Lo scopo principale di una rete è consentire la condivisione di risorse tra un gruppo di utenti.
Che si tratti di dispositivi di elaborazione , applicazioni o dati di file, l’obiettivo è fornire l’accesso esattamente a coloro che ne hanno bisogno.
Tuttavia, raggiungere questo obiettivo può essere difficile perché le organizzazioni moderne sono altamente dinamiche. In un dato giorno, possono essere assunti nuovi dipendenti, altri possono assumere più o diverse responsabilità e alcuni lasciano l’azienda. Inoltre, le organizzazioni assumono regolarmente lavoratori temporanei o specialisti esterni e ruotano attraverso relazioni con vari partner commerciali e fornitori. E naturalmente, le organizzazioni adottano nuovi sistemi e applicazioni e ritirano quelli di cui non hanno più bisogno.

Per garantire che i diritti di accesso degli utenti si evolvano in sincronia con tutti questi eventi, è necessario un provisioning di accesso efficace attraverso il ciclo di vita completo di tutti gli account utente.

Che cos'è l'Access Provisioning?

Il provisioning degli accessi è il processo di creazione, gestione e mantenimento delle identità degli utenti e dei loro diritti di accesso ai sistemi, alle applicazioni e alle informazioni dell’organizzazione. Comporta la concessione, la modifica e la revoca delle autorizzazioni degli utenti in base alle loro attuali responsabilità e alle policy organizzative.

Al centro della gestione degli accessi c’è il principio del privilegio minimo, che richiede che a ogni utente vengano concessi solo i diritti di accesso minimi necessari per svolgere il proprio lavoro.
L’obiettivo è bilanciare sicurezza e produttività, assicurando che gli utenti possano accedere alle risorse di cui hanno bisogno, impedendo al contempo l’accesso ingiustificato.

Tipi principali di provisioning dell'accesso

Le organizzazioni possono scegliere tra diversi tipi di provisioning dell’accesso, tra cui:

  • Provisioning di accesso discrezionale
  • Provisioning dell’accesso self-service
  • Provisioning basato sul flusso di lavoro
  • Provisioning automatico dell’accesso

Provisioning di accesso discrezionale (DAP)

Con DAP, i permessi di accesso vengono concessi manualmente da personale specifico, come responsabili di reparto o team leader.
Questo approccio garantisce il controllo locale, poiché i proprietari delle risorse possono gestire l’accesso in base alle loro esigenze specifiche.
Non richiede policy complesse o una soluzione di gestione dell’identità e dell’accesso (IAM).

Sebbene il DAP sia semplice ed economico, presenta alcuni gravi svantaggi, tra cui i seguenti:

  • I risultati possono essere incoerenti perché i diversi proprietari delle risorse possono applicare standard diversi.
  • I processi manuali sono più soggetti a errori dovuti all’errore umano.
  • Poiché si basa sul provisioning manuale, DAP non è facilmente scalabile man mano che la base di utenti cresce.
  • L’approccio potrebbe non essere conforme ai requisiti normativi o di settore.

Provisioning dell'accesso self-service (SAP)

Con SAP, gli utenti possono richiedere l’accesso a specifiche applicazioni, dati o sistemi, spesso senza l’intervento diretto degli amministratori. 
Il self-service è comunemente utilizzato per risorse quotidiane o a basso rischio, come l’accesso a strumenti interni o basi di conoscenza, dove i ritardi potrebbero ostacolare la produttività.

Questo approccio può ridurre il carico di lavoro IT e velocizzare il provisioning degli accessi. Tuttavia, presenta importanti debolezze:

  • Gli utenti potrebbero richiedere deliberatamente o inavvertitamente un accesso maggiore del necessario, con conseguente rischioso eccesso di provisioning.
  • I sistemi di auto-provisioning possono rendere più difficile tracciare e verificare le modifiche di accesso nel tempo, perché consentono agli utenti di gestire il proprio accesso con una supervisione amministrativa minima.
  • Alcuni utenti potrebbero trovare il sistema self-service poco chiaro o troppo complesso.

