Identità in Zero Trust

  • 3 minuti

In senso informatico, un'identità può essere un utente, un dispositivo o un'applicazione. La prima fase di un approccio Zero Trust di successo consiste nel proteggere queste identità.

Essere a conoscenza di chi richiede l’accesso alle risorse del patrimonio digitale è essenziale per tenere sotto controllo l'accesso ai dati sensibili. Quando un utente o un dispositivo viene autenticato, gli viene concessa l'autorizzazione appropriata per accedere a risorse, asset e dati.

La protezione delle identità con approccio Zero Trust, noto anche come gestione delle identità, applica il principio della verifica continua degli utenti. Prima di consentire l'accesso, le organizzazioni devono convalidare l'identità dell'utente e altre proprietà, come la sua posizione, l’integrità del dispositivo, il suo ruolo nell'organizzazione e il tipo di dati a cui sta tentando di accedere. Per raggiungere questo stato finale, la strategia Zero Trust si basa principalmente su tecnologie automatizzate e sull'applicazione dei criteri per garantire la sicurezza e offrire un'esperienza utente ottimale.

L’approccio Zero Trust è incentrato sull’autenticazione e l’autorizzazione di ogni connessione, dispositivo, utente o flusso di rete.

Autenticazione e autorizzazione

Nell'ambito della strategia Zero Trust, gli utenti, le applicazioni e i dispositivi devono essere autenticati e valutati in modo sicuro prima di ottenere l'autorizzazione ad accedere alle risorse.

  • L’autenticazione è un processo che richiede agli utenti di confermare la propria identità.
  • L’autorizzazione è un processo automatizzato in cui il sistema determina il livello di accesso concesso a ogni utente.

Metodi di autenticazione

Per le organizzazioni è importante stabilire l'identità degli utenti, dei dispositivi e delle applicazioni. Il processo di autenticazione consiste nel determinare l'identità iniziale di un utente e associarla ad essa usando varie tecniche. Di seguito sono riportati alcuni dei metodi di autenticazione più comuni praticati dalle organizzazioni:

  • Password: l'uso delle password è la forma di autenticazione più semplice basata su un elemento noto all'utente, come una stringa di lettere, numeri o caratteri speciali. Questo tipo di autenticazione presenta delle limitazioni, in quanto le credenziali possono essere rubate o indovinate da utenti malintenzionati.

  • Autenticazione a più fattori (MFA): questa tecnica richiede più di un fattore distinto per dimostrare che l'utente è chi dice di essere. L'autenticazione a più fattori usa in genere uno o più dei seguenti elementi:

    • Qualcosa che l’utente conosce, come un nome utente o una password.
    • Qualcosa che l'utente ha, come un token di sicurezza.
    • Qualcosa che l'utente è, ad esempio le sue impronte digitali, la retina o la voce.

Uno o più tra questi elementi possono essere usati per confermare l'autenticità della richiesta.

  • Biometria: questa tecnica usa caratteristiche biologiche, come impronte digitali, volto, voce o riconoscimento retina per verificare l'identità dell’utente. L'uso della biometria rimuove l'onere di digitare la password e riduce le probabilità di shoulder surfing da parte di utenti malintenzionati.
  • Senza password: questo tipo di autenticazione è la tecnologia più recente che elimina l'uso delle password. Combina biometria, autenticazione a più fattori e app mobili per eliminare l’esigenza di una password.

Differenza tra autenticazione avanzata e debole

L'autenticazione avanzata si ha quando il metodo combina due o più fattori per verificare l'identità di un utente o di un dispositivo. Ad esempio, l'autenticazione a più fattori combina due o più fattori indipendenti per confermare l'identità dell'utente. Ciò aggiunge un ulteriore livello di sicurezza, in quanto valuta l'identità dell’utente in base ai dettagli forniti, come il dispositivo o la posizione. Nel caso in cui le credenziali siano state compromesse, gli utenti non autorizzati non saranno in grado di soddisfare il secondo o il terzo livello di autenticazione richiesto.

L'autenticazione debole si ha quando il livello di attendibilità del metodo usato è difettoso e incerto. Potrebbe portare a scenari in cui le password potrebbero essere facilmente decifrate o gli utenti malintenzionati potrebbero bypassare facilmente l'autenticazione per ottenere l'accesso.