Termine globale per "autenticazione" e "autorizzazione"?

42

Internet è pieno di domande di autenticazione / autorizzazione . Non lo sto chiedendo qui. Mi chiedo se ci sia un termine generale che comprenda entrambi questi elementi.

Ho visto autenticazione denominata "gestione identità" e autorizzazione denominata "controllo accesso".

Ma anche AWS non aveva un termine valido per entrambi, quindi ha creato IAM.

Quindi, ancora una volta, se l'autenticazione sta dimostrando chi (come entità principale) sei, e l'autorizzazione consiste nel dare i livelli di accesso principali autenticati, allora sto cercando un termine di sicurezza ombrello che si applica a entrambi (quindi, che governa chi può fare cosa per una particolare risorsa). Esiste?!

    
posta smeeb 07.01.2016 - 12:33
fonte

5 risposte

65

Secondo la guida allo studio CISSP, il controllo degli accessi include IAAA (Identificazione, Autenticazione, Autorizzazione e Responsabilità).

Quindi se non ti interessa il resto, puoi chiamare Autenticazione e Autorizzazione come Controllo di accesso .

Dove:

Identificazione: User_Name

Autenticazione: User_Name + Password (in un fattore auth, caso semplice)

Autorizzazione: accesso alle risorse una volta autenticate

Contabilità: rilevamento di chi ha fatto cosa

    
risposta data 07.01.2016 - 13:49
fonte
9

Direi che la cosa più vicina a cui riesco a pensare è l'autenticazione, l'autorizzazione e il quadro contabile, spesso abbreviato in AAA.

Authentication, authorization, and accounting (AAA) is a term for a framework for intelligently controlling access to computer resources, enforcing policies, auditing usage, and providing the information necessary to bill for services. These combined processes are considered important for effective network management and security.

    
risposta data 07.01.2016 - 12:38
fonte
3

L'unico termine che viene in mente quando si governa entrambi è "Gestione accessi" Con ciò intendo un sistema che implementa Autenticazione, Autorizzazione e Contabilità. (spesso definito un framework AAA)

Questi termini non condividono realmente una comunanza finché non inizi ad implementare un sistema che li richiede.

    
risposta data 07.01.2016 - 12:41
fonte
0

La maggior parte delle aziende di analisi chiama questo spazio Identity & Gestione degli accessi (IAM). È anche il nome dei venditori spaziali che usano per i loro prodotti. C'è accanto a IAM un altro spazio chiamato IAG o Identity & Access Governance che riguarda più il tempo di revisione mentre IAM è più di definizione e runtime.

Infine, Gartner & Kuppinger Cole utilizza anche EAM (Externalized Authorization Management) e DAM (Dynamic Authorization Management) per le specifiche del controllo di accesso.

    
risposta data 17.08.2016 - 18:41
fonte
-1

La risposta alla tua domanda dipende dal contesto in cui vengono utilizzati i termini. Al più alto livello di astrazione, il termine generale è Information Assurance dove i 5 pilastri sono:

  • Disponibilità
  • Integrità
  • Autenticazione
  • Riservatezza
  • Non ripudio

Per essere chiari, l'autenticazione e sono un aspetto della Sicurezza delle informazioni . Il che mira a rafforzare, con un alto grado di fiducia, i pilastri della sicurezza delle informazioni , in particolare il non ripudio.

Quindi, per approfondire, entrambi i termini rientrano in Information Assurance e per associazione, lo spazio di Information Security. principalmente in:

  • Gestione identità (IdM) o
  • Identity and Access Management (IdAM)

IAM è il termine più comune, soprattutto se lavori in aziende governative o di grandi dimensioni in cui normalmente trovi più di 10000 identità. Per il vostro interesse, consultate le ultime direttive del Dipartimento della Difesa (US) e dei National Cyber Security Centers (UK) e le linee guida qui e qui rispettivamente.

Definizioni e spiegazioni

Identity and access management (IdAM) è un aspetto della sicurezza delle informazioni e comprende tecnologie e processi inclusi i due termini nella domanda.

Identity Governance - è un processo in IdAM. È la gestione delle politiche che governano:

  • il ciclo di vita end-to-end (creazione / modifica / spostamento / fine vita) delle identità (uomo / macchina / artificiale) su sistemi eterogenei.
  • la gerarchia di accesso alle risorse organizzative che verrà concessa alle identità stabilite (naturalmente proporzionate al ruolo e alle responsabilità dell'azienda).
  • conformità con le normative esterne / interne come ISO 27001, GDPR, HIPAA.

Ci sono altre funzioni, ma quelle 3 sono le più importanti in cui credo. In questa pratica, si sta creando un'identità come ad esempio un amministratore di frequenza di rete e si determinano i privilegi di tale identità. Si può anche arrivare a determinare quali aree di un edificio, quali computer, quali stampanti, quale dispositivo mobile può utilizzare quell'identità, o persino bloccare gruppi di dispositivi su un tipo di identità specifico. Questo in effetti è la pianificazione gestita dell'autorizzazione da associare a un'identità. Troverai i tuoi analisti aziendali, architetti aziendali, esperti di conformità, specialisti della sicurezza delle informazioni e auditor di informazioni che giocano a questo livello del gioco.

Gestione degli accessi : analisi e risposta a

  • violazioni per accedere alle regole - quale identità sta violando la sua politica di accesso assegnato?
  • accedere ai rischi, in particolare profilatura e mitigazione di tali rischi: qual è l'entità di questa violazione e come rispondiamo ad essa? Ha bisogno di ulteriori analisi? Dovrebbero essere catalogati e aggiunti ai vettori di attacco noti ecc.
  • esigenze di provisioning in tempo reale - L'accesso è disponibile? vale a dire l'accesso alle risorse in tempo utile? Non è bene concedere l'accesso a una risorsa 5 giorni in ritardo.

Come potete vedere, il controllo degli accessi è strettamente legato alla governance perché l'accesso appropriato (dal punto di vista dell'implementazione tecnica dell'assicurazione delle informazioni) deriva dalle politiche che (piuttosto che dovrebbero) sono già state stabilite dall'autorità di Identity Governance all'interno del Enterprise. In questa pratica, il focus è l'implementazione tecnica dei servizi di autenticazione per determinare con un alto grado di sicurezza che un'identità è chi dichiarano di essere e che rispettano i dettami delle policy impostate. Troverai i tuoi specialisti di sicurezza informatica, analisti di incidenti e risposte, specialisti di infrastruttura (network / storage / database), pen-tester, specialisti di piattaforme, specialisti di software e IA analitica a questo livello.

È improprio vedere l'autorizzazione e l'autenticazione isolatamente, invece, riconoscere che si tratta di termini usati in modo ampio nell'ambito della sicurezza delle informazioni e della sicurezza delle informazioni.

    
risposta data 05.09.2018 - 17:33
fonte

Leggi altre domande sui tag