Provisioning dell'accesso basato sul flusso di lavoro (WAP)

Come SAP, WAP prevede un processo di richiesta e approvazione strutturato per la gestione dei diritti di accesso, ma laddove SAP solitamente automatizza o velocizza l’accesso al provisioning, WAP richiede più livelli di approvazione.
Il provisioning basato sul flusso di lavoro è preferito per applicazioni critiche, sistemi con dati sensibili o accesso regolato da requisiti di conformità. WAP aiuta a stabilire chiari controlli e bilanciamenti e crea una traccia di controllo delle richieste di accesso e delle approvazioni.

Un problema, tuttavia, è che mantenere i flussi di lavoro aggiornati con le mutevoli strutture e politiche organizzative può richiedere molto tempo.

Molte implementazioni di successo basate su WAP vengono realizzate con successo quando si basano sulla combinazione di SAP e WAP.

Provisioning automatico dell'accesso

Il provisioning di accesso automatizzato utilizza connessioni tra sistemi e ruoli predefiniti per concedere diritti di accesso appropriati agli utenti in base ai loro titoli di lavoro o reparti.
Ecco solo alcuni dei vantaggi di questo approccio:

  • È possibile assegnare automaticamente nuovi dipendenti in modo che possano diventare produttivi più rapidamente.
  • Allo stesso modo, agli utenti a cui vengono assegnate nuove responsabilità possono essere rapidamente concesse esattamente le autorizzazioni di accesso di cui hanno bisogno.
  • Quando un dipendente lascia l’organizzazione, il suo accesso può essere automaticamente rimosso, riducendo il rischio di accessi non autorizzati.
  • L’applicazione automatica di criteri di accesso garantisce coerenza e riduce il rischio di errore umano.
  • Riducendo i processi manuali, le organizzazioni possono abbassare significativamente i costi operativi IT.
  • I sistemi automatizzati possono essere facilmente adattati per soddisfare l’aumento della domanda.
  • I sistemi automatizzati possono mantenere registri di controllo dettagliati che facilitano il rispetto delle normative.
  • I sistemi automatizzati possono essere potenziati se combinati con policy basate sulle eccezioni, visibili tramite Self-Service Access Provisioning e anche protette tramite WAP per l’approvazione delle modifiche orchestrate.

Controllo degli accessi basato sui ruoli (RBAC) e controllo degli accessi basato sugli attributi (ABAC)

Invece di assegnare autorizzazioni specifiche ai singoli utenti, le best practice consigliano di concedere diritti di accesso utilizzando un approccio strutturato basato su ruoli o attributi.

Controllo degli accessi basato sui ruoli

In un approccio RBAC , un’organizzazione definisce un set di ruoli che si allineano alle funzioni aziendali e assegna a ciascun ruolo i permessi di accesso pertinenti.
Ad esempio, al ruolo “Human Resources Specialist” potrebbe essere concesso l’accesso al database HR e al sistema di reclutamento. Gli utenti ereditano i diritti concessi ai ruoli assegnati.

Questo approccio basato sui ruoli ha molteplici vantaggi. In particolare, RBAC:

  • Accelera il provisioning degli account poiché agli utenti devono semplicemente essere assegnati i ruoli corretti
  • Garantisce un’assegnazione coerente e accurata dei diritti di accesso
  • Consente modifiche rapide che interessano interi team, come la concessione dell’accesso a una nuova fonte di dati
  • Si adatta facilmente alla crescita della base di utenti

Controllo degli accessi basato sui ruoli

ABAC adotta un approccio più dinamico al controllo degli accessi. Invece di basarsi su ruoli definiti, considera vari attributi, come la sensibilità della risorsa, l’ora del giorno, la posizione e la configurazione del dispositivo utilizzato.

Questo approccio offre importanti vantaggi. Ad esempio, ABAC:

  • Offre un controllo degli accessi più granulare e contestuale
  • Fornisce maggiore flessibilità nella definizione delle policy di accesso
  • Può adattarsi alle mutevoli condizioni in tempo reale
  • Supporta scenari di accesso complessi che potrebbero non adattarsi perfettamente alle definizioni dei ruoli

Quando utilizzare RBAC vs. ABAC per una sicurezza ottimale

RBAC è più efficace per le organizzazioni che hanno ruoli ben definiti con responsabilità chiare e necessità di accesso che rimangono relativamente stabili nel tempo.
È una buona scelta quando il tuo obiettivo è semplificare l’amministrazione e ridurre la complessità della gestione degli accessi. RBAC è anche ideale quando i requisiti di conformità richiedono una chiara separazione dei compiti basata sui ruoli.

