¿Término general para 'autenticación' y 'autorización'?

41

Internet está lleno de preguntas de tipo 'autenticación frente a autorización' . No estoy preguntando eso aquí. Me pregunto si hay algún término general que abarque ambos.

He visto a autenticación denominada 'gestión de identidad' y autorización denominada 'control de acceso'.

Pero incluso AWS no tenía un buen término para ambos juntos, por lo que creó IAM.

De nuevo, si la autenticación está demostrando quién (como principal) que eres, y la autorización se refiere a los niveles de acceso del principal autenticado, entonces estoy buscando un término de seguridad general que se aplique a ambos (por lo tanto, regir quién puede hacer qué para un recurso particular). ¡¿Esto existe ?!

    
pregunta smeeb 07.01.2016 - 12:33
fuente

5 respuestas

65

De acuerdo con la guía de estudio CISSP, el control de acceso incluye IAAA (Identificación, autenticación, autorización y responsabilidad).

Entonces, si no te importa el resto, puedes llamar a Autenticación y Autorización como Control de acceso .

Donde:

Identificación: Nombre de usuario

Autenticación: Nombre de usuario + Contraseña (en un factor de autenticación, caso simple)

Autorización: acceso a los recursos una vez autenticados

Contabilidad: seguimiento de quién hizo qué

    
respondido por el Ijaz Ahmad Khan 07.01.2016 - 13:49
fuente
9

Diría que lo más cercano que puedo pensar es en el marco de Autenticación, Autorización y Contabilidad, a menudo abreviado como AAA.

  

Autenticación, autorización y contabilidad (AAA) es un término para   marco para controlar de forma inteligente el acceso a los recursos informáticos,   hacer cumplir las políticas, auditar el uso y proporcionar la información   Es necesario facturar por los servicios. Estos procesos combinados son   Se considera importante para una gestión y seguridad de red efectivas.

    
respondido por el TheJulyPlot 07.01.2016 - 12:38
fuente
3

El único término que viene a la mente como gobernante de ambos es 'Gestión de acceso' Con eso quiero decir un sistema que implementa autenticación, autorización y contabilidad. (a menudo llamado un marco de AAA)

Estos términos no comparten realmente un punto en común hasta que comienzas a implementar un sistema que los requiere.

    
respondido por el LvB 07.01.2016 - 12:41
fuente
0

La mayoría de las firmas de analistas llaman a este espacio Identity & Gestión de acceso (IAM). También es el nombre del espacio que los vendedores utilizan para sus productos. Junto a IAM hay otro espacio llamado IAG o Identity & Access Governance, que tiene más que ver con el tiempo de revisión, mientras que IAM es más definición y tiempo de ejecución.

Por último, Gartner & Kuppinger Cole también usa EAM (Externalized Authorization Management) y DAM (Dynamic Authorization Management) para las especificaciones de control de acceso.

    
respondido por el David Brossard 17.08.2016 - 18:41
fuente
-1

La respuesta a su pregunta depende del contexto en el que se usan los términos. En el nivel más alto de abstracción, el término general es Aseguramiento de la información , donde los 5 pilares son:

  • Disponibilidad
  • Integridad
  • autenticación
  • Confidencialidad
  • No repudio

Para que quede claro, autenticación y autorización son un aspecto de Seguridad de la información . El objetivo de hacer cumplir, con un alto grado de confianza, los pilares de Aseguramiento de la información , en particular el no repudio.

Para profundizar más, ambos términos se encuentran dentro de Aseguramiento de la información y, por asociación, el espacio de Seguridad de la información. principalmente en:

  • Gestión de identidad (IdM) o
  • Gestión de acceso e identidad (IdAM)

IAM es el término más común, especialmente si trabajas en un gobierno o en grandes empresas donde normalmente encontrarás más de 10000 identidades. Para su interés, consulte las directivas y directrices más recientes del Departamento de Defensa (EE. UU.) Y los Centros nacionales de seguridad cibernética (Reino Unido) here y here respectivamente.

Definiciones y explicaciones

La administración de identidad y acceso (IdAM) es un aspecto de la seguridad de la información y abarca tecnologías y procesos que incluyen los dos términos en su pregunta.

Gobierno de identidad : es un proceso en IdAM. Es la gestión de políticas que gobierna:

  • el ciclo de vida de extremo a extremo (creación / cambio / movimiento / final de vida) de las identidades (Humano / Máquina / Artificial) en sistemas heterogéneos.
  • la jerarquía de acceso a los activos de la organización que se otorgará a las identidades establecidas (por supuesto, de acuerdo con su función y responsabilidades para con la empresa).
  • cumplimiento con las regulaciones externas / internas como ISO 27001, GDPR, HIPAA.

Hay otras funciones, pero esas 3 son las principales que creo. En esta práctica, está creando una identidad como, por ejemplo, un administrador de frecuencia de red, y determinando qué privilegios debería tener esa identidad. También puede llegar a determinar qué áreas de un edificio, qué computadoras, qué impresoras, qué dispositivo móvil puede usar esa identidad, o incluso bloquear grupos de dispositivos para un tipo de identidad específico. Esto en efecto es la planificación administrada de la autorización para asociarse con una identidad. Encontrará a sus analistas de negocios, arquitectos empresariales, especialistas en cumplimiento, especialistas en seguridad de la información y auditores de la información en este nivel del juego.

Administración de acceso : es el análisis y la respuesta para

  • violaciones a las reglas de acceso: ¿qué identidad está violando su política de acceso asignada?
  • Acceda a los riesgos, específicamente a la generación de perfiles y la mitigación de dichos riesgos. ¿Cuál es el alcance de esta infracción y cómo respondemos a ella? ¿Necesita más análisis? En caso de que estén catalogados y agregados a vectores de ataque conocidos, etc.
  • necesidades de aprovisionamiento en tiempo real: ¿el acceso está disponible? Es decir, ¿es oportuno el acceso a los activos? No es bueno otorgar acceso a un activo con 5 días de retraso.

Como puede ver, el control de acceso está estrechamente vinculado a la gobernabilidad porque el acceso apropiado (desde una perspectiva de implementación técnica de aseguramiento de la información) se deriva de las políticas que (más bien deberían) ya han sido establecidas por la autoridad de Identity Governance dentro del Empresa. En esta práctica, el enfoque es la implementación técnica de los servicios de autenticación para determinar con un alto grado de confianza que la identidad es quien dice ser y que cumple con los dictados de las políticas establecidas. Encontrará especialistas en seguridad cibernética, analistas de incidentes y respuestas, especialistas en infraestructura (red / almacenamiento / base de datos), evaluadores de pluma, especialistas en plataformas, especialistas en software e inteligencia analítica que juegan a este nivel.

Es impropio ver la autorización y la autenticación de forma aislada, en lugar de eso, reconozca que son términos ampliamente utilizados dentro del aseguramiento de la información y la seguridad de la información.

    
respondido por el TheJackal 05.09.2018 - 17:33
fuente

Lea otras preguntas en las etiquetas