Gestione delle identità
Che cos'è la gestione delle identità?
La gestione delle identità (IdM, Identity Management), nota anche come gestione delle identità e degli accessi (IAM, Identity and Access Management), garantisce che le persone autorizzate, e solo queste, abbiano accesso alle risorse tecnologiche necessarie per svolgere le proprie funzioni lavorative. Include policy e tecnologie che richiedono un processo a livello dell'intera organizzazione per identificare, autenticare e autorizzare correttamente persone, gruppi di persone o applicazioni software tramite attributi, inclusi i diritti di accesso degli utenti e le restrizioni, in base alle loro identità.
Un sistema di gestione delle identità impedisce l'accesso non autorizzato a sistemi e risorse, aiuta a prevenire l'esfiltrazione dei dati aziendali o protetti e genera avvisi e allarmi quando vengono effettuati tentativi di accesso da parte di personale o programmi non autorizzati, dall'interno o dall'esterno del perimetro aziendale.
Le soluzioni di gestione delle identità non solo proteggono il software e l'accesso ai dati, ma anche le risorse hardware di un'azienda, come server, reti e dispositivi di archiviazione da accessi non autorizzati che potrebbero condurre a un attacco ransomware. La gestione dell'identità ha acquisito importanza nell'ultimo decennio a causa del numero crescente di normative globali, obblighi di conformità e governance intesi a proteggere i dati sensibili da esposizioni di qualsiasi tipo.
In genere, i sistemi IdM e IAM fanno parte della sicurezza IT e della gestione dei dati IT all'interno dell'azienda, e gli strumenti di gestione delle identità e degli accessi sono ampiamente disponibili per l'ampia gamma di dispositivi a cui gli utenti si affidano per eseguire funzioni aziendali, da telefoni e tablet a computer desktop con sistemi Windows, Linux, iOS o Android.
I termini IdM e IAM sono spesso usati in modo intercambiabile, anche se la gestione delle identità è più incentrata sull'identità dell'utente (o nome utente) e sui ruoli, sulle autorizzazioni e sui gruppi a cui appartiene l'utente. IdM si concentra anche sulla protezione delle identità attraverso una varietà di tecnologie come password, biometria, autenticazione a più fattori e altre identità digitali. Questo avviene solitamente mediante l'adozione di applicazioni e piattaforme software di gestione delle identità.
Come funziona la gestione delle identità?
Come parte di un framework IAM generale a copertura della gestione degli accessi e delle identità, le aziende utilizzano in genere sia un componente di gestione degli utenti che un componente di directory centrale come Active Directory per Windows o Apache Directory Studio o Open LDAP per i sistemi Linux.
Il componente di gestione degli utenti gestisce la delega dell'autorità di amministrazione, il monitoraggio dei ruoli e delle responsabilità per ciascun utente e gruppo, il provisioning e il deprovisioning degli account utente e la gestione delle password. Alcune o tutte queste funzioni, come la reimpostazione della password, sono in genere self-service per ridurre il carico sul personale IT.
La directory centrale è un repository di tutti i dati di utenti e gruppi per l'azienda. Pertanto, un ruolo importante di questo componente è quello di sincronizzare la directory o il repository all'interno dell'azienda, che può estendersi a componenti on-premise, private cloud o public cloud. Ciò consente un'unica vista sugli utenti e le loro autorizzazioni in qualsiasi momento e ovunque in un'infrastruttura hybrid cloud o multi-cloud.
Un framework IAM include anche due componenti di accesso. L'autenticazione risolve problemi come l'accesso (e il Single Sign-on), la gestione delle sessioni attive e un'autenticazione forte tramite token o dispositivo biometrico. L'autorizzazione utilizza ruoli, attributi e regole in un record utente per determinare se un determinato utente, dispositivo o applicazione debba essere autorizzato ad accedere a una risorsa.
Qual è la differenza tra gestione delle identità e gestione degli accessi?
Gestione delle identità
L'identità digitale è la chiave che garantisce l'accesso. Le identità contengono informazioni e attributi che definiscono un ruolo, forniscono o negano specificamente l'accesso a una determinata risorsa e indicano ad altri utenti nell'organizzazione chi o cosa ne è il titolare, come contattarli (laddove si tratti di un individuo) e a che livello della gerarchia aziendale si trovano. La creazione di un'identità può riflettersi in altre forme in tutta l'organizzazione, ad esempio un nuovo account di posta elettronica, un nuovo record di dipendente o una nuova voce in un organigramma. Le identità sono "vive" in quanto possono cambiare nel tempo, ad esempio se un dipendente assume un nuovo ruolo o si trasferisce in una nuova sede di lavoro.
Il compito della gestione delle identità è tenere traccia e gestire le modifiche a tutti gli attributi e le voci che definiscono un'identità nel repository aziendale. In genere queste modifiche possono essere apportate solo da poche persone selezionate nelle organizzazioni, ad esempio un rappresentante delle risorse umane che segna un aumento di retribuzione o un proprietario dell'applicazione che concede a un gruppo di dipendenti come i rappresentanti del servizio clienti l'accesso a una nuova funzionalità del sistema CRM.
Gestione degli accessi
La gestione degli accessi è l'autenticazione di un'identità che richiede l'accesso a una particolare risorsa, e le decisioni di accesso sono semplicemente di tipo sì/no.
Può trattarsi di un processo a più livelli, con servizi di accesso che determinano se un utente è autorizzato a un dato accesso alla rete, e livelli di accesso inferiori che autenticano se l'identità in questione debba avere accesso a specifici server, unità, cartelle, file e applicazioni.
