IAM e IGA: si tratta di due insiemi di funzionalità di sicurezza delle identità che svolgono funzioni diverse, ma complementari.
- IAM si concentra sul consentire e gestire l'accesso sicuro degli utenti alle risorse digitali (applicazioni, sistemi e dati) attraverso l'autenticazione, il Single Sign-On (SSO) e altre funzionalità relative all'autenticazione e all'accesso.
- IGA va oltre gli aspetti fondamentali della concessione e della gestione dell'accesso per 1) concentrarsi sulle modalità con cui un'organizzazione concede l'accesso alle risorse digitali e 2) garantire che l'accesso concesso sia appropriato e conforme alle norme, intervenendo qualora non lo fosse.
In sostanza, l’IAM affronta questioni fondamentali quali chi effettua l’accesso, come lo effettua e a quali risorse ha diritto di accedere una volta effettuato l’accesso, mentre l’IGA si occupa innanzitutto di verificare se l’accesso concesso sia adeguato al ruolo e alle attività assegnate all’utente.
Per IAM si intendono le politiche e i processi relativi all’autenticazione dell’identità di un utente (umano o macchina) che richiede l’accesso sicuro a una o più risorse all’interno di un’organizzazione. Lo scopo dell’autenticazione dell’identità dell’utente è 1) confermare che l’utente sia effettivamente autorizzato all’accesso richiesto in base al proprio ruolo e alle proprie responsabilità e 2) concedere (o negare) l’accesso di conseguenza.
Funzionalità chiave dell'IAM
L'IAM si occupa dell'autenticazione degli utenti e della concessione loro dell'accesso alle risorse, in modo da dare priorità sia alla sicurezza dell'organizzazione che alla produttività degli utenti. Si è evoluto nel corso dei decenni per affrontare contemporaneamente questi due aspetti in modi sempre più sofisticati.
- Autenticazione: nella sua forma più semplice, l’autenticazione consiste nell’invio da parte di un utente di una serie tradizionale di credenziali — nome utente e password — per dimostrare la propria identità. Tuttavia, con l’aumentare delle dimensioni e della complessità del panorama delle identità e delle minacce, diventa sempre più urgente il problema delle credenziali, difficili da ricordare per gli utenti e facili da rubare per i malintenzionati.
- Autenticazione a più fattori (MFA): L'aggiunta di un ulteriore fattore di identificazione, come un dato biometrico, inasprisce i requisiti di autenticazione, migliorando così la sicurezza. Ciò risulta particolarmente utile quando il fattore aggiuntivo non è gravoso. Ad esempio, una scansione facciale o l'impronta digitale richiedono uno sforzo minimo da parte dell'utente, ma rendono molto più difficile il furto delle credenziali.
- Accesso unico (SSO): Con l'aumentare del numero di risorse protette a cui gli utenti devono accedere, l'SSO consente loro di accedere a più applicazioni con un'autenticazione forte tramite un unico punto di accesso, velocizzando e semplificando così il processo. L'SSO riduce inoltre al minimo la superficie di attacco, limitando le opportunità a disposizione degli hacker di sfruttare le vulnerabilità legate alle accessioni multiple.
- Senza password: L'autenticazione senza password sostituisce le credenziali tradizionali con dati biometrici, passkey, autenticatori e altri metodi di verifica dell'identità che non possono essere facilmente sottratti. Inoltre, semplifica l'autenticazione legittima, poiché non richiede più agli utenti di ricordare molteplici credenziali per accedere a un numero sempre crescente di risorse.
Punto chiave di IAM: Fiducia zero
Lo Zero Trust è un concetto di sicurezza basato sull'idea di stabilire la fiducia prima di concedere l'accesso alle risorse, senza mai dare nulla per scontato. Ciò rende l'IAM fondamentale per le organizzazioni impegnate a gestire un ambiente Zero Trust, in cui l'identità deve essere verificata ogni volta che qualcuno o qualcosa richiede l'accesso.
