What is identity and access management (IAM)?

Identity and access management (IAM) verifies user identities and controls what resources each user can access within an organization.

What is an identity provider (IdP)?

An identity provider (IdP) is a service that manages user identities and handles user authentication Single sign-on (SSO) services are identity providers.

How does IAM support remote workforce access?

IAM provides a way to verify and authenticate users both inside and outside of a controlled office environment. This enables organizations to provide access to resources from a range of locations, which is essential for supporting a remote workforce.

What are authentication factors?

Authentication factors are traits used to verify a user’s identity. The three primary authentication factors are something the user knows (like a password), something the user has (like a smartphone or token), and something physically intrinsic to the user (such as a fingerprint)

What is multi-factor authentication (MFA)?

Multi-factor authentication (MFA) requires users to verify their identity using two or more different authentication factors before they are given access to an application or a network. For example, a user might insert a hard key or provide their fingerprint in addition to typing a password. MFA is more secure than single-factor authentication because it is harder for unauthorized parties to falsify or steal two different authentication factors instead of one.

What is single sign-on (SSO)?

Single sign-on (SSO) lets users access multiple cloud applications with one set of login credentials. SSO simplifies access management for IT teams. It allows users to rely on only one set of credentials so that they do not have to memorize multiple complex passwords or keep track of several MFA keys. And, it gives organizations a single place for implementing password policies and other security requirements, instead of doing so separately for each application.

What is identity-as-a-service (IDaaS)?

Identity-as-a-service (IDaaS) is a cloud-based service that verifies and manages user identities, often as part of an organization’s overall IAM system.

What is Zero Trust security?

Zero Trust security is a model in which threats are assumed to already be present inside a network. In a Zero Trust model, every user and device must have their identity strictly verified, even from inside a secured network.

What is the principle of least privilege?

The principle of least privilege means giving users only the minimum access or permissions they need to perform their job.

¿Qué es la Gestión de identidad y acceso (IAM)?

¿Qué es la gestión de identidad y acceso?

Los sistemas de Gestión de identidad y acceso (IAM) verifican las identidades de los usuarios y controlan sus privilegios.

Resumen del artículo:

La gestión de identidad y acceso (IAM) verifica a los usuarios y gestiona sus privilegios de acceso, y es el punto de control de seguridad crítico en la era de la informática en la nube.
El proveedor de identidad (IdP) es un servicio fundamental en un sistema IAM que gestiona las identidades de los usuarios y se encarga del proceso de autenticación y de inicio de sesión.
La seguridad Zero Trust verifica estrictamente la identidad y restringe el acceso a todas las solicitudes, por lo que IAM es fundamental para implementar con éxito un marco SASE.

¿Qué es la gestión de identidad y acceso (IAM)?

La gestión de identidad y acceso (abreviado: IAM o IdAM) es un modo de saber quién es un usuario y qué tiene permiso para hacer. IAM es como el portero de una discoteca con una lista de quién puede entrar, quién no y quién puede acceder a la zona VIP. IAM también se conoce como gestión de identidad (IdM).

Gestión de identidades y acceso IAM - Bouncer se sitúa frente a la nube

En palabras más técnicas, IAM es un modo de administrar un conjunto dado de identidades digitales de los usuarios y los privilegios asociados con cada identidad. Es un término genérico que cubre una serie de productos diferentes, todos con la misma función básica. En una organización, IAM puede ser un producto único o una combinación de procesos, productos de software, servicios en la nube y hardware, que ofrecen a los administradores visibilidad y control sobre los datos de la organización a los que pueden acceder los usuarios individuales.

¿Qué es identidad en el contexto informático?

La identidad completa de una persona no puede cargarse y almacenarse en una ordenador, así que la "identidad" en un contexto informático indica un cierto conjunto de propiedades que, de forma conveniente, se pueden medir y registrar digitalmente. Piense en una carnet de identidad o en un pasaporte: el carnet de identidad no registra todos los datos acerca de una persona, pero sí que contiene suficientes características personales para que la identidad de una persona se pueda comparar rápidamente con los datos del carnet.

Para verificar la identidad, un sistema informático evaluará a un usuario para buscar características que sean específicas de los mismos. Si estos coinciden, se confirmará la identidad del usuario. Estas características también se conocen como "factores de autenticación", porque ayudan a autenticar a un usuario que dice ser quién es.

