Identity & Access Management: panoramica e strumenti open source

L’utilizzo di credenziali rubate e di tecniche di phishing rappresentano due dei tre metodi principali utilizzati dai cyber criminali per accedere ai dati sensibili delle aziende. Secondo il Data Breach Investigation Report di Verizon (link esterno), il 74% delle violazioni di dati coinvolge l’elemento umano, a causa dell’utilizzo improprio dei privilegi, di attacchi di social engineering o di errori: questi metodi sono tutti direttamente legati all’identità dell’utente.
Questo trend è destinato a continuare e a crescere, considerando l’aumento esponenziale degli attacchi alle password. Quest’anno, infatti, questo tipo di attacco è aumentato di dieci volte rispetto allo stesso periodo dell’anno precedente.

Garantire un accesso sicuro e semplice alle risorse digitali e alle applicazioni aziendali è un requisito fondamentale per la maggior parte delle operazioni di business. Nella pratica, però, implementare, mantenere e utilizzare questo accesso può risultare complesso e costoso, specialmente quando l’azienda cresce e il suo ambiente tecnologico diventa sempre più eterogeneo.
I sistemi di gestione delle identità e degli accessi (IAM) non solo migliorano la gestione delle password per i dipendenti, ma forniscono anche strumenti alle imprese per gestire e monitorare un numero crescente di identità, inclusi partner esterni, clienti e dispositivi IoT.

Identity and Access Management: che cos’è e a che cosa serve

I sistemi di gestione delle identità e degli accessi (IAM – Identity and Access Management) forniscono un controllo completo sulla validazione degli utenti e sull’accesso alle risorse aziendali. L’IAM assicura che solo le persone autorizzate possano accedere alle risorse necessarie, nel momento in cui ne hanno bisogno.

Il concetto principale dell’IAM è l’identità, intesa come profilo utente. Questi profili utente non si limitano agli individui, ma possono anche rappresentare entità non umane, come applicazioni software, dispositivi IoT e altre organizzazioni.

Diventa un eroe della sicurezza informatica! Iscriviti al corso “Cyber Security From Zero to Hero” e diventa un professionista certificato!

Scopri il corso

Autenticazione e Autorizzazione

Abbiamo detto che l’IAM include sia la gestione delle identità, sia la gestione degli accessi. In altre parole, comprende anche i processi associati con l’autenticazione e l’autorizzazione delle identità digitali all’interno delle aziende.
L’autenticazione è il processo di verifica del controllo di un’identità, ma non garantisce diritti di accesso. Questa verifica include l’utilizzo di credenziali, che possono essere divise in tre categorie:

  • Qualcosa che si conosce (ad esempio una password)
  • Qualcosa che si possiede (ad esempio una chiave di autenticazione)
  • Qualcosa che si è (ad esempio l’impronta digitale)

Queste credenziali possono anche essere utilizzate insieme nella cosiddetta “autenticazione a più fattori”, o multi-factor authentication. La forma di autenticazione ammessa da un sistema tipicamente dipende dalla tipologia di accesso e dal rischio associato.
Grazie alla gestione degli accessi, le imprese possono implementare diversi di metodi di autenticazione digitale per comprovare l’identità digitale e autorizzare l’accesso alle risorse aziendali. Ecco alcuni esempi.

  • Password uniche. Il tipo più comune di autenticazione digitale, che include anche le password utilizzate per il single sign-on (SSO).
  • Chiave pre-condivisa (Pres-Shared Key, PSK): in questo caso, la password è condivisa tra gli utenti autorizzati ad accedere alle stesse risorse (ad esempio la password Wi-Fi dell’ufficio).
  • Sistemi biometrici: i moderni sistemi IAM utilizzano la biometria per un’autenticazione più precisa (impronte digitali, iridi, volti ecc.)
  • Autenticazione comportamentale: grazie all’intelligenza artificiale, è possibile riconoscere se il comportamento dell’utente o della macchina si discosta dalla norma e bloccare preventivamente accesso e operazioni.

> Scopri anche il corso Cyber Security Awareness in e-learning

Tipologie di il controllo degli accessi

Una volta che l’utente si autentica, l’accesso gli viene garantito o negato durante la fase di autorizzazione. In alcuni casi, alle risorse è associata una lista di controllo degli accessi (Access Control List, ACL) degli utenti autorizzati. La configurazione e il mantenimento di queste liste consentono alle organizzazioni di tenere traccia degli accessi agli asset digitali. Spesso però, risulta complesso determinare tutte le risorse a cui un singolo utente ha accesso, soprattutto in aziende con un vasto ecosistema di applicazioni software, alcune delle quali gestite da terze parti. Con il crescere del numero di utenti e risorse, i costi di gestione delle ACL aumentano significativamente, rendendo questo approccio poco adatto per le grandi organizzazioni.
Di conseguenza, i modelli di controllo degli accessi più comuni utilizzati nelle imprese sono:

  • il controllo discrezionale degli accessi (DAC): Consente al proprietario di una risorsa di decidere chi può accedervi e chi può trasferire tale permesso.
  • il controllo degli accessi basato sui ruoli (RBAC): gli utenti sono assegnati a uno o più ruoli e ricevono i permessi associati a ciascun ruolo.
  • il controllo degli accessi basato sugli attributi (ABAC): Questo metodo permette di concedere o negare l’accesso in base agli attributi degli utenti e delle risorse. Gli attributi possono essere specificati e combinati in modo flessibile, permettendo un controllo degli accessi particolarmente dettagliato.

