Account Effettua il login
Vai al paragrafo

Cos'è la gestione delle identità e degli accessi (IAM)?

Copia URL

La gestione delle identità e degli accessi (IAM) è un metodo centralizzato e coerente che permette di gestire le identità utente (persone, servizi e server), automatizzare i controlli di accesso e soddisfare i requisiti di conformità in ambienti tradizionali e containerizzati. Quando ad esempio i dipendenti che lavorano da remoto utilizzano una rete privata virtuale (VPN) per accedere alle risorse aziendali, stanno mettendo in pratica una soluzione IAM.

Il metodo IAM si inserisce in una strategia più ampia volta a garantire il giusto livello di accesso per ciascun utente, soprattutto quando si ha a che fare con più istanze cloud. I framework IAM, che assicurano la gestione centralizzata delle identità fra i diversi ambienti bare metal, virtuali, cloud ibridi ed edge, contribuiscono in maniera significativa a ridurre i rischi di sicurezza e di conformità.

I metodi IAM controllano l'accesso ai dati, alle applicazioni e alle risorse in ambienti cloud e on premise, basandosi sull'identità dell'utente o dell'applicazione e su criteri definiti a livello amministrativo. Sono presenti in ogni fase del ciclo di vita DevOps e proteggono contro gli accessi al sistema e i movimenti laterali non autorizzati.

Alcuni degli elementi chiave dei metodi IAM sono:

  • Autenticazione: verificare le identità di utenti, servizi e applicazioni.

  • Autorizzazione: garantire che gli utenti autenticati riescano ad accedere a risorse e funzioni specifiche. 

  • Provider di identità, archivi protetti di segreti e moduli di protezione hardware (HSM): strumenti che aiutano i team DevOps a gestire e proteggere le credenziali, le chiavi, i certificati e i segreti, garantendo la sicurezza dei dati inattivi e di quelli in movimento. 

  • Provenienza: verificare l'identità o l'autenticità di un codice o di un'immagine mediante una firma digitale o un certificato di autenticazione.

Date le continue evoluzioni che investono il settore della sicurezza, i metodi IAM prevedono anche funzionalità supplementari come l'intelligenza artificiale (IA), il machine learning (ML) e l'autenticazione biometrica.

Con autenticazione si intende il processo di conferma e verifica dell'identità di un utente. L'identità utente, o identità digitale, è un insieme di informazioni che servono per autenticare una persona, un servizio o perfino un dispositivo IoT perché possa accedere a determinati dati e reti aziendali. Pensiamo a un caso molto elementare: quando una persona accede a un sistema inserendo una password, il sistema verifica l'identità della persona che sta tentando l'accesso esaminando l'informazione fornita (la password).

Il processo di autenticazione però non si limita alla verifica delle informazioni di accesso, ma permette anche agli amministratori IT di monitorare e gestire le attività in tutta l'infrastruttura e tra i servizi.

Gli approcci per l'implementazione di criteri di sicurezza che permettano di rafforzare la protezione dell'ambiente senza compromettere l'usabilità sono moltissimi. Tra i più conosciuti ricordiamo il Single Sign-On (SSO) e l'autenticazione a più fattori (MFA).

  • SSO: prevede di impostare un servizio di identità centrale che i servizi configurati possono utilizzare per verificare gli utenti. Questo significa che, invece di doversi autenticare singolarmente ai diversi servizi, dispositivi e server, gli utenti eseguono la procedura di accesso una sola volta e possono poi muoversi liberamente fra tutti i servizi associati alla loro utenza.

  • MFA: si tratta di un livello di sicurezza supplementare che prevede la verifica con più metodi di autenticazione prima di poter accedere al sistema. Per questo metodo si consiglia l'uso di dispositivi crittografici, come token fisici o smart card, oppure la configurazione di metodi di autenticazione come RADIUS, PKINIT, password OTP e password rafforzate.