Los tres factores de autenticación más utilizados son:

Algo que sabe el usuario
Algo que tiene el usuario
Algo que el usuario es

Algo que sabe el usuario: este factor es una información que solo debe tener un usuario, como la combinación de nombre de usuario y contraseña.

Imagina que John quiere revisar su correo electrónico del trabajo desde casa. Para hacerlo, en primer lugar tendrá que iniciar sesión en su cuenta de correo electrónico demostrando identidad, ya si alguien que no fuera John accediera a su correo electrónico, se verían comprometidos los datos de la empresa.

John inicia sesión introduciendo su correo electrónico, john@company.com y la contraseña que solo él sabe, por ejemplo, "5jt*2)f12?y" Además de John, supuestamente nadie sabe esta contraseña, por lo que el sistema de correo electrónico reconoce a John y le permite acceder a su cuenta de correo electrónico. Si alguien más intentara hacerse pasar por John introduciendo su dirección de correo electrónico "john@company.com", no podría acceder sin introducir la contraseña "5jt*2)f12?y".

Algo que tiene el usuario: este factor se refiere a la posesión de un objeto físico otorgado a usuarios autorizados. El ejemplo más básico de este factor de autenticación es el uso de una llave para entrar en casa. Se supone que solo alguien que sea propietario, arrendatario o que de otra manera tenga permiso para entrar en la casa, contará con una llave.

En un contexto informático, el objeto físico podría ser un llavero con mando a distancia, un dispositivo USB o incluso un teléfono inteligente. Supongamos que la organización de John quisiera asegurarse de que todos los usuarios son quienes dicen ser mediante el uso de dos factores de autenticación en lugar de uno. Ahora, en lugar de simplemente introducir su contraseña secreta, el factor de algo que sabe el usuario, John tiene que mostrarle al sistema de correo electrónico que cuenta con un objeto que nadie más tiene. John es la única persona en el mundo que posee su teléfono inteligente personal, así que el sistema de correo electrónico le envía un mensaje de texto con un código de uso único, que John tiene que introducir para demostrar que posee el teléfono.

Algo que el usuario es: esto hace referencia a una propiedad física del propio cuerpo. Un ejemplo habitual de este factor de autenticación es Face ID, una función incluida en muchos teléfonos inteligentes modernos. Otro ejemplo es el escaneado de huellas dactilares. Los escaneados de retina y los análisis de sangre son métodos menos comunes utilizados por algunas organizaciones de alta seguridad.

Imagina que la organización de John decide reforzar todavía más la seguridad haciendo que los usuarios verifiquen tres factores en lugar de dos (poco habitual). Ahora, John tendrá que introducir su contraseña, verificar la posesión de su teléfono inteligente y escanear su huella digital antes de que el sistema de correo electrónico confirme que se trata realmente de John.

En resumen: en el mundo real, la propia identidad es una compleja combinación de características personales, historia, ubicación y otros factores. En el mundo digital, la identidad de un usuario está compuesta de todos o algunos de los tres factores de autenticación, almacenados digitalmente en una base de datos de identidad. Para evitar que los impostores se hagan pasar por usuarios reales, los sistemas informáticos comprobarán la identidad de un usuario mediante el uso de la base de datos de identidad.

¿Qué es gestión de acceso?

"Access" hace referencia a qué datos puede ver un usuario y qué acciones puede llevar a cabo una vez hayan iniciado sesión. Cuando John inicia sesión en su correo electrónico, puede ver todos los correos electrónicos enviados y recibidos. Sin embargo, no debería poder ver los correos electrónicos enviados y recibidos por Tracy, su compañera de trabajo.

En otras palabras, solo porque se haya verificado la identidad de un usuario, no implica necesariamente que deberían poder tener acceso a lo que quieran dentro de un sistema o red. Por ejemplo, un empleado de bajo nivel en una empresa debería poder tener acceso a su cuenta de correo electrónico corporativo, pero no debería poder acceder a los registros de nóminas o a la información confidencial de recursos humanos.

La gestión de acceso es el proceso de control y seguimiento del acceso. Cada usuario en un sistema tendrá diferentes privilegios en dicho sistema en función de sus necesidades individuales. Efectivamente, un contable necesita acceder y editar los registros de nóminas, así que que una vez que se verifique su identidad, debería poder ver y actualizar esos registros, así como tener acceso a su cuenta de correo electrónico.