Gli ambienti Zero Trust sono resi possibili dalle funzionalità e dalle pratiche fondamentali dell'IAM.
- Autenticazione: verifica dell'identità tramite autenticazione a più fattori (MFA) e autenticazione senza password
- Accesso: adozione di politiche sensibili al contesto e condizionali per la concessione dell'accesso
- Centralizzazione: utilizzo dell'SSO tra applicazioni e ambienti di accesso
Mentre l’IAM si occupa principalmente di autenticare l’identità di un utente prima che gli venga concesso l’accesso, l’IGA si concentra sulla gestione come verificare a chi viene concesso l'accesso e assicurarsi che sia sempre adeguato all'utente e alla situazione. L'obiettivo generale dell'IGA è garantire che i diritti di accesso siano conformi alle politiche aziendali, soddisfino i requisiti di conformità e siano coerenti con le migliori pratiche di sicurezza.
Funzionalità chiave di IGA
Mentre l’IAM si occupa di stabilire chi ha accesso a cosa, l’IGA si concentra invece sul verificare se tale accesso sia concesso in modo appropriato, sulla base di fattori quali il ruolo dell’utente all’interno dell’organizzazione e le politiche e le prassi di sicurezza e conformità dell’organizzazione stessa.
- Richieste di accesso e approvazioni: la gestione degli accessi basata su flussi di lavoro negli ambienti IGA combina automazione e intervento umano per valutare in modo rapido e accurato le richieste di accesso e assegnare i diritti agli utenti.
- Certificazione degli accessi: dato che i ruoli e le responsabilità degli utenti sono in continua evoluzione, la governance delle identità richiede una certificazione periodica degli accessi per verificare l’adeguatezza dei livelli di accesso. Le operazioni manuali non riescono assolutamente a stare al passo con tali cambiamenti, rendendo l’automazione un elemento fondamentale.
- Gestione dei ruoli: la creazione di ruoli per gli utenti è fondamentale per garantire loro, in modo semplice, l’accesso alle risorse protette necessarie per svolgere il proprio lavoro. Altrettanto importante è una gestione rigorosa dei ruoli, per assicurarsi che gli utenti non dispongano di privilegi eccessivi che potrebbero comportare rischi per la sicurezza.
- Gestione del ciclo di vita delle identità: le modifiche relative agli accessi fanno parte del percorso che caratterizza il ciclo di vita delle identità, che comprende l’ingresso in un’organizzazione, lo svolgimento di diversi ruoli e, infine, l’uscita dall’organizzazione. La gestione del ciclo di vita delle identità è fondamentale per garantire che gli accessi siano adeguati al ruolo ricoperto in quel momento.
- Verifica e rendicontazione: fare il punto su chi ha accesso a quali risorse è fondamentale per rispettare i requisiti normativi e avere una visione chiara dei rischi legati all'accesso. La verifica e la rendicontazione sono fondamentali per raggiungere entrambi questi obiettivi.
Punto chiave dell’IGA: Fiducia zero
Il modello "zero trust" si basa sul presupposto che la fiducia non possa mai esistere di default, ma debba invece essere stabilita ogni volta che qualcuno o qualcosa richiede l'accesso. L'IGA fornisce i controlli e la governance di cui un'organizzazione ha bisogno per valutare continuamente se l'accesso sia appropriato in base al livello di fiducia riposto nell'utente.
Gli ambienti Zero Trust sono resi possibili proprio da diverse funzionalità e pratiche fondamentali dell'IGA.
- Provisioning basato sul flusso di lavoro: utilizzo dell'automazione per garantire un adeguato controllo degli accessi
- Certificazione degli accessi: verifica continua degli accessi e adeguamento di conseguenza
- Gestione dei ruoli: individuare ed evitare combinazioni dannose di autorizzazioni
- Gestione del ciclo di vita delle identità: aggiornamento immediato dei diritti di accesso in caso di modifica o cessazione dei ruoli
- Audit e rendicontazione: sostegno al principio dello Zero Trust relativo alla verifica delle decisioni relative all'affidabilità
Punto chiave dell’IGA: conformità normativa
SOX, HIPAA, GDPR, PCI-DSS, ISO 27001 IGA e altre normative richiedono un rigoroso controllo degli accessi, oltre alla capacità di dimostrare che tale controllo sia conforme agli standard stabiliti dalle normative stesse. Questo tipo di responsabilità e verificabilità è esattamente ciò che offre l’IGA.
