Come l’IAM offre sicurezza e