Cos'è il controllo degli accessi?

Copia URL

Il controllo degli accessi è una tecnica di autorizzazione che prevede di stabilire quali risorse di un'infrastruttura IT possono essere visualizzate da un determinato utente o sistema e quali azioni quest'ultimo può intraprendere su di esse.

Questa tecnica, che mira a proteggere le informazioni sensibili riducendo il rischio di accessi non autorizzati, è uno dei fondamenti della sicurezza informatica. I sistemi di controllo degli accessi stabiliscono innanzitutto la legittimità di un utente o delle credenziali di un sistema e poi garantiscono all'identità un livello di accesso appropriato in base al suo ruolo o al grado di autorizzazione. Grazie a diversi meccanismi, quali monitoraggio, conformità e revisione in tempo reale, questi sistemi sono in grado di migliorare le misure di sicurezza delle organizzazioni e ridurre le minacce.

Esplora gli scenari di utilizzo per l'automazione della sicurezza 

I modelli di controllo degli accessi più diffusi sono sei. Ciascuno di essi gestisce il processo di autorizzazione degli utenti in maniera differente:

Controllo degli accessi basato sui ruoli (RBAC)

In questo modello si concede o si nega l'accesso agli utenti in base ai ruoli e alle responsabilità loro assegnate. A seconda del ruolo che rivestono, gli utenti possono accedere a determinate risorse e gli amministratori di sistema sono in grado di gestire direttamente i diritti di accesso in base ai ruoli assegnati agli utenti. Il modello RBAC supporta le gerarchie dei ruoli e prevede che i ruoli di livello superiore ereditino le autorizzazioni di accesso dei ruoli di livello inferiore; una strategia efficace volta a semplificare la gestione. Ad esempio, un utente con ruolo "staff" avrà un livello di autorizzazione limitato, come l'accesso ai file in modalità di sola lettura o limitazioni sulla condivisione dei file. Un utente con ruolo "manager" invece godrà delle stesse autorizzazioni dell'utente "staff" più ulteriori diritti di accesso. Il modello RBAC segue il principio del privilegio minimo (PoLP), uno dei principi cardine dell'approccio alla sicurezza Zero Trust.

Controllo degli accessi basato sulle regole (RuBAC)

In questo modello si concede o si nega l'accesso in base a un insieme di regole predeterminate legate a criteri o condizioni individuali dell'utente. Il funzionamento di questi sistemi prevede l'identificazione delle esigenze specifiche dell'utente, la creazione di policy di gestione delle identità e degli accessi (IAM) che definiscono le regole per tali esigenze, e infine l'applicazione di condizioni per migliorare la sicurezza. In genere le regole si basano su condizioni, come l'orario di accesso, l'indirizzo IP o l'autenticazione a più fattori. Ad esempio, un sistema RuBAC può limitare l'accesso al solo orario di ufficio nel caso di utenti collegati a reti private virtuali (VPN) o ad applicazioni on premise.

Controllo degli accessi obbligatorio (MAC)

In questo modello gli accessi vengono limitati in base a policy e regole fisse e vincolanti stabilite dagli amministratori di sistema e gli utenti non possono modificare le autorizzazioni. Il fatto che agli utenti sia preclusa la possibilità di modificare le autorizzazioni di accesso garantisce la tutela delle informazioni sensibili secondo protocolli di sicurezza inviolabili. In questo sistema a ogni utente viene assegnato un livello di sicurezza predeterminato e le risorse vengono classificate in base al loro livello di sensibilità. Il sistema concede l'accesso quando il livello di sicurezza dell'utente corrisponde o supera il livello di classificazione della risorsa, altrimenti lo nega.

Il modello MAC non deve essere inteso come una fusione dei due modelli precedenti, RBAC e RuBAC. Per quanto si basi sull'applicazione di regole vincolanti, il modello MAC non consente agli utenti di controllare le autorizzazioni di accesso, indipendentemente dal loro livello di sicurezza, e non stabilisce i livelli di sicurezza in base al ruolo degli utenti. In alcuni sistemi per la sicurezza dei dati si possono però integrare l'approccio MAC con quello RBAC.

Controllo degli accessi discrezionale (DAC)

In questo modello di sicurezza flessibile è il proprietario della risorsa che a sua discrezione concede o nega l'accesso agli utenti.Quando un utente crea o carica file nel proprio cloud personale, può specificare i permessi per ogni file e stabilire quindi se questo sarà accessibile al pubblico, a utenti specifici oppure se è un contenuto privato. Questo tipo di controllo degli accessi è la norma nei file system e il proprietario della risorsa può aggiornare i permessi o revocare le autorizzazioni in qualsiasi momento.