¿Por qué IAM es tan importante para la computación en nube?

En la computación en nube, se almacenan los datos de forma remota y se accede a ellos a través de Internet. Como los usuarios se pueden conectar a Internet desde casi cualquier ubicación y dispositivo, la mayoría de los servicios en la nube operan independientemente del dispositivo y la ubicación. Los usuarios ya no tienen que estar presentes en la oficina o utilizar un dispositivo propiedad de la empresa para acceder a la nube. De hecho, el teletrabajo cada vez es más habitual.

Como resultado, la identidad se convierte en el punto más importante a la hora de controlar el acceso, no el perímetro de la red.* La identidad del usuario, y no su dispositivo o ubicación, determina a qué datos pueden acceder en la nube y si cuentan en general con acceso.

Para entender por qué es tan importante la identidad, aquí hay una ilustración. Supongamos que un ciberdelincuente quiere acceder a archivos confidenciales del centro de datos corporativos de una empresa. En la época anterior a la adopción generalizada de la computación en nube, el ciberdelincuente tendría que superar el firewall de la empresa que protege la red interna, o acceder físicamente al servidor entrando de manera ilegal en el edificio o sobornando a un empleado interno. El objetivo principal del delincuente sería superar el perímetro de red.

Sin embargo, con la computación en la nube, los archivos confidenciales se almacenan en un servidor remoto en la nube. Ya que los empleados de la empresa necesitan acceder a los archivos, lo hacen iniciando sesión mediante un navegador o una aplicación. Si un ciberdelincuente quiere acceder a los archivos, solo necesita las credenciales de inicio de sesión de los empleados (nombre de usuario y contraseña) y una conexión a Internet; el delincuente no tiene que superar un perímetro de red.

IAM ayuda a prevenir los ataques basados en identidad y las fugas de datos que provengan de escaladas de privilegios (cuando un usuario no autorizado tiene demasiado acceso). Por tanto, los sistemas de IAM son fundamentales para la computación en nube y para gestionar equipos en remoto.

*El perímetro de la red hace referencia a los extremos de una red interna; es un límite virtual que separa la red interna gestionada y segura del Internet no seguro y sin controlar. Todos los ordenadores de una oficina, más los dispositivos conectados como las impresoras de la oficina, están dentro de este perímetro, pero un servidor en remoto en un centro de datos que cruza el mundo no lo está.

¿Dónde encaja IAM en una arquitectura en la nube?

A menudo, IAM es un servicio en la nube que los usuarios deben atravesar para poder acceder al resto de la infraestructura en la nube de una organización. También se puede implementar en una red interna en las instalaciones de la organización. Por último, algunos proveedores públicos de nube pueden agrupar IAM con sus otros servicios.

En cambio, las empresas que utilizan una arquitectura de multinube o nube híbrida pueden utilizar un proveedor independiente para IAM. Desacoplar IAM de sus otros servicios en la nube públicos o privados les proporciona más flexibilidad: pueden mantener su identidad y acceder a su base de datos si cambian de proveedor de nube.

¿Qué es un proveedor de identidad (IdP)?

Un proveedor de identidad (IdP) es un producto o servicio que ayuda a gestionar la identidad. Un IdP suele gestionar el proceso de inicio de sesión. Los proveedores de Inicio de sesión único (SSO) entran en esta categoría. Los IdP pueden formar parte de un marco IAM, pero generalmente no ayudan con la gestión de acceso de usuarios.

¿Qué es la Identidad como servicio (IDaaS)?

La identidad como servicio (IDaaS) es un servicio en la nube que verifica la identidad. Es una oferta de SaaS de los proveedores de nube, un modo de externalizar de forma parcial la gestión de identidad. En algunos casos, IDaaS e IdP son esencialmente intercambiables, pero en otros casos, el proveedor de IDaaS ofrece funciones adicionales además de la verificación y gestión de identidad. Dependiendo de las funciones que ofrezca el proveedor de IDaaS, IDaaS puede formar parte de un marco de IAM o constituir todo el sistema de IAM.

Identidad Zero Trust e IAM

La seguridad Zero Trust es un modelo que verifica estrictamente la identidad de cada usuario y dispositivo que se conecta a los recursos de una red privada, independientemente de si el usuario o dispositivo está dentro o fuera del perímetro de la red. Zero Trust está estrechamente interrelacionado con IAM, ya que se basa en la comprobación de la identidad y en la restricción del acceso. Las empresas que implementan un modelo de perímetro de servicio de acceso seguro (SASE) deben incorporar Zero Trust como parte de su implementación.

