IAM vs ACM vs PAM vs ZTNA vs MFA

IAM vs ACM vs PAM vs ZTNA vs MFA

Ormai queste sigle sono diventate abbastanza note perché vengono citate come mitigazione di attacchi hacker che ormai popolano le cronache di tutti i giorni.

Questi strumenti assieme contribuiscono a creare una solida infrastruttura che permette di realizzare architetture ZTNA, così chiariremo nel corso del documento anche questo termine.

Per essere sintetici non tratteremo in questo articolo la filosofia o l’architettura che questi elementi devono avere ma ci limiteremo a dare una spiegazione quasi da “vocabolario” dei termini, così da inquadrare subito di cosa si sta parlando.


cover

IDM: Identity Manager

Sistema di gestione delle identità e di gruppi di identità spesso definiti ruoli. Un sistema IDM tipicamente si basa su un repository che può essere un Directory Server (chiamato anche volgarmente LDAP che in realtà è un protocollo di comunicazione e non definisce la tipologia della base dati) come un Database Relazionale o altra base dati ad oggetti. In ogni caso le basi dati devono essere persistenti e replicabili fino ad arrivare ad architetture block-chain, vista la natura del servizio.


ACM: Access Management

Per sistema di Access Management si intende il sistema - normalmente un processo demone - che mette a disposizione dei servizi, oggi normalizzati in API, che, richiamate in maniera sicura dalle applicazioni, permettono di autenticare e autorizzare un utente mantenendo i payload (identificatori della sessione dell’utente) ed il loro ciclo di vita dal login al logout oppure termine per non utilizzo da parte dell’utente (lease time). Il sistema prende le informazioni di identità e ruoli da sistemi IDM.


IAM: Identity and Access Management

Questo acronimo è l’insieme dei sistemi IDM+ACM.


PAM: Privileged Access Management

Per Privileged Access Management si intendono tutti quegli strumenti destinati a tracciare in maniera non modificabile dagli utenti stessi, tutte le attività che vengono svolte dagli operatori. Le caratteristiche di un PAM sono ben delineate e traggono servizi dai sistemi ACM e IAM, ma da questi si distinguono per alcune caratteristiche proprie per essere definiti PAM.

Le più importanti sono:

  1. Registrazione in video di tutte le operazioni in ambienti grafici effettuate dagli operatori (Windows, X Windows, VNC)
  2. Registrazione di tutto quello che viene digitato dagli operatori, siano essi in ambiento grafici che in ambienti a caratteri come sessioni ssh o command line (ad esclusione delle password)
  3. Tracciamento o interdizione di tutte le operazioni di trasferimento file
    • Download
    • Upload
    • Trasferimenti interni all’infrastruttura
  4. Possibilità di disabilitare le operazioni di copia incolla
    • Copia incolla dall’esterno verso l’nterno
    • Copia incolla dall’interno verso l’esterno
  5. Possibilità di non far conoscere all’utente le password di accesso attraverso diverse tecniche tra cui:
    • Single Sign On trasparente all’utente che non conosce la password ma semplicemente opera sui servizi per diritti assegnati (questo nelle soluzioni più sofisticate come Oplon Secure Access)
    • di utilizzare password temporanee monouso (PAM di prima generazione con necessità di installare agenti in ogni server)
  6. Possibilità di cambiare ciclicamente le password
  7. Gestione degli utenti dormienti con disabilitazione dopo un periodo di non utilizzo
  8. Gestione della data di attivazione di un utente
  9. Gestione della data di disattivazione di un utente
  10. Gestione di fasce orarie in cui un utente può operare

Ognuno di questi punti funzionali deve essere assolutamente soddisfatto per essere etichettato come soluzione PAM. Certamente queste funzionalità vengono gestite su anagrafiche IAM - se così vogliamo chiamarle (una volta i directory server venivano chiamati Yellow Pages) - e le credenziali di accesso gestite da sistemi ACM durante l’utilizzo, ma questo non toglie che IAM e ACM da soli possano essere un PAM.


ZTNA: Zero Trust Network Access

Zero Trust Network Access tradotto significa che qualsiasi utente si presenti ad usufruire di un servizio non ha per definizione nessuna fiducia. Deve essere quindi in sequenza:

  • Identificato
  • Associato a un gruppo di utenti
  • Autorizzato ad accedere solo a determinate reti o meglio, nelle soluzioni più sofisticate come Oplon Secure Access, a soli servizi.

Il sistema deve garantire quindi queste tre caratteristiche per essere definito come ZTNA e andando oltre deve anche garantire, una volta entrato in una rete o servizio, l’impossibilità di spostamenti laterali, come ad esempio, una volta entrati con un ssh, non poter saltare in un’altra macchina appartenete alla stessa rete.

MFA: Multifactor Autentication

I sistemi multifattore di autenticazione, a volte chiamati anche 2FA, sono utilizzati al momento dell’identificazione di un utente per essere il più possibile certi che la persona che si sta presentando per chiedere di utilizzare dei servizi sia effettivamente la persona che ci aspettiamo.

Ampia documentazione dei sistemi MFA è stata già pubblicata in un blog precedente (opens in a new tab)

Tutti questi elementi assieme offrono oggi un elevato sistema di sicurezza che permette di gestire e controllare in maniera granulare le operazioni di moderni datacenter.

Con questa guida speriamo di essere riusciti a fare un po' d’ordine sui termini e della necessità di queste nuove tecnologie per poter proteggere le attività di business o addirittura servizi ancora più critici o strategici del solo business come ad esempio cartelle cliniche o dati personali. Ormai da tempo molte delle nostre attività fanno fulcro sull’informatica e su dati digitali e non possono più essere basate, per inerzia o pigrizia evolutiva, ad accessi VPN a cui viene aggiunto il doppio fattore di autenticazione pensando di aver fatto un buon lavoro.

Last updated on