Autenticazione non è la stessa cosa di autorizzazione. Sebbene un'identità (utente) possa essere autorizzata a entrare nella rete aziendale e disponga di un account nella directory, ciò non le garantisce automaticamente la possibilità di accedere a tutte le applicazioni a livello aziendale. L'autorizzazione per una determinata applicazione o risorsa sarà determinata dagli attributi dell'identità, come il gruppo o i gruppi a cui appartiene, il suo livello nell'organizzazione o un ruolo specifico assegnato in precedenza.
Come con l'autenticazione, la concessione dell'autorizzazione può avvenire in più livelli all'interno dell'organizzazione, ad esempio come servizio centralizzato e poi di nuovo localmente per una determinata applicazione o risorsa, sebbene l'autenticazione a livello di risorsa o servizio sia disincentivata in quanto l'autenticazione centrale fornisce un controllo più coerente.
Differenza tra gestione delle identità e gestione degli accessi
La differenza tra la gestione delle identità e la gestione degli accessi può essere così semplificata:
La gestione delle IDENTITÀ riguarda la gestione degli attributi relativi all'UTENTE, al gruppo di utenti o ad altre identità che potrebbero richiedere l'accesso di volta in volta.
La gestione degli ACCESSI consiste nel valutare quegli attributi in base alle policy esistenti e nel prendere una decisione di accesso di tipo sì/no in base a tali attributi.
Perché avremmo bisogno della gestione delle identità?
Un recente studio (ISC)² ha rilevato che l'80% delle violazioni è dovuto a problemi di accesso delle identità, ovvero credenziali deboli o mal gestite. Se non sono in atto controlli adeguati o se le procedure e i processi IAM non vengono seguiti correttamente, le password potrebbero risultare compromesse, attacchi di phishing potrebbero raggiungere gli utenti e violazioni o attacchi ransomware potrebbero diventare realtà. Fortunatamente, le moderne piattaforme IAM offrono l'automazione di molte delle funzioni per garantire l'utilizzo dei controlli, ad esempio la rimozione di un utente dalla directory quando il sistema delle risorse umane indica che un dipendente ha lasciato l'organizzazione.
Poiché la creazione di nuova legislazione sulla privacy e sulla segretezza dei dati avviene molto di frequente, IAM può svolgere un altro ruolo importante, cioè aiutare l'organizzazione a mantenere la conformità con la miriade di mandati normativi e di governance in vigore, garantendo da un lato che solo gli utenti autorizzati abbiano accesso ai dati, e dall'altro che i dati stessi siano dove dovrebbero essere. Alla fine, la sicurezza IT riguarda principalmente l'accesso, quindi una solida strategia IAM rappresenta una componente fondamentale della sicurezza IT complessiva e offre una prima linea di protezione contro qualsiasi minaccia, sia dall'esterno che dall'interno del firewall.
Quali sono i vantaggi offerti dalla gestione delle identità?
La capacità di proteggere le risorse, comprese le risorse digitali, può avere un impatto diretto sui sul valore dell'organizzazione. IAM accelera il time-to-value per chiunque abbia bisogno di accedere alle risorse aziendali per svolgere il proprio lavoro, spesso accelerando da giorni a minuti il tempo tra l'onboarding di un nuovo dipendente e l'accesso alle risorse di sistema.
Oltre a fornire più valore aziendale come risultato di una maggiore sicurezza, ci sono altri vantaggi aziendali tangibili. L'automazione delle attività IAM concede all'IT il tempo di dedicarsi a progetti focalizzati sui profitti, e gli strumenti di gestione delle identità self-service migliorano la produttività complessiva di dipendenti, collaboratori esterni e altri utenti che accedono alle risorse aziendali.
L'implementazione di un framework IAM globale può fornire opportunità di crescita, migliorando la scalabilità dei servizi critici per l'onboarding di nuovi utenti, mentre la riduzione della manodopera IT si traduce in un ROI migliore per l'organizzazione IT nel suo insieme.
La gestione dell'identità e degli accessi è diventata la base di tutti questi vantaggi aziendali e continua a proteggere l'azienda da minacce che potrebbero portare a furto di dati, attacchi dannosi o esposizione di informazioni sensibili su clienti, pazienti o aspetti legali.
Risorse, soluzioni e prodotti VMware per la gestione delle identità
Workspace ONE
Distribuisci e gestisci in modo semplice e sicuro qualsiasi app su qualunque dispositivo con VMware Workspace ONE, piattaforma per il Digital Workspace basata sull'intelligence.
Accesso intelligente per il Digital Workspace
Rendi più veloce e sicura la User Experience per il Digital Workspace. Workspace ONE Access, (precedentemente VMware Identity Manager), fornisce autenticazione a più fattori, accesso condizionale e...
Workspace ONE Unified Endpoint Management (UEM) con tecnologia AirWatch
Riduci i costi e migliora la sicurezza con una moderna gestione over-the-air di tutti gli endpoint, tra cui PC desktop, dispositivi mobili, dispositivi industriali e IoT, con la certezza di offrire una sicurezza di classe enterprise a ogni livello grazie a Workspace...
Adozione del Digital Workspace
Un Digital Workspace intuitivo senza compromettere la sicurezza
Sicurezza zero-trust VMware
VMware Workspace ONE coniuga il controllo di accesso condizionale zero-trust con una gestione moderna leader del settore per consentire all'IT di proteggere il proprio Digital Workspace di utenti, app ed endpoint.
Esperienza dei dipendenti
Il Digital Workspace elimina le esperienze in silos e supporta la produttività dei dipendenti su qualsiasi dispositivo, indipendentemente dal luogo di lavoro.