Controllo degli accessi basato sugli attributi (ABAC)

Il modello ABAC opera in base agli attributi dell'utente, della risorsa e dell'ambiente e prende in esame più caratteristiche simultaneamente. Ad esempio, quando un utente fornisce le credenziali per accedere a un servizio cloud, il sistema recupera gli attributi dell'utente, come i suoi ruoli o le sue autorizzazioni, dal suo profilo. Identifica poi gli attributi della risorsa, come il tipo di file, la proprietà e la sensibilità del contenuto, insieme ad attributi contestuali, come l'ora di accesso, la posizione dell'utente e se la richiesta proviene da una rete protetta. A questo punto il sistema accorpa tutti gli attribuiti per stabilire se soddisfano le policy di sicurezza e concede o nega l'accesso.

Elenchi di controllo degli accessi (ACL)

Il modello ACL prevede la stesura di un elenco in cui si definiscono i permessi degli utenti e dei sistemi e le azioni che questi possono eseguire una volta ottenuto l'accesso alle risorse. Della creazione e della gestione di questo elenco si occupano in genere gli amministratori di sistema, ma esistono anche alcuni sistemi automatizzati capaci di generare ACL in base a regole o policy predeterminate. 
 

I sistemi di controllo degli accessi sono un elemento cruciale per la sicurezza delle infrastrutture IT. Per alcune realtà è sufficiente un solo approccio, altre invece preferiscono affiancare più modelli. Valuta attentamente le esigenze di sicurezza e di conformità della tua azienda per trovare il modello più adatto.

Semplifica il tuo centro operativo di sicurezza 

Perché scegliere Red Hat per DevSecOps?

Un elenco di controllo degli accessi (ACL) è un insieme di regole che specifica quali utenti o sistemi possono o non possono accedere a un determinato file o a una certa risorsa nell'ambiente informatico. Gli ACL sono come dei filtri associati alle risorse di sistema. Ad esempio, quando un utente tenta di accedere a una risorsa, il sistema controlla l'ACL collegato a tale risorsa e confronta l'identità dell'utente con i contenuti elencati nell'ACL. Se il sistema trova un'entrata corrispondente, all'utente viene consentito l'accesso con specifiche autorizzazioni. Se invece il sistema non trova corrispondenze, l'accesso viene negato. Analogamente ai firewall, anche gli ACL sono basati su regole e valutano le richieste di accesso in base a criteri predefiniti. Però, mentre gli ACL si occupano di specificare le autorizzazioni degli utenti, i firewall si occupano di autorizzare o negare il traffico in una rete. 

Esistono due tipologie di ACL:

ACL del file system: questo metodo definisce e gestisce i contenuti e le directory all'interno del file system e filtra l'accesso ai file. Basato su regole predefinite, l'ACL del file system comunica ai sistemi operativi quali utenti possono accedere e quali di privilegi godranno all'interno del sistema.

ACL di rete: questo metodo filtra l'accesso ai dispositivi di rete, come router, switch e firewall, e gestisce la sicurezza specificando il traffico che può accedere alla rete e le attività che potrà svolgere una volta entrato.

Questa funzionalità di sicurezza è fondamentale e si può installare su qualsiasi dispositivo di sicurezza o di routing per snellire l'identificazione degli utenti e dei sistemi e limitare le loro interazioni con le informazioni sensibili. 

ACL e RBAC sono entrambi metodi per la gestione della sicurezza delle risorse, ma presentano alcune differenze sostanziali. Gli ACL sono ideali per controllare la sicurezza in maniera più localizzata a livello dei singoli utenti, mentre i sistemi RBAC sono adatti per controllare la sicurezza a livello dell'intera organizzazione e garantiscono visibilità agli amministratori. Gli RBAC offrono un approccio ad ampio spettro e semplificano la gestione della sicurezza perché gli utenti vengono raggruppati in base al ruolo, gli ACL consentono invece di adottare regole più granulari e personalizzate per il singolo utente o per la risorsa specifica.

Il modello RBAC è la scelta più indicata per le organizzazioni con ruoli definiti. Si tratta di un sistema efficace per garantire la sicurezza a livello dell'intera azienda, soprattutto se coadiuvato dal monitoraggio degli amministratori. Il modello ACL invece è più adatto al controllo dettagliato sulle singole risorse e offre maggiore flessibilità nella gestione degli accessi. La scelta del modello dipende anche dai requisiti strutturali e di sicurezza dell'organizzazione, come gli audit di conformità normativa. Tra i possibili audit è inclusa la verifica del numero di utenti o traffico non autorizzati che hanno avuto accesso con i requisiti di amministratore di sistema. Un sistema di gestione delle risorse aiuta a semplificare l'analisi e la verifica della sicurezza dei dati e permette alle organizzazioni di incrementare la conformità.

