Cos'è l'autorizzazione?
- Glossario IAM
- Cos'è l'autorizzazione?
L'autorizzazione è la procedura per determinare se concedere o negare agli utenti il diritto di accedere alle risorse. L'autorizzazione segue un insieme di regole e criteri predefiniti. Generalmente, queste regole sono gestite da un sistema di controllo degli accessi che stabilisce le autorizzazioni in base ai requisiti di conformità dell'organizzazione. Quando un utente tenta di accedere a una risorsa, il sistema di autorizzazione valuterà le autorizzazioni e i criteri predefiniti dell'organizzazione prima di consentire all'utente di accedervi.
Autorizzazione e autenticazione: qual è la differenza?
L'autenticazione è la procedura per verificare se un utente è chi dice di essere. L'autorizzazione, invece, è la procedura per consentire l'utilizzo di risorse e le azioni che l'utente può eseguire con tali risorse. Dopo che un utente è stato autenticato utilizzando le sue credenziali, il sistema viene sottoposto alla procedura di autorizzazione.
L'autorizzazione e l'autenticazione lavorano insieme per far sì che gli utenti possano accedere alle risorse di cui hanno bisogno mantenendo al contempo la sicurezza e l'integrità dell'organizzazione.
L'importanza dell'autorizzazione
Senza processi di autorizzazione solidi, la governance delle organizzazioni risulta scarsa, con conseguente mancanza di visibilità e controllo sulle attività dei dipendenti e un aumento del rischio di accessi non autorizzati da parte degli utenti. Vediamo come l'autorizzazione affronta queste problematiche.
- Segue il principio del privilegio minimo (PoLP), un concetto di sicurezza informatica in base al quale gli utenti possono accedere solo alle risorse necessarie per svolgere il proprio lavoro. Questo principio garantisce una maggiore sicurezza e controllo sui privilegi perché riduce la superficie di attacco dell'organizzazione. L'autorizzazione aderisce a questo principio in quanto garantisce rigorosamente il livello minimo di diritti di acceso, limitando gli accessi non autorizzati.
- Fornisce un controllo centralizzato degli accessi: l'autorizzazione consente alle organizzazioni di definire, gestire e aggiornare i diritti degli accessi degli utenti in un'unica posizione centralizzata. Grazie a questa funzionalità efficiente, è possibile garantire l'applicazione di autorizzazioni specifiche per ogni utente e ruolo.
Tipi di modelli di autorizzazione
Ecco cinque tipi di modelli di autorizzazione utilizzati dalle organizzazioni per garantire gli accessi alle risorse.
Controllo degli accessi basato sui ruoli (RBAC)
Il controllo degli accessi basato sui ruoli è un tipo di controllo degli accessi che definisce le autorizzazioni in base al ruolo e alle funzioni dell'utente all'interno dell'organizzazione. Ad esempio, i dipendenti di livello inferiore non possono accedere a informazioni o sistemi altamente sensibili accessibili agli utenti privilegiati. Se un utente tenta di accedere a una risorsa, il sistema verificherà il ruolo dell'utente per determinare se la risorsa è associata alle sue responsabilità lavorative.
Controllo degli accessi basato sulle relazioni (ReBAC)
Il controllo degli accessi basato sulle relazioni è un tipo di controllo degli accessi che si concentra sulla relazione tra l'utente e la risorsa. Pensa a Google Drive: un proprietario di un documento può visualizzarlo, modificarlo e condividerlo. Un membro dello stesso team può avere solo il permesso di visualizzare il documento, mentre un altro membro può essere autorizzato a visualizzarlo e modificarlo.
Controllo degli accessi basato sugli attributi (ABAC)
Il controllo degli accessi basato sugli attributi è un tipo di controllo degli accessi che valuta gli attributi associati a un utente per determinare se è possibile accedere alle risorse. Questo modello di autorizzazione è una forma più dettagliata di controllo degli accessi perché valuta l'oggetto, la risorsa, l'azione e l'ambiente. L'ABAC autorizzerà l'acceso a risorse specifiche associate a tali caratteristiche.
Controllo degli accessi discrezionale (DAC)
Il controllo degli accessi discrezionale è un tipo di controllo degli accessi in cui i proprietari delle risorse si assumono la responsabilità di decidere come le loro risorse saranno condivise. Supponiamo che un utente voglia accedere a un documento specifico. In ultima analisi, l'autorizzazione dell'utente e l'impostazione delle autorizzazioni è a discrezione del proprietario del file. In alcuni casi, i proprietari delle risorse concedono privilegi più elevati a determinati utenti. Questi privilegi potrebbero includere la possibilità di gestire o modificare i diritti di acceso per altri utenti.
Controllo degli accessi obbligatorio (MAC)
Il controllo degli accessi obbligatorio è un tipo di controllo degli accessi che gestisce le autorizzazioni in base alla sensibilità della risorsa e al livello di sicurezza dell'utente. Quando un utente tenta di accedere a una risorsa, il sistema confronterà il livello di sicurezza dell'utente con le clausole di sicurezza delle risorse. Se il livello di sicurezza dell'utente è uguale o superiore alla clausola delle risorse, l'utente sarà autorizzato ad accedervi. Il MAC è utilizzato principalmente in ambienti governativi o militari che richiedono una sicurezza di massimo livello.