Esistono anche altri strumenti interni all'infrastruttura che si possono sfruttare per snellire la gestione delle identità, soprattutto in ambienti complessi o distribuiti come il cloud o le pipeline CI/CD, dove è difficile riuscire a implementare sistemi di autenticazione degli utenti davvero efficaci. Ad esempio i ruoli di sistema si dimostrano particolarmente utili in ambienti DevSecOps. I flussi di lavoro di configurazione automatizzati, coerenti e ripetibili aiutano gli amministratori IT a risparmiare tempo e risorse, riducendo il carico e le attività manuali legate al deployment, all'amministrazione delle identità e al provisioning/deprovisioning.

Se l'autenticazione serve a identificare l'utente che sta cercando di accedere a un servizio, l'autorizzazione serve invece a stabilire ciò che quell'utente può o non può fare nel servizio. Ad esempio se può modificare, creare o eliminare le informazioni.

I controlli di accesso arricchiscono la gestione delle identità assegnando a ciascuna identità utente una serie di privilegi di accesso predeterminati. In genere questi controlli sono assegnati durante la configurazione dell'account o il provisioning degli utenti e operano secondo il principio del "privilegio minimo", una colonna portante del modello Zero Trust.

Il privilegio minimo consiste nel limitare i privilegi di accesso e di azione al minimo indispensabile: gli utenti possono accedere soltanto alle risorse di cui hanno effettivamente bisogno per uno scopo specifico, come un progetto o un'attività, e sono abilitati a svolgere solo le azioni necessarie. I criteri di accesso possono anche imporre un vincolo temporale, per cui una determinata risorsa resterà disponibile all'utente solo per un lasso di tempo limitato. 

Ad esempio, un dipendente sarà autorizzato ad accedere a un numero maggiore di risorse aziendali rispetto ai fornitori esterni, ai partner o ai clienti. Quando il livello di accesso degli utenti subisce qualche variazione, gli amministratori IT si occupano di apportare le modifiche necessarie nel database delle identità.

Tra i sistemi di gestione degli accessi che seguono l'approccio del privilegio minimo ricordiamo la gestione degli accessi privilegiati (PAM) e la gestione degli accessi basata sui ruoli (RBAC).

Il sistema PAM è un tipo di controllo di accesso decisivo. In genere gli amministratori e i membri dei team DevOps preposti a questo compito sono anche gli utenti con meno restrizioni di accesso di tutta l'organizzazione e sono autorizzati a modificare le applicazioni enterprise, i database, i sistemi e i server.

Il sistema RBAC definisce i ruoli, o raccolte di utenti, e concede loro l'accesso alle risorse e alle funzioni sulla base delle loro mansioni. L'RBAC rende più coerente e chiaro il processo di assegnazione delle autorizzazioni, semplifica l'amministrazione e l'inserimento di nuovi utenti, riduce la proliferazione di privilegi superflui e permette di automatizzare l'assegnazione dei diritti di accesso basandosi sul ruolo degli utenti.

Il metodo IAM, che fornisce un livello di sicurezza integrato nella pipeline di sviluppo applicativo, è fondamentale per l'implementazione delle metodologie DevSecOps e per la realizzazione di un approccio multilivello alla sicurezza, estensibile a tutti gli ambienti bare metal, virtuali, container e cloud. 

È indispensabile assicurarsi che il sistema IAM supporti le soluzioni in tutti gli ambienti e per tutti i carichi di lavoro, compresi sviluppo, test, operazioni e monitoraggio delle applicazioni.

Considerando la vasta offerta di soluzioni IAM, ecco alcuni consigli per restringere la scelta:

  • Conduci un auditing dei sistemi nuovi e di quelli tradizionali per stabilire se l'organizzazione esegue sia applicazioni on premise che nel cloud.

  • Identifica eventuali lacune nella sicurezza sia da parte di stakeholder interni che di terze parti.

  • Definisci le tipologie di utente e i loro privilegi di accesso specifici.

Dopo aver stabilito le esigenze dell'organizzazione in termini di sicurezza, sarà più chiaro quale soluzione IAM adottare. Alcune delle opzioni principali includono: soluzioni standalone, servizi di identità gestiti o servizi di sottoscrizione cloud, come l'Identity-as-a-Service (IDaaS), di terze parti.