Scopri di più sul controllo degli accessi basato sui ruoli

Senza l'automazione dell'IT, le organizzazioni devono svolgere le attività manualmente e questo aumenta i tempi di produzione, i costi operativi e le vulnerabilità di sicurezza, come gli accessi non autorizzati. L'automazione riduce l'errore umano e sveltisce le attività di routine, come il provisioning degli utenti, gli aggiornamenti di sistema, le revisioni degli accessi e la generazione di audit, che se automatizzati si possono completare a una velocità notevolmente superiore. Più le aziende crescono, più l'automazione diventa fondamentale perché aiuta a gestire gli ampi volumi di dati e di utenti e a rafforzare la sicurezza grazie a rilevamento e risposta alle minacce in tempo reale.

Associare un sistema di gestione delle patch automatizzato a una soluzione di sicurezza informatica e gestione eventi (SIEM) con controllo degli accessi può aiutare le aziende a ridurre al minimo l'errore umano nei processi di sicurezza IT e a migliorare la conformità. Le soluzioni di gestione delle patch si possono abbinare ai software di automazione per correggere le vulnerabilità note in sistemi o applicazioni che applicano policy di controllo degli accessi. D'altro canto, i sistemi automatizzati SIEM sono in grado di rilevare le anomalie analizzando i modelli di accesso in tempo reale e possono avvisare automaticamente i team di sicurezza quando si verifica un evento. I sistemi SIEM automatizzano anche i registri di audit, il monitoraggio e l'archiviazione delle attività di accesso per assicurare i livelli di conformità necessari. 

Automatizzando il controllo degli accessi, le aziende possono applicare in modo efficace le policy di accesso basate sul privilegio minimo e garantire al contempo che l'accesso sia in linea con le esigenze organizzative.

Guida all'automazione per dirigenti IT

Red Hat® Ansible® Automation Platform permette di automatizzare le attività manuali e di accelerare il time to value. Agevola l'introduzione e la scalabilità dell'automazione, riduce la complessità e aumenta la flessibilità; tutti requisiti fondamentali per le aziende moderne. L'Automation Controller, ovvero il piano di controllo di Ansible Automation Platform, permette di definire, attribuire e delegare i processi di automazione fra team. Offre funzionalità RBAC granulari e si integra ai sistemi di autenticazione aziendali per garantire che i processi automatizzati rispettino sempre gli standard di sicurezza e conformità. I team operativi addetti alla sicurezza possono anche sfruttare Ansible Automation Platform per gestire le altre applicazioni aziendali, come le soluzioni SOAR.

Per chi desidera migliorare l'orchestrazione dei container incrementando la sicurezza, la conformità e l'efficienza operativa del suo approccio IAM, Red Hat OpenShift® è ideale perché aiuta a semplificare la gestione degli accessi ai pod, ai nodi e a interi cluster. Red Hat OpenShift è una piattaforma applicativa enterprise ready per il cloud ibrido che agevola la gestione, il deployment e la scalabilità delle applicazioni containerizzate e offre al contempo dei componenti Kubernetes efficaci, come la funzionalità di sicurezza RBAC di Kubernetes.

Scopri l'Automation Controller

Risorsa

L'azienda automatizzata

Leggi questo ebook per scoprire il potere dell'automazione e rivoluzionare i servizi IT come rete, infrastruttura, sicurezza, DevOps ed edge.

Formazione e certificazione su Red Hat Ansible Automation Platform

Esplora i corsi di formazione e gli esami di certificazione su Red Hat Ansible Automation Platform e trova il percorso formativo più adeguato al tuo ruolo.

Continua a leggere

Come creare una strategia di automazione dell'IT

Un approccio all'automazione frammentario offre vantaggi limitati. Per arrivare ad automatizzare ogni aspetto delle operazioni IT occorre una strategia di automazione che unifichi i team, i processi e i flussi di lavoro disconnessi.

Gestione dell'infrastruttura virtuale e ruolo dell'automazione

La gestione dell'infrastruttura virtuale si riferisce al coordinamento di software, risorse IT e altri strumenti per la gestione dell'intero ciclo di vita delle macchine virtuali e dei relativi ambienti IT.

Automazione: Cos'è un modulo Ansible e come funziona?

Un modulo Ansible® è una piccola parte di codice di automazione che esegue azioni su un sistema locale, un'API o un host remoto.

Automazione e gestione: risorse consigliate

Prodotto in evidenza

Articoli correlati