Zero Trust utiliza la autenticación multifactor (MFA), que comprueba dos o tres de los factores de identidad enumerados anteriormente en lugar de solo uno. También requiere implementar el principio de mínimo privilegio para el control de acceso. Y lo que es más importante, una vez confirmada la identidad de una persona, Zero Trust sigue sin confiar automáticamente en las acciones de esa persona. Al contrario, cada solicitud se supervisa e inspecciona individualmente en busca de una actividad en riesgo. Más información sobre Zero Trust.

¿Cómo ayuda Cloudflare con IAM y la nube?

Cloudflare Access es un producto de IAM que supervisa el acceso de los usuarios a cualquier dominio, aplicación o ruta alojada en Cloudflare. Se integra con los proveedores de SSO y permite a los administradores alterar y personalizar los permisos de los usuarios. Cloudflare Access ayuda a aplicar políticas de seguridad tanto para los empleados internos locales como para los trabajadores en remoto.

Cloudflare se puede implementar en cualquier configuración de infraestructura en la nube, lo cual permite una mayor flexibilidad a las empresas con un despliegue de multinube o nube híbrida que incluya un proveedor de IAM.

Preguntas frecuentes

¿Qué es la gestión de identidad y acceso (IAM)?

La gestión de identidades y accesos (IAM) verifica las identidades de los usuarios y controla a qué recursos puede acceder cada usuario dentro de una organización.

¿Qué es un proveedor de identidad (IdP)?

Un proveedor de identidad (IdP) es un servicio que gestiona las identidades de los usuarios y se encarga de la autenticación de los usuarios. Los servicios de inicio de sesión único (SSO) son proveedores de identidad.

¿Cómo facilita IAM el acceso de los usuarios remotos?

IAM proporciona un método para verificar y autenticar a los usuarios tanto dentro como fuera de un entorno de oficina controlado. Esto permite a las organizaciones proporcionar acceso a recursos desde diversas ubicaciones, lo cual es esencial para dar soporte a una plantilla remota.

¿Qué son los factores de autenticación?

Los factores de autenticación son rasgos que se utilizan para verificar la identidad de un usuario. Los tres factores principales de autenticación son algo que el usuario sabe (como una contraseña), algo que el usuario tiene (como un teléfono inteligente o token) y algo físicamente intrínseco al usuario (como una huella digital).

¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor (MFA) requiere que los usuarios verifiquen su identidad utilizando dos o más factores de autenticación diferentes antes de que se les conceda acceso a una aplicación o a una red. Por ejemplo, un usuario podría insertar una clave de hardware o proporcionar su huella digital además de escribir una contraseña. La autenticación multifactor (MFA) es más segura que la autenticación de un solo factor porque es más difícil para las partes no autorizadas falsificar o robar dos factores de autenticación diferentes en lugar de uno.

¿Qué es el inicio de sesión único (SSO)?

El inicio de sesión único (SSO) permite a los usuarios acceder a numerosas aplicaciones en la nube con un solo conjunto de credenciales de inicio de sesión. SSO simplifica la gestión de acceso para los equipos informáticos. Permite a los usuarios confiar en un único conjunto de credenciales para que no tengan que memorizar múltiples contraseñas complejas ni realizar un seguimiento de varias claves MFA. Además, proporciona a las organizaciones un único lugar para implementar políticas de contraseñas y otros requisitos de seguridad, en lugar de hacerlo por separado para cada aplicación.

¿Qué es la Identidad como servicio (IDaaS)?

La identidad como servicio (IDaaS) es un servicio en la nube que verifica y gestiona las identidades de los usuarios, a menudo como parte del sistema general de IAM de una organización.

¿Qué es la Seguridad Zero Trust?

La seguridad Zero Trust es un modelo en el que se asume que las amenazas ya están presentes dentro de una red. En un modelo Zero Trust, la identidad de cada usuario y dispositivo se debe verificar estrictamente, incluso desde dentro de una red segura.

¿Qué es el principio de mínimos privilegios?

El principio de privilegio mínimo significa otorgar a los usuarios solo el acceso o los permisos mínimos necesarios para realizar su trabajo.