Red Hat® Enterprise Linux® offre un'esperienza di autenticazione semplificata, affidabile e coerente in tutto l'ambiente di cloud ibrido open source. Comprende le capacità di gestione centralizzata delle identità (IdM) che permettono di autenticare gli utenti e adottare il sistema RBAC utilizzando un'unica interfaccia scalabile per tutto il datacenter.

La gestione delle identità con Red Hat Enterprise Linux consente di:

  • Semplificare notevolmente l'infrastruttura di gestione delle identità.

  • Soddisfare i moderni requisiti di conformità, come PCI DSS, USGCB e STIG.

  • Ridurre gli accessi non autorizzati e la proliferazione dei privilegi di accesso superflui.

  • Creare le basi per un ambiente operativo basato su cloud e container, dinamico e scalabile.

  • Preconfigurare i controlli di accesso sui nuovi sistemi, sulle macchine virtuali e sui container.

  • Ridurre il costo delle operazioni di routine e il carico di lavoro legato alla sicurezza.

La gestione centralizzata delle identità su Red Hat Enterprise Linux permette anche di integrare Microsoft Active Directory, un protocollo standard per l'interrogazione e la modifica dei servizi di directory (LDAP) e altre soluzioni IAM di terze parti attraverso delle interfacce di programmazione delle applicazioni (API) standard. È inoltre possibile gestire l'autenticazione e l'autorizzazione dei servizi in maniera centralizzata sfruttando le tecniche di autenticazione e autorizzazione basate su certificati.

Red Hat Enterprise Linux fornisce capacità di automazione, sicurezza e gestione del ciclo di vita; i prodotti multilivello in esecuzione sulla piattaforma, come Red Hat OpenShift®, ereditano le stesse tecnologie di sicurezza di Red Hat Enterprise Linux ed estendono la sicurezza informatica integrata allo sviluppo di applicazioni containerizzate.

Keep reading

ARTICOLO

Cos'è la metodologia DevSecOps?

Per sfruttare tutta l'agilità e la reattività di un approccio DevOps, occorre tenere conto anche di un altro elemento cruciale dell'intero ciclo di vita delle tue applicazioni: la sicurezza IT.

ARTICOLO

La sicurezza nel cloud

I problemi di sicurezza hanno un impatto sia sui sistemi IT tradizionali che su quelli cloud. Scopri perché la sicurezza nel cloud è differente.

ARTICOLO

Cosa si intende con SOAR?

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione dei casi e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce.

Scopri di più sulla sicurezza

Prodotti

Red Hat Certificate System

Un framework di sicurezza progettato per gestire le identità utente e garantire la privacy delle comunicazioni.

Red Hat Advanced Cluster Security Kubernetes

Una soluzione, Kubernetes native ed enterprise ready, per la sicurezza dei container che permette di creare, distribuire ed eseguire applicazioni cloud native in modo più sicuro.

Red Hat Insights

Un servizio di analisi predittiva per identificare e contrastare le minacce a sicurezza, prestazioni e disponibilità della tua infrastruttura Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Una soluzione che permette di controllare cluster e applicazioni Kubernetes da una singola console dotata di criteri di sicurezza integrati.

Risorse

Illustration - mail

Ricevi contenuti simili

Iscriviti a Red Hat Shares, la nostra newsletter gratuita.

Red Hat logo LinkedInYouTubeFacebookTwitter

Prodotti

Strumenti

Prova, acquista, vendi

Comunica

Informazioni su Red Hat

Red Hat è leader mondiale nella fornitura di soluzioni open source per le aziende, tra cui Linux, Kubernetes, container e soluzioni cloud. Le nostre soluzioni open source, rese sicure per un uso aziendale, consentono di operare su più piattaforme e ambienti, dal datacenter centrale all'edge della rete.

Ricevi la nostra newsletter, Red Hat Shares

Iscriviti subito

Seleziona la tua lingua

© 2022 Red Hat, Inc.