La conformità normativa è specificamente supportata da diverse funzionalità e prassi fondamentali di IGA:
- Certificazione degli accessi: verifica degli accessi e dimostrazione della validità dei diritti di accesso
- Audit e rendicontazione: soddisfacimento dei requisiti normativi specifici relativi alla documentazione di conformità
- Gestione del ciclo di vita delle identità: garantire che gli accessi siano correttamente allineati ai ruoli attuali
Sia l’IGA che l’IAM si occupano dell’accesso sicuro alle risorse. Tuttavia, mentre l’IAM consente agli utenti di accedere in modo sicuro e pratico alle risorse a cui hanno diritto, l’IGA valuta se essi debbano effettivamente avere tale diritto. In tale contesto, le principali differenze sono:
- Autenticazione
- Autenticazione a più fattori (MFA)
- Identità federata
- Senza password
- Provisioning basato sul flusso di lavoro
- Certificazione di accesso
- Gestione dei ruoli
- Gestione del ciclo di vita delle identità
- Revisione contabile e rendicontazione
- Tasso di successo/fallimento dell'autenticazione
- Tasso di adozione dell'autenticazione multifattoriale (MFA) e dell'autenticazione senza password
- Tempo medio necessario per l'attivazione degli account
- Tempo medio necessario per risolvere i problemi di autenticazione
- Livelli di disponibilità e operatività del sistema
- Tempo medio necessario per approvare le richieste di accesso
- Percentuale di verifiche di accesso completate
- Rilevate violazioni relative alla separazione dei compiti
- Numero di account che rispettano il principio del privilegio minimo
- Numero di risultati dell'audit relativi a problemi riscontrati
Obiettivo/scopo
IAM: Abilita l'accesso
IGA: Gestione degli accessi
Preoccupazione principale
IAM: Abilita l'accesso
IGA: Gestione degli accessi
Capacità chiave
IAM: Abilita l'accesso
- Autenticazione
- Autenticazione a più fattori (MFA)
- Identità federata
- Senza password
IGA: Gestione degli accessi
- Provisioning basato sul flusso di lavoro
- Certificazione di accesso
- Gestione dei ruoli
- Gestione del ciclo di vita delle identità
- Revisione contabile e rendicontazione
Esempi di indicatori di successo
IAM: Abilita l'accesso
- Tasso di successo/fallimento dell'autenticazione
- Tasso di adozione dell'autenticazione multifattoriale (MFA) e dell'autenticazione senza password
- Tempo medio necessario per l'attivazione degli account
- Tempo medio necessario per risolvere i problemi di autenticazione
- Livelli di disponibilità e operatività del sistema
IGA: Gestione degli accessi
- Tempo medio necessario per approvare le richieste di accesso
- Percentuale di verifiche di accesso completate
- Rilevate violazioni relative alla separazione dei compiti
- Numero di account che rispettano il principio del privilegio minimo
- Numero di risultati dell'audit relativi a problemi riscontrati
Per affrontare l’intero spettro della sicurezza delle identità, le organizzazioni dovrebbero idealmente disporre di una combinazione di IAM (per consentire agli utenti di accedere alle risorse in modo sicuro e comodo) e IGA (per garantire e dimostrare che l’accesso degli utenti alle risorse sia appropriato e non crei rischi per la sicurezza). Tuttavia, le diverse organizzazioni presenteranno requisiti e livelli di risorse differenti che determineranno come procedere, come descritto negli scenari seguenti.
