L’automazione e una IoT sempre più pervasiva e diversificata stanno riformulando la definizione stessa di cosa sia un utente. Se anche gli oggetti diventano connessi e comunicanti, infatti, sono utenti anche un bot, un dispositivo sensorizzato o un servizio software.

IAM: che cosa è (e cosa non è)

La maggior parte dei tecnologi immagina che lo IAM sia simile a un database contenente l’elenco degli utenti e le risorse a cui è consentito l’accesso. Se s’intende con questo qualcosa di analogo all’Active Directory di Microsoft (AD) effettivamente questa interpretazione ha il suo senso. Come strumento di Identity & Access Management, l’AD fornisce servizi di accesso e autorizzazione che consentono agli utenti di accedere a particolari macchine e applicazioni. Il che rappresenta il primo tassello di una corretta gestione delle identità e degli accessi. Il problema è che il paradigma user-to-machine oggi è diventato obsoleto.

Gli ambienti aziendali odierni sono sempre più cloud-based. Gli analisti da più parti confermano come la metà di tutti i carichi di lavoro vivrà, da qui alla fine del 2019, sulla nuvola.

Anche il concetto di applicazione va ridefinito in quanto i container nella programmazione stanno diventando un approccio dominante: le aziende, infatti, procedono a implementare microservizi, adottando sempre più un’impostazione consacrata al DevOps.

Se con la smartificazione del mondo associata alla Internet of Things e a una comunicazione decisamente omnicanale, dati e applicazioni possono risiedere ovunque, limitare gli accessi a una macchina potrebbe non avere senso. Oggi le applicazioni sono sempre più dinamiche. Ci sono container che possono avere cicli di vita addirittura inferiori al secondo!

Ecco perché è necessario ridefinire che cosa significhi risolvere la gestione degli accessi e delle identità. Oggi lo IAM è un’opzione tecnologica che garantisce agli utenti, siano essi umani o cyber, di ottenere l’accesso solo alle risorse a cui hanno diritto, indipendentemente da dove risiedono tali risorse, stabilendo la durata temporale del privilegio di accesso.

IAM e sicurezza zero-trust: 3 cose da sapere

L’approccio corretto è una sicurezza zero trust incentrata sulla creazione delle cosiddette politiche di affinità. In estrema sintesi, i sistemi hanno relazioni, applicazioni e traffico approvati: qualsiasi tentativo di comunicazione viene valutato e confrontato con queste politiche per determinare se le azioni debbano essere o meno consentite. Il tutto in modo continuativo.

Le imprese hanno bisogno di definire precise politiche di gestione delle identità e degli accessi per tre motivi principali:

  1. Definire chi deve essere abilitato all’accesso e a quali dati. È questa la base della sicurezza informatica. La maggior parte delle violazioni coinvolge utenti o bot che ottengono l’accesso a una risorsa a cui non dovrebbero accedere. Ragionare di prevenzione per evitare falle nei sistemi è fondamentale. Lapalissiano ma niente affatto scontato per la governance.
  1. Fornire la documentazione opportuna relativa a chi ha avuto accesso e a cosa è altrettanto indispensabile. Poiché la maggior parte delle organizzazioni aziendali sono vincolate alla conformità normativa, un buon sistema IAM non solo funziona in tempo reale, consentendo l’accesso autorizzato e negando l’accesso non autorizzato, ma conserva i log che possono poi essere utilizzati per ricostruire quanto è successo ed essere usati a supporto della compliance (oltre a consentire di formulare la risposta agli incidenti).
  1. Immettere un sistema Zero Trust. Contrariamente al nome, la sicurezza zero-trust in realtà non significa non fidarsi di nessuno o di niente. In realtà è una fiducia altamente distribuita e controllata in modo granulare. In altre parole, in un ambiente dinamico altamente distribuito la fiducia zero consiste nel fornire un controllo preciso su chi può accedere a una particolare risorsa. Il che corrisponde a quanto deve fare una corretta gestione delle identità e degli accessi.

Nella migrazione verso la sicurezza zero-trust, infatti, lo IAM è una pietra miliare. Man mano che l’azienda evolve da modelli locali, i firewall diventano meno utili nella protezione delle risorse. Con i servizi cloud, non esiste più una definizione significativa all’interno del perimetro, quindi la sicurezza perimetrale, vale a dire basata su firewall, non ha senso.

Come scegliere uno strumento IAM

Lo IAM deve evolvere esattamente come evolve l’impresa. La digital transformation mette le organizzazioni di fronte a diverse sfide ma quella più grande è quella di riuscire a giocare d’anticipo su quelle che saranno i criteri più adatti di gestione delle identità e degli accessi. Secondo gli esperti scegliere e implementare uno IAM non consiste tanto nella ricerca on line di fornitori IAM per poi indire una gara d’appalto e finalizzare l’implementazione della soluzione con le migliori funzionalità.

Il concetto di gestione delle identità e degli accessi deve essere evolutivo. Sono sempre di più le sollecitazioni che arrivano dallo sviluppo di un mondo permanentemente connesso e comunicante, integrato, multipiattaforma e multiservizio.

Per garantire il successo dello IAM, il miglior punto di partenza è la capacità di valutazione.

Molte società di consulenza specializzate nella cybersecurity, così come gli stessi fornitori di IAM, sono partner preziosi per le aziende in quanto forniscono una valutazione che offre un’istantanea preziosa in merito a dove possono esistere lacune critiche delineando, in alcuni casi, quali sono i punti di attenzione e le sfide future. Grazie a questo tipo di analisi le aziende possono sviluppare una serie di criteri di selezione e una scorecard ponderata per poi stabilire quali fornitori prendere in considerazione. Il tutto considerando i piani futuri dell’organizzazione per avere la contezza di aver selezionato un prodotto a prova di futuro.

Z

Laura Zanotti - Fonte TechTarget

Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

Argomenti trattati

Approfondimenti

G
Guida
I
Iam
T
TechTarget Tech InDepth
IAM, gestione identità e accessi: come cambiano i processi di autenticazione

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4