IAM Identity and Access Management.

IAM è la disciplina che gestisce chi può accedere a cosa, quando, come e in quali condizioni. Provisioning, autenticazione, autorizzazione, deprovisioning. L'identità è il nuovo perimetro. Ogni architettura Zero Trust è, nella sostanza, un problema di IAM complesso mascherato da problema di rete.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Il punto di vista di Cyber Academy

IAM è la disciplina che gestisce chi può accedere a cosa, quando, come e in quali condizioni. Provisioning, autenticazione, autorizzazione, deprovisioning. L'identità è il nuovo perimetro. Ogni architettura Zero Trust è, nella sostanza, un problema di IAM complesso mascherato da problema di rete.

Cosa copre davvero l'IAM

L'Identity and Access Management è la disciplina operativa che decide chi può accedere a cosa, quando, come e a quali condizioni. In pratica si costruisce a partire da un piccolo insieme di funzioni ripetibili: effettuare il provisioning di un'identità quando arriva una persona o un servizio, autenticare quell'identità nel momento dell'accesso, autorizzare le azioni e le risorse specifiche consentite, e deprovisionare l'identità quando il ruolo o la relazione termina. La parte difficile raramente è una singola schermata di login. Consiste nel mantenere onesto nel tempo il legame tra una persona reale, le sue identità digitali e i suoi diritti accumulati, attraverso decine di sistemi che hanno ciascuno una propria idea di cosa sia un account.

Un modello mentale utile è il ciclo di vita dell'identità. Chi entra riceve account e un accesso di base. Chi cambia ruolo passa da un team all'altro e dovrebbe perdere i vecchi diritti man mano che ne acquisisce di nuovi. Chi esce deve essere disconnesso in modo netto. La maggior parte degli incidenti di accesso risale a un guasto in questo ciclo di vita: account orfani mai disabilitati, oppure privilegi accumulati perché l'accesso è stato concesso ma mai riesaminato. L'IAM è il sistema che rende affidabile il processo di ingresso, spostamento e uscita invece di un affannarsi manuale.

L'identità come perimetro

L'IAM conta di più oggi perché il confine di rete ha smesso di essere un controllo significativo. Gli utenti si connettono da ovunque, i carichi di lavoro vengono eseguiti su più provider cloud, e le identità macchina (account di servizio, chiavi API, token di carico di lavoro) spesso superano per numero quelle umane. Quando non c'è più un interno e un esterno da difendere, l'identità diventa la linea che decide l'accesso. È questa l'intuizione centrale alla base dello Zero Trust: non fidarsi mai per impostazione predefinita, verificare ogni richiesta rispetto a identità, postura del dispositivo e contesto. Un'architettura Zero Trust è, in fondo, un esigente problema di IAM travestito da problema di rete.

L'IAM è anche il punto in cui si innestano diversi controlli adiacenti. L'autenticazione a più fattori rafforza la fase di autenticazione. La gestione degli accessi privilegiati protegge il piccolo numero di identità capaci di causare il danno maggiore. Il principio del privilegio minimo è la politica che l'IAM applica: concedere solo l'accesso di cui un ruolo ha davvero bisogno, e niente di più. Considerali come strati di uno stesso problema anziché come progetti separati.

Contesto di governance e standard

L'IAM si colloca al centro della maggior parte dei framework di sicurezza perché il controllo degli accessi è fondamentale. ISO/IEC 27001 tratta il controllo degli accessi e la gestione delle identità come aree di controllo centrali di un sistema di gestione della sicurezza delle informazioni, aspettandosi che le organizzazioni definiscano una politica di controllo degli accessi, gestiscano l'accesso degli utenti lungo l'intero ciclo di vita e riesaminino i diritti di accesso.

Il NIST Cybersecurity Framework colloca la gestione delle identità e il controllo degli accessi tra le funzioni di protezione che ogni programma dovrebbe coprire. Per i dati regolamentati, la disciplina degli accessi sostiene anche gli obblighi di riservatezza ai sensi del GDPR, poiché limitare chi può raggiungere i dati personali fa parte della dimostrazione di misure tecniche adeguate.

Ciò che i professionisti fanno realmente lo riflette. Costruiscono fonti di identità autorevoli, automatizzano il provisioning e il deprovisioning, centralizzano l'autenticazione tramite il single sign-on, modellano i diritti come ruoli ove possibile, eseguono riesami degli accessi ricorrenti e mantengono una pista di controllo su chi ha ricevuto cosa e perché. Fatta bene, l'IAM è invisibile agli utenti e dimostrabile agli auditor. Fatta male, è la causa profonda silenziosa dietro una larga parte delle violazioni.

Frequently asked questions

01Qual è la differenza tra autenticazione e autorizzazione nell'IAM?

L'autenticazione prova chi è un'identità, ad esempio tramite una password più un secondo fattore. L'autorizzazione decide cosa quell'identità provata è autorizzata a fare una volta verificata. L'IAM deve riuscire in entrambe: un login robusto non serve a nulla se l'account ha poi un accesso che non avrebbe mai dovuto avere.

02In che rapporto sta l'IAM con lo Zero Trust?

Lo Zero Trust rimuove la fiducia implicita basata sulla posizione di rete e verifica invece ogni richiesta. Poiché quella verifica si appoggia su identità, dispositivo e contesto, un'adozione dello Zero Trust è in larga misura un programma di IAM. L'autenticazione forte, il privilegio minimo e le decisioni di accesso continue ne sono i mattoni costitutivi.

03Cos'è il ciclo di vita dell'identità?

È il flusso di ingresso, spostamento e uscita: effettuare il provisioning dell'accesso quando qualcuno arriva, adeguarlo quando il suo ruolo cambia e rimuoverlo quando se ne va. La maggior parte dei problemi di accesso, come gli account orfani e l'accumulo di privilegi, deriva da lacune in questo ciclo di vita.

04In che cosa l'IAM è diverso dal PAM?

L'IAM governa l'accesso per l'intera popolazione di identità lungo il loro ciclo di vita. La gestione degli accessi privilegiati si concentra sul piccolo insieme di account ad alto rischio, come amministratori e account di servizio, aggiungendo controlli più severi come la conservazione in vault, il monitoraggio delle sessioni e l'elevazione just-in-time. Il PAM è uno strato specializzato all'interno della più ampia disciplina IAM.

05Perché i riesami degli accessi sono importanti?

L'accesso tende ad accumularsi perché concedere è facile e revocare viene dimenticato. La certificazione periodica degli accessi chiede ai titolari di confermare chi debba ancora avere cosa, intercettando l'accumulo di privilegi e i diritti orfani. È inoltre un controllo che gli auditor si aspettano di vedere comprovato sotto framework come ISO/IEC 27001.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.