Cos'è il controllo degli accessi? | Autorizzazione e autenticazione

Cos'è il controllo degli accessi?

Controllo degli accessi è un termine di sicurezza utilizzato per riferirsi a un insieme di policy volte a limitare l'accesso a informazioni, strumenti e posizioni fisiche.

Cos'è il controllo degli accessi fisici?

Sebbene questo articolo si concentri sul controllo dell'accesso alle informazioni, il controllo degli accessi fisici è un paragone utile per comprendere il concetto generale.

Il controllo degli accessi fisici è un insieme di politiche volte a stabilire a chi è concesso l'accesso a un luogo fisico. Esempi reali di controllo degli accessi fisici includono quanto segue:

• Buttafuori da bar
• Tornelli della metropolitana
• Agenti doganali in un aeroporto
• Scanner per tessere magnetiche o badge negli uffici aziendali

In tutti questi esempi, una persona o un dispositivo segue una serie di criteri per decidere chi può accedere a una posizione fisica riservata. Ad esempio, uno scanner di chiavi magnetiche per hotel concede l'accesso solo agli ospiti autorizzati che possiedono una chiave dell'hotel.

Cos'è il controllo degli accessi alle informazioni?

Il controllo degli accessi alle informazioni limita l'accesso ai dati e al software utilizzato per manipolarli. Gli esempi includono i seguenti:

• Accesso a un laptop utilizzando una password
• Sblocco di uno smartphone con una scansione dell'impronta digitale
• Accesso remoto alla rete interna del datore di lavoro tramite VPN

In tutti questi casi, il software viene utilizzato per autenticare e concedere l'autorizzazione agli utenti che devono accedere alle informazioni digitali. L'autenticazione e l'autorizzazione sono componenti integranti del controllo dell'accesso alle informazioni.

Qual è la differenza tra autenticazione e autorizzazione?

L'autenticazione è la pratica di sicurezza volta a confermare che una persona sia effettivamente chi dichiara di essere, mentre l'autorizzazione è il processo che determina quale livello di accesso viene concesso a ciascun utente.

Ad esempio, pensa a un viaggiatore che effettua il check-in in un hotel. Al momento della registrazione alla reception, gli verrà chiesto di esibire un passaporto per verificare che sia effettivamente la persona il cui nome è indicato sulla prenotazione. Questo è un esempio di autenticazione.

Una volta che il dipendente dell'hotel ha autenticato l'ospite, l'ospite riceve una chiave magnetica con privilegi limitati. Questo è un esempio di autorizzazione. La chiave magnetica dell'ospite garantisce l'accesso alla sua camera, all'ascensore per gli ospiti e alla piscina, ma non alle camere degli altri ospiti o all'ascensore di servizio. I dipendenti dell'hotel, d'altra parte, sono autorizzati ad accedere a più aree dell'hotel rispetto agli ospiti.

I sistemi informatici e di rete dispongono di controlli di autenticazione e autorizzazione simili. Quando un utente accede al proprio account e-mail o al conto bancario online, utilizza una combinazione di nome utente e password che solo lui dovrebbe conoscere. Il software utilizza queste informazioni per autenticare l'utente. Alcune applicazioni hanno requisiti di autorizzazione molto più rigorosi di altre: mentre per alcune è sufficiente una password, altre potrebbero richiedere l'autenticazione a due fattori o una conferma biometrica, come l'impronta digitale o la scansione del viso.

Una volta autenticato, un utente può vedere solo le informazioni a cui è autorizzato ad accedere. Nel caso di un conto bancario online, l'utente può visualizzare solo le informazioni relative al suo conto personale. Nel frattempo, un gestore di fondi della banca può accedere alla stessa applicazione e visualizzare i dati relativi al patrimonio finanziario complessivo della banca. Poiché la banca gestisce informazioni personali molto sensibili, è del tutto possibile che nessuno abbia accesso illimitato ai dati. Anche il presidente o il responsabile della sicurezza della banca potrebbero dover sottostare a un protocollo di sicurezza per accedere ai dati completi dei singoli clienti.

Quali sono i tipi principali di controllo degli accessi?

Una volta completato il processo di autenticazione, l'autorizzazione dell'utente può essere determinata in uno dei seguenti modi:

Controllo di accesso obbligatorio (MAC): il controllo di accesso obbligatorio stabilisce rigide politiche di sicurezza per i singoli utenti e per le risorse, i sistemi o i dati a cui sono autorizzati ad accedere. Tali politiche sono controllate da un amministratore; ai singoli utenti non è data l'autorità di impostare, modificare o revocare autorizzazioni in modo tale da contraddire le policy esistenti.

Con questo sistema, sia il soggetto (utente) sia l'oggetto (dati, sistema o altra risorsa) devono ricevere attributi di sicurezza simili per poter interagire tra loro. Tornando all'esempio precedente, il presidente della banca non solo avrebbe bisogno della corretta autorizzazione di sicurezza per accedere ai file di dati dei clienti, ma l'amministratore di sistema dovrebbe specificare che tali file possono essere visualizzati e modificati dal presidente. Sebbene tale processo possa sembrare ridondante, garantisce che gli utenti non possano eseguire azioni non autorizzate semplicemente ottenendo l'accesso a determinati dati o risorse.

Controllo degli accessi basato sui ruoli (RBAC): il controllo degli accessi basato sui ruoli stabilisce le autorizzazioni in base ai gruppi (insiemi definiti di utenti, come i dipendenti di banca) e ai ruoli (insiemi definiti di azioni, come quelle che potrebbero eseguire un cassiere di banca o un direttore di filiale). Gli individui possono eseguire qualsiasi azione assegnata al loro ruolo e possono essere assegnati loro più ruoli, se necessario. Analogamente a quanto avviene per MAC, agli utenti non è consentito modificare il livello di controllo di accesso assegnato al loro ruolo.

Ad esempio, a qualsiasi dipendente di banca assegnato al ruolo di cassiere potrebbe essere concessa l'autorizzazione a elaborare le transazioni sui conti e ad aprire nuovi conti clienti. Un direttore di filiale, d'altro canto, potrebbe ricoprire diversi ruoli, autorizzando i dipendenti a elaborare transazioni sui conti, aprire conti clienti, assegnare il ruolo di cassiere a un nuovo dipendente e così via.

Controllo degli accessi discrezionale (DAC): una volta che a un utente viene concesso il permesso di accedere a un oggetto (solitamente da un amministratore di sistema o tramite un elenco di controllo di accesso esistente), può concedere l'accesso ad altri utenti in base alle necessità. Tuttavia, ciò potrebbe introdurre vulnerabilità di sicurezza, poiché gli utenti sono in grado di determinare le impostazioni di sicurezza e condividere le autorizzazioni senza la stretta supervisione dell'amministratore di sistema.

Quando si valuta quale metodo di autorizzazione dell'utente sia più appropriato per un'organizzazione, è necessario tenere conto delle esigenze di sicurezza. In genere, le organizzazioni che richiedono un elevato livello di riservatezza dei dati (ad esempio enti governativi, banche, ecc.) opteranno per forme di controllo degli accessi più rigorose, come MAC, mentre quelle che favoriscono maggiore flessibilità e autorizzazioni basate su utenti o ruoli tenderanno a utilizzare sistemi RBAC e DAC.

Quali sono alcuni metodi per implementare il controllo degli accessi?

Uno strumento popolare per il controllo dell'accesso alle informazioni è una rete privata virtuale (VPN). Una VPN è un servizio che consente agli utenti remoti di accedere a Internet come se fossero connessi a una rete privata. Le reti aziendali utilizzano spesso le VPN per gestire il controllo degli accessi alla propria rete interna anche su lunghe distanze geografiche.

Ad esempio, se un'azienda ha un ufficio a San Francisco e un altro a New York, oltre a dipendenti remoti sparsi in tutto il mondo, può utilizzare una VPN in modo che tutti i suoi dipendenti possano accedere in modo sicuro alla rete interna, indipendentemente dalla loro ubicazione fisica. La connessione alla VPN aiuterà inoltre a proteggere i dipendenti dagli attacchi on-path se sono connessi a una rete Wi-Fi pubblica.

Le VPN presentano anche alcuni inconvenienti. Ad esempio, hanno un impatto negativo sulle prestazioni. Quando ci si connette a una VPN, ogni pacchetto dati inviato o ricevuto da un utente deve percorrere una distanza maggiore prima di arrivare a destinazione, poiché ogni richiesta e risposta deve raggiungere il server VPN prima di raggiungere la propria destinazione. Questo processo spesso aumenta la latenza.

Le VPN generalmente offrono un approccio "tutto o niente" alla sicurezza della rete. Le VPN sono ottime per fornire l'autenticazione, ma non per fornire controlli di autorizzazione granulari. Se un'organizzazione desidera concedere diversi livelli di accesso a diversi dipendenti, deve utilizzare più VPN. Ciò crea molta complessità e non soddisfa ancora i requisiti della sicurezza Zero Trust.

Cos'è la sicurezza Zero Trust?

La sicurezza Zero Trust è un modello di sicurezza IT che richiede una rigorosa verifica dell'identità per ogni persona e dispositivo che tenta di accedere alle risorse su una rete privata, indipendentemente dal fatto che si trovino all'interno o all'esterno del perimetro di rete. Anche le reti Zero Trust utilizzano la microsegmentazione. La microsegmentazione è la pratica di suddividere i perimetri di sicurezza in piccole zone per mantenere un accesso separato per parti separate della rete.

Oggi molte organizzazioni stanno sostituendo le VPN con soluzioni di sicurezza Zero Trust come Cloudflare Zero Trust. Una soluzione di sicurezza Zero Trust può essere utilizzata per gestire il controllo degli accessi sia per i dipendenti in ufficio che per quelli in remoto, evitando al contempo i principali svantaggi dell'utilizzo di una VPN.