ABAC è più appropriato quando le decisioni di accesso devono considerare fattori che vanno oltre i ruoli lavorativi, come attributi utente, proprietà delle risorse, condizioni ambientali e informazioni contestuali.
È più adatto per organizzazioni con requisiti di accesso complessi e dinamici che richiedono policy di controllo dettagliate. ABAC eccelle in scenari in cui è necessario un adattamento in tempo reale ai contesti di sicurezza mutevoli, come l’implementazione dell’accesso basato sulla posizione o la regolazione delle autorizzazioni in base all’ora del giorno o al tipo di dispositivo.

Nota: potrebbe essere opportuno definire i ruoli dagli attributi. In questo modo, i cambiamenti di ruolo possono essere automatizzati con l’applicazione di attributi modificati.

Vantaggi del provisioning dell'accesso

I vantaggi dell’accesso provisioning includono:

  • Superficie di attacco ridotta : in ogni punto del suo ciclo di vita, ogni account utente ha le autorizzazioni minime di cui ha bisogno e i diritti di accesso vengono prontamente revocati quando i dipendenti lasciano l’organizzazione. Questa applicazione granulare del privilegio minimo riduce il rischio di minacce interne e limita la portata degli avversari che compromettono un account.
  • Maggiore sicurezza : processi strutturati e soprattutto automatizzati per l’approvvigionamento dell’accesso contribuiscono a ridurre gli errori umani che potrebbero causare un eccesso di provisioning. 
  • Aumento della produttività degli utenti : gli utenti possono ottenere rapidamente l’accesso di cui hanno bisogno per assolvere ai propri compiti.
  • Aumento della produttività del team IT : l’automazione delle attività di routine di gestione degli accessi libera il personale IT, che può così concentrarsi su altre priorità.
  • Conformità : gli strumenti di provisioning dell’accesso possono fornire una chiara traccia di controllo per le indagini e dimostrare la conformità a normative come HIPAA o SOC 2 durante gli audit.

Sfide comuni nel provisioning dell'accesso

L’implementazione di un provisioning di accesso efficace può essere una sfida oggi. Ecco alcuni degli ostacoli principali.

Complessità IT e infrastruttura cloud

Gli ambienti IT sono più complessi che mai. Le organizzazioni stanno rapidamente adottando un’ampia gamma di nuove tecnologie e spostando dati e carichi di lavoro sul cloud.
Allo stesso tempo, hanno spesso bisogno di mantenere sistemi legacy per motivi aziendali, di sicurezza o di conformità.
Integrare questi vecchi sistemi in moderne soluzioni di gestione degli accessi può essere tecnicamente difficile o addirittura impossibile.
Il risultato può essere un set separato di strumenti e processi per gli ambienti on-premise e basati sul cloud, il che aumenta il carico di lavoro del team IT e richiede un set diversificato di competenze.

Accesso Creep

Nonostante l’imperativo di far rispettare il principio del privilegio minimo , la realtà nella maggior parte delle organizzazioni è che gli account utente tendono ad accumulare diritti di accesso non necessari nel tempo. Ad esempio, quando un progetto viene completato o un individuo cambia ruolo, i diritti di accesso che non sono più necessari potrebbero non essere rimossi.
Ripulire questo eccesso di provisioning è un compito enorme e i team IT possono essere riluttanti a revocare le autorizzazioni perché una modifica impropria potrebbe far deragliare i processi aziendali critici.

Un approccio di provisioning dell’accesso correttamente implementato dovrebbe considerare anche il de-provisioning come parte del ciclo di vita complessivo dell’accesso.


Cambiamenti Organizzativi

Oltre al normale turnover dei dipendenti, ai trasferimenti e alle promozioni, molte organizzazioni devono anche gestire fusioni, acquisizioni e ristrutturazioni. Questi eventi possono richiedere enormi cambiamenti al provisioning degli accessi, che i processi manuali non sono in grado di facilitare. Infatti, anche con strumenti di provisioning degli accessi automatizzati, i team IT possono avere difficoltà a definire un set completo di ruoli e diritti di accesso associati che imponga il privilegio minimo riducendo al minimo il rischio di interruzione aziendale.

Best Practice per un provisioning di accesso efficace

Applicare rigorosamente il principio del privilegio minimo.