I principi fondamentali di IAM

Indipendentemente dalla scelta del modello di controllo degli accessi, ci sono principi generalmente riconosciuti che dovrebbero essere applicati nei sistemi IAM.

  • Il principio del minimo privilegio afferma che gli utenti dovrebbero possedere solo i diritti minimi necessari per i loro compiti. Se un utente ha significativamente più diritti del necessario, potrebbe causare danni eccessivi al sistema in caso di attacco o abuso. I diritti di accesso dovrebbero quindi essere scelti con attenzione e riesaminati di tanto in tanto.
  • Una linea guida simile è il principio della minima conoscenza, che specifica che gli utenti, ma anche gli amministratori dei sistemi IAM, dovrebbero vedere solo le risorse associate al loro compito. Inoltre, per mitigare le frodi, può essere utilizzata la separazione dei compiti per garantire che non tutti i passaggi di un’operazione critica possano essere eseguiti da un singolo utente.

Strumenti open source per la gestione delle identità e degli accessi

Vediamo ora alcuni strumenti open source per la gestione e il controllo degli accessi.

  • Keycloak: una soluzione IAM open source sviluppata da Red Hat. Offre funzionalità di Single Sign-On (SSO), autenticazione a più fattori, gestione delle identità e controllo degli accessi.
  • Gluu: piattaforma IAM open source che fornisce funzionalità di autenticazione, autorizzazione e single sign-on (SSO) anche tra più applicazioni. È possibile configurare metodi di autenticazione come username-password, autenticazione multifattoriale (MFA) o login social tramite provider esterni. Supporta inoltre il controllo degli accessi basato sui ruoli (RBAC).
  • Shibboleth: sistema IAM open source progettato principalmente per fornire funzionalità di single sign-on (SSO) in contesti accademici e aziendali. Permette alle organizzazioni di autenticare e autorizzare utenti attraverso applicazioni e domini diversi, mantenendo il controllo sulle loro informazioni di identità. Shibboleth consente anche il controllo degli accessi basato su attributi. È altamente configurabile e può essere integrato con vari sistemi di directory e servizi web. La comunità di Shibboleth offre ampio supporto e documentazione, rendendolo una scelta affidabile per le istituzioni che necessitano di una soluzione IAM robusta e scalabile.
  • OpenIAM è una piattaforma che offre soluzioni complete per la gestione delle identità e degli accessi. Include funzionalità come provisioning degli utenti, autenticazione, autorizzazione e gestione del ciclo di vita delle identità. La piattaforma è modulare, e consente alle aziende di implementare solo i componenti necessari per le loro esigenze specifiche. Offre un’ampia gamma di funzionalità, tra cui il provisioning automatico degli utenti, il workflow di approvazione, la gestione delle password e la sincronizzazione delle directory. Fornisce anche funzionalità di single sign-on (SSO), autenticazione multifattoriale (MFA) e gestione dei ruoli basata sui ruoli (RBAC).

L’Identity and Access Management (IAM) è fondamentale per garantire la sicurezza e la gestione efficace delle risorse digitali all’interno delle aziende. Con la crescente complessità delle infrastrutture IT aziendali, inclusi dispositivi IoT e applicazioni cloud, la gestione delle identità e degli accessi diventa sempre più complessa e costosa.

Per affrontare queste sfide, il futuro dell’IAM si orienta verso soluzioni più automatizzate e intelligenti, supportate dall’IA e dall’analisi dei dati per rilevare e mitigare le minacce in tempo reale. Inoltre, l’evoluzione verso approcci basati su zero trust e l’integrazione continua di nuove tecnologie di autenticazione biometrica e comportamentale promettono di migliorare ulteriormente la sicurezza e l’efficienza dell’accesso alle risorse aziendali. Le aziende che adottano una visione proattiva e integrata dell’IAM saranno meglio posizionate per affrontare le sfide future e sfruttare appieno le opportunità emergenti nel panorama tecnologico globale.

Fonti: 

Auth0. (n.d.). Identity Fundamentals. Retrieved June 17, 2024, from https://auth0.com/docs/get-started/identity-fundamentals/identity-and-access-management

Alsirhani, A., Ezz, M., & Mostafa, A. M. (2022). Advanced Authentication Mechanisms for Identity and Access Management in Cloud Computing. Computer Systems Science & Engineering43(3).

Devlekar, S., & Ramteke, V. (2021). Identity and Access Management: High-level Conceptual Framework. REVISTA GEINTEC-GESTAO INOVACAO E TECNOLOGIAS, 11(4), 4885-4897.

Glöckler, J., Sedlmeir, J., Frank, M., & Fridgen, G. (2023). A systematic review of identity and access management requirements in enterprises and potential contributions of self-sovereign identity. Business & Information Systems Engineering, 1-20.

TechTarget. (n.d.). Identity and Access Management (IAM). Retrieved June 17, 2024, from https://www.techtarget.com/searchsecurity/definition/identity-access-management-IAM-system

Verizon. (2024). Data Breach Investigations Report. https://www.verizon.com/business/resources/reports/dbir/2024/results-and-analysis-intro/