Scenario: Implementare IAM e IGA contemporaneamente? Sì, quando possibile.
L’implementazione congiunta di IAM e IGA è quasi sempre la soluzione ideale, sia che un’organizzazione stia valutando una nuova implementazione di entrambe le soluzioni, sia che intenda sostituire un’implementazione IAM esistente e aggiungere anche l’IGA. Implementando contemporaneamente le funzionalità IGA e IAM dello stesso fornitore, l’organizzazione si assicura una copertura completa della sicurezza delle identità in due aree complementari e critiche, senza il rischio di inutili lacune di sicurezza, problemi di integrazione o altre difficoltà che possono derivare da un’implementazione scaglionata.
H3 Scenario: Aggiungere IGA a un'implementazione IAM esistente? Forse.
Per le organizzazioni che dispongono già di un’implementazione IAM in grado di fornire tutto il necessario per concedere e gestire gli accessi, potrebbe essere opportuno mantenere tale implementazione per preservare l’investimento iniziale in materia di identità, aggiungendo al contempo una soluzione IGA. Ciò funziona bene se la soluzione IGA proviene dallo stesso fornitore. In caso contrario, la gestione complessiva della sicurezza delle identità rischia di diventare molto più complessa; l’integrazione delle due soluzioni potrebbe rivelarsi difficile; e potrebbero verificarsi continui problemi di risoluzione dei guasti legati al funzionamento di sistemi disparati.
Scenario: limitarsi esclusivamente all'IAM? Non consigliabile.
È possibile implementare l’IAM senza l’IGA, come alcune organizzazioni stanno valutando di fare a causa di vincoli di bilancio o operativi. Ma non è necessariamente consigliabile. È vero che, con l’IAM in atto per autenticare gli utenti, il rischio che qualcuno non autorizzato ad accedere riesca in qualche modo a farlo è minore. Ma ciò non tiene conto della questione se l’accesso di cui dispongono gli utenti sia il diritto accesso. Ecco perché le organizzazioni che utilizzano esclusivamente l’IAM rischiano di creare problemi di sicurezza dovuti all’accumulo eccessivo di privilegi di accesso da parte degli utenti. Le organizzazioni prive di IGA non dispongono inoltre di tracciati di audit e altre prove necessarie a dimostrare la conformità in caso di controlli normativi.
Scenario: Utilizzare solo l'IGA? Non è proprio un'opzione praticabile.
Non ha senso avere l’IGA senza l’IAM, poiché l’applicazione delle politiche di sicurezza da parte dell’IGA si basa sui meccanismi di autenticazione e autorizzazione sottostanti forniti dall’IAM. In altre parole, senza l’IAM, l’IGA non ha su cosa basarsi. L’unica scelta da fare è tra l’IAM da solo o l’IAM e l’IGA insieme.
La sicurezza delle identità consiste nel proteggere le identità digitali verificandone l'autenticità e applicando controlli di accesso, con l'obiettivo di impedire accessi non autorizzati.
Sì. IAM combina la gestione delle identità e la gestione degli accessi per garantire la sicurezza delle identità digitali e proteggere dalle accessi non autorizzati alle risorse negli ambienti digitali.
La gestione delle identità e degli accessi, o IAM, consente l'archiviazione sicura delle risorse sensibili e l'accesso sicuro alle stesse tramite metodi quali SSO, MFA e senza password.
L'obiettivo della gestione delle identità è quello di ridurre il rischio di violazioni della sicurezza, garantendo che solo le persone autorizzate possano accedere alle risorse protette.
La gestione delle identità garantisce un accesso sicuro alle risorse, favorisce la conformità normativa e ottimizza l'esperienza dell'utente, rendendo l'accesso comodo e sicuro.
L'IAM si concentra su chi ha accesso, ovvero sull'autenticazione degli utenti e sulla gestione del loro accesso alle risorse, mentre l'IGA si concentra sul fatto che l'accesso di un utente sia adeguato al suo ruolo e alle sue responsabilità.