Questa best practice è la pietra angolare della sicurezza: ogni utente deve avere solo i diritti di accesso minimi necessari per svolgere il proprio lavoro. L’applicazione del privilegio minimo limita il danno che un utente può fare, deliberatamente o accidentalmente, e riduce la portata di un avversario che compromette l’account.

Criteri di accesso ai documenti.

Crea una policy di provisioning dell’accesso utente che descriva in dettaglio i processi per richiedere, approvare, modificare e revocare i diritti di accesso. Inoltre, definisci un set di ruoli e le relative autorizzazioni associate da utilizzare per la gestione dell’accesso e imposta standard per la gestione degli account privilegiati. Queste policy sono necessarie sia per gli audit di sicurezza che di conformità.

Effettuare revisioni regolari degli accessi.

Le organizzazioni dovrebbero rivedere regolarmente tutti i ruoli definiti e i loro diritti di accesso, verificare tutti gli account per privilegi eccessivi o obsoleti e cercare account orfani. Questo processo di revisione richiede una stretta collaborazione tra i team IT e gli stakeholder aziendali, in particolare i proprietari delle risorse che sono nella posizione migliore per dire chi dovrebbe avere quale accesso a quali risorse.

Monitorare l’attività di accesso.

Il monitoraggio e la registrazione continui dell’attività di accesso aiutano le organizzazioni a individuare e ripristinare rapidamente le modifiche improprie alle autorizzazioni prima che i nuovi diritti di accesso possano essere abusati. Poiché questo monitoraggio è fondamentale per la sicurezza, è anche un requisito di molti standard di settore e mandati normativi.

Ridurre al minimo i diritti di accesso privilegiati permanenti.

Un avversario che ottiene il controllo di un account amministrativo può causare gravi danni, dal furto di dati critici all’abbattimento di interi sistemi. Per ridurre drasticamente questo rischio, concedere autorizzazioni di accesso elevate solo quando necessario per un’attività specifica utilizzando il provisioning di accesso just-in-time (JIT) .

Applicare criteri di accesso temporanei.

Indipendentemente dal metodo di concessione dell’accesso, è una buona prassi applicare policy in modo che l’accesso sia sempre di natura temporanea. Ciò può essere implementato stabilendo un ciclo di vita per l’appartenenza a gruppi che concedono permessi di accesso, stabilendo policy di appartenenza temporanee in ruoli e gruppi e, infine, limitando l’ambito delle modifiche temporanee nel processo di join/leave.

Applica attività di attestazione con ciclo di vita.

Sebbene l’attestazione della validità e accuratezza continua dell’accesso possa essere un requisito per la maggior parte delle organizzazioni che verificano regolarmente il proprio ambiente, senza automatizzare questo processo, l’accesso può essere trascurato. Per garantire che si verifichi un’attestazione accurata, imporre l’azione allegandola ai processi del ciclo di vita in modo che la mancata applicazione della politica di revisione abbia conseguenze. Assicurarsi che il motore del ciclo di vita consenta l’inversione delle modifiche.

Strumenti per l'accesso al provisioning

Oltre alla funzionalità di base di provisioning e deprovisioning automatizzati, assicurati di cercare RBAC o ABAC, MFA e SSO.

Alcune delle soluzioni più diffuse includono:

  • Netwrix GroupID semplifica il provisioning degli accessi con una solida gestione delle identità e funzionalità del ciclo di vita degli utenti, consentendo alle organizzazioni di semplificare l’onboarding, l’offboarding e i cambiamenti di ruolo degli utenti. Con funzionalità come la gestione automatizzata delle appartenenze ai gruppi, le richieste di accesso self-service e gli aggiornamenti in tempo reale, aiuta a garantire che ogni utente abbia l’accesso giusto al momento giusto.
  • Microsoft Entra ID  (in precedenza Azure Active Directory ) è una buona soluzione per le organizzazioni che si affidano al cloud Microsoft. Le funzionalità principali includono Single Sign-On, autenticazione a più fattori e accesso condizionale.
  • CyberArk Idaptive combina la gestione delle identità, la gestione della mobilità aziendale e l’analisi del comportamento degli utenti in un unico pacchetto. Offre SSO, MFA e gestione del ciclo di vita delle identità, nonché funzionalità di apprendimento automatico in grado di rilevare e rispondere ad attività sospette in tempo reale.
  • Okta Identity Cloud è una soluzione basata su cloud, che semplifica la scalabilità man mano che un’organizzazione cresce, senza la necessità di hardware aggiuntivo. Okta offre oltre 7.000 integrazioni predefinite con applicazioni e altri componenti infrastrutturali.

