Identity access management, cos’è e cosa serve

Nell’era dei sistemi decentralizzati, dell’accesso al cloud, IoT, Edge o fog computing, della diffusione dei dispositivi mobili e delle piattaforme digitali (anche ibride) a livello globale, la gestione dell’identità digitale è una pietra miliare dell’approccio sicurezza zero trust, ma anche nel “continuous adaptive trust”, dove serve una fiducia in adattamento continuo. L’Identity access management (IAM), dunque, permette a imprese, organizzazioni e governi di convalidare l’identità di utenti con permessi di accesso, nel crescente flusso di dati su una vasta gamma di piattaforme e sistemi.

Standardizzando e automatizzando i processi di autenticazione, IAM riduce i costi IT. Incrementando la sicurezza, aumenta la produttività dei dipendenti.

Identity access management (IAM): cos’è

L’Identity access management è l’insieme di processi aziendali per gestire le identità digitali degli utenti e i loro permessi di accesso.

L’IAM permette quindi di convalidare le identità digitali degli utenti e i privilegi attribuiti a ogni profilo.

Un sistema di gestione delle identità comprende quattro elementi chiave:

• una directory dei dati personali che il sistema sfrutta per delineare i singoli profili;
• una gamma di strumenti per gestire i dati: il ciclo di vita degli accessi (aggiungere, cambiare, eliminare i dati);
• un sistema che regolamenta l’accesso degli utenti, applicando policy di sicurezza e privilegi di accesso: può configurare domande di sicurezza, fattori di identificazione personale, password usa e getta;
• un sistema di controllo e reportistica: in grado di monitorare cosa accade nel sistema.

A cosa serve l’Identity access management

L’Identity access management (IAM) serve a capire chi è un utente e cosa gli è permesso fare, per evitare:

• accessi non autorizzati;
• rischio di compromissione delle chiavi di accesso;
• di commettere errori come usare un’unica password per innumerevoli servizi (infatti IAM permette di ricordare tutte le password diversificate per ogni servizio, come è giusto che sia).

Quindi, consente di identificare un utente, autenticarlo e offrirgli l’autorizzazione per accedere al profilo secondo il ruolo assegnato dalla propria identità digitale:

• evitando di fornire a un utente un livello di accesso superiore a quello richiesto per svolgere il proprio lavoro o di ritardare di eliminare i privilegi di coloro che non hanno più rapporti con l’azienda;
• garantendo allo stesso tempo la privacy, la sicurezza e l’affidabilità di un prodotto o di un servizio online.

Grazie a un’infrastruttura di supporto ad hoc, l’IAM consente di generare, mantenere e utilizzare le identità digitali in un ambito legale: pubblico o privato, amministrativo o commerciale. I sistemi IAM infatti sostengono la compliance normativa del GDPR: un’azienda che lo implementa, rispetta le normative privacy in conformità col regolamento europeo.

Inoltre, l’Identity access management è un fattore abilitante per impedire cyber attacchi basati sull’identità nel cloud computing. E monitora anche gli accessi da bot, smart object, dispositivi IoT.

Il ruolo dell’Identity access management nella sicurezza cloud

Il cloud computing, l’IoT e il fog o l’edge computing rappresentano le nuove sfide per l’Identity access management, dal momento che hanno reso obsoleta e virtuale ogni strategia di cyber sicurezza fondata sulla protezione del perimetro fisico aziendale.

Infatti, la nuova linea di difesa deve far affidamento sull’identità digitale e sulla gestione degli accessi. In questa prospettiva, i sistemi IAM sono essenziali per prevenire violazioni nel cloud computing e aiutare a gestire i team che lavorano in mobilità, da remoto, in smart working, e comunque fuori dal classico ufficio aziendale.

Dalla difesa del perimetro di rete al cloud

I servizi disponibili in cloud computing archiviano i dati in remoto e l’accesso avviene via Internet. Gli utenti si connettono alla Rete da ogni luogo e dispositivo digitale, eseguendo l’accesso tramite browser o un’app per accedervi.

Poiché non importa più il perimetro di rete (da dove e con quale dispositivo si accede), a diventare cruciale è il concetto di identità digitale dell’utente, ciò che controlla l’accesso, determinando sia il diritto di accesso sia a quali dati del cloud accedere.

Prima dell’avvento del cloud, un cyber criminale doveva scavalcare il perimetro di rete per accedere ai dati sensibili. Nell’era della nuvola, invece, al cyber criminale è sufficiente rubare le credenziali di accesso di un dipendente (in generale, nome utente e password) per accedere ai dati.

Nel dettaglio, i dispositivi Internet of Things (IoT), connessi al cloud, devono assicurare che la propria identità venga certificata lungo tutta la catena del valore, fino al cloud.

L’Identity access management serve dunque a impedire i cyber attacchi basati sull’identità e violazioni di dati derivanti dall’aumento dei privilegi.

What is Identity and access management | #IAM

Guarda questo video su YouTube

Video: Cos’è l’Identity Access Management (in inglese)

Soluzioni IAM

Le soluzioni IAM sono ideate e sviluppate per offrire visibilità e controllo centralizzati. Permettono di misurare e controllare attivamente i rischi intrinseci associati al sistema che si occupa della corrispondenza di risorse e utenti.

Inoltre, presentano funzionalità avanzate che incrementano sia la sicurezza che la produttività dei dipendenti. In base al ruolo, poi, ciascun utente sarà in grado di accedere a un ventaglio di dati su cui potrà eseguire un certo tipo di operazioni.

Lo scopo fondamentale dei sistemi IAM, infatti, consiste nell’identificare un utente, autenticarlo e concedergli l’autorizzazione per accedere al profilo, secondo il ruolo della sua identità digitale.

Dunque, le soluzioni di identità e gestione degli accessi servono non solo a stabilire l’identità digitale, ma anche a mantenerla, modificarla e monitorarla nell’intero corso del ciclo di vita del procedimento di accesso: durante il provisioning del servizio, l’onboarding dell’utenza, l’offboarding e la cancellazione al momento appropriato.

Esempi di soluzioni IAM

Negli anni hanno catalizzato crescente interesse le soluzioni:

• basate su API security;
• di Identity-as-a-service (IDaaS);
• Customer identity and access management (CIAM) integrabili con i ERP e CRM (Google Identity è un customer Identity and access management – CIAM);
• analytics sulle identità per monitorare e bloccare eventuali comportamenti sospetti, sfruttando sistemi di behavioural basati su machine learning e sistemi statistici;
• Identity management and governance (IMG) per la gestione automatizzata e ripetibile del ciclo di vita delle identità;
• Risk-based authentication (RBA) per gestire gli accessi a uno o due fattori, a seconda del profilo di rischio dell’utenza;
• introduzione di fattori biometrici (come TouchID), apprendimento automatico, intelligenza artificiale (AI), autenticazione a due fattori o multi-fattoriale e basata sul rischio, per rendere sicure le identità digitali nell’era dei data breach, dell’identity sprawl e della Shadow IT.

Software IAM

I sistemi IAM sono composti da:

• strumenti di gestione delle password (One Time Password – OTP; standard Single Sign-On – SSO, per gestire gli ID federati; memorizzare le credenziali tramite sistemi di crittografia con hash code; offrire la possibilità agli utenti di ripristinare in condizioni di sicurezza le proprie password, sbloccando i propri account senza fare pressione sull’help desk.);
• uso di TouchID e soluzioni biometriche;
• software di provisioning e de-provisioning dinamica (attività da automatizzare);
• software di applicazione delle policy di sicurezza;
• app di reporting e monitoraggio;
• app di archivi di identità.

I software IAM più evoluti rientrano nelle seguenti tipologie:

• cloud IAM e Managed services, per gestire in maniera trasparente gli accessi del personale in smart working (monitorando l’attività di utenti in modo da identificare in tempo eventuali attività malevole);
• identità decentralizzata, per verificare l’identità degli utenti che effettuano gli accessi tutelando la rispettiva privacy;
• accesso just-in-time, per assicurare gli accessi soltanto per il tempo necessario a effettuare l’attività, concedendo unicamente le informazioni utili a tale scopo.

Esempi di software di Identity access management

Ecco una selezione di software di Identity access management:

• Okta, che offre Single Sign-On, autenticazione Multi-fattotre, Lifecycle Management (Provisioning), Mobility Management, API Access Management eccetera;
• JumpCloud, piattaforma di open directory;
• Rippling, che mette insieme dati e sistemi IT per i dipendenti (buste paga, risorse umane, benefit eccetera);
• Auth0 Identity Platform, piattaforma indipendente;
• OneLogin, si distingue per l’accesso one-click;
• Microsoft Azure Active Directory è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft, servizio SaaS (IDaaS), dedicato ai dipendenti in grado di effettuare l’accesso e utilizzare le risorse in: Risorse esterne, tra cui Microsoft 365, il portale di Azure e migliaia di altre applicazioni SaaS;
• Ping Identity;
• AWS Identity and Access Management (IAM) è un servizio online per monitorare in maniera sicura l’accesso alle risorse del cloud AWS (utilizza IAM per controllare chi è autenticato e autorizzato per usare le risorse. Permette di creare e gestire utenti e gruppi AWS, e usare i permessi per autorizzare o negare l’accesso alle risorse AWS);
• ForgeRock;
• SecureAuth Identity Platform;
• SailPoint;
• Salesforce Identity;
• Avatier Identity Anywhere;
• Google Cloud Identity & Access Management (IAM);
• Oracle Identity Management, soluzione per gestire lifecycle end-to-end delle identità degli utenti su tutte le risorse di fascia enterprise, oltre il firewall e nel cloud: una piattaforma scalabile per la gestione delle identità, gestione dell’accesso e servizi directory;
• IBM Security Verify: Ibm permette di sfruttare metodologie Agile e DevOps per implementare i servizi IAM, da migliorare con Ibm Security Services.
• HelloId.