L'importanza del provisioning dell'accesso

Un provisioning di accesso efficace è essenziale per salvaguardare le informazioni sensibili consentendo agli utenti di svolgere il proprio lavoro. È inoltre fondamentale per raggiungere e dimostrare la conformità ai requisiti normativi e agli standard di settore. Con una soluzione automatizzata che semplifica il provisioning di accesso in moderni ambienti ibridi, le organizzazioni possono migliorare la propria postura di sicurezza semplificando al contempo le operazioni.

Domande Frequenti

Cosa significa quando l’accesso è stato autorizzato?

Quando il tuo accesso è stato fornito, significa che hai accesso a dati specifici, applicazioni o altre risorse IT. Questo processo in genere comporta la creazione del tuo account utente e la concessione di diritti di accesso appropriati in base alle tue mansioni lavorative.

Che cos’è l’accesso tramite provisioning?

Il provisioning è il processo di gestione e controllo dei diritti di accesso degli utenti alle risorse IT. L’obiettivo è consentire agli utenti di svolgere le proprie funzioni lavorative impedendo al contempo l’accesso inappropriato. Un provisioning accurato è fondamentale sia per la sicurezza che per la conformità normativa. Mentre i processi di provisioning manuale richiedono molto tempo e sono soggetti a errori, le soluzioni moderne semplificano il lavoro utilizzando modelli quali il controllo degli accessi basato sui ruoli (RBAC) o il controllo degli accessi basato sugli attributi (ABAC).

Qual è la differenza tra autenticazione utente e provisioning utente?

L’autenticazione è il processo di verifica dell’identità di un utente, solitamente richiedendo una password o un’alternativa moderna come la biometria, più metodi in un processo chiamato autenticazione a più fattori (MFA).

Il provisioning è il processo di gestione degli account utente e dei relativi diritti di accesso durante tutto il loro ciclo di vita. Il suo scopo è garantire che ogni utente abbia esattamente il livello di accesso appropriato per svolgere efficacemente le proprie funzioni lavorative.

Qual è un esempio di provisioning dell’accesso utente?

Uno dei casi più comuni di provisioning dell’accesso utente è la creazione di un account utente per un nuovo dipendente e la concessione di privilegi di accesso esatti di cui ha bisogno per svolgere il proprio lavoro. Ad esempio, se il nuovo dipendente lavora nel reparto finanziario, potrebbe ottenere l’accesso al software finanziario dell’azienda e a unità condivise specifiche, ma non ai file HR o agli strumenti di amministrazione IT.

Compila il form per ottenere l’ebook gratuito

Prova gratuitamente tutti gli strumenti Netwrix

Le soluzioni Netwrix consentono di identificare e classificare le informazioni sensibili con la massima precisione; ridurre l’esposizione al rischio e rilevare le minacce in tempo utile per evitare violazioni dei dati, raggiungere e dimostrare la conformità.

La piattaforma include una vasta gamma di applicazioni che forniscono una visualizzazione a riquadro singolo di ciò che sta accadendo in entrambi i sistemi IT di archiviazione dati e nelle dorsali di rete.

PROVA GLI STRUMENTI NETWRIX

Netwrix Auditor, Netwrix Data Classification, Provilege Secure, StealthDEFEND, Anixis, Endpoint Protector… oggi il mondo Netwrix si è allargato fino a diventare un vero e proprio universo di soluzioni complete per la gestione e la sicurezza dei tuoi dati aziendali:

Articolo originale: Access Provisioning: Best Practices for Secure User Access

 Author: Martin Cannard 

Articolo originale: Safetica ONE 11.0: taking the Safetica Product Experience to the next level!-  Author: Jan Lakatos – Safetica ONE Product Manager

Credits Articolo

Scritto e riadattato da CIPS Informatica per Safetica

© Safetica a.s., 2023

Riadattamento da parte di CIPS Informatica - Netwrix

Credits Articolo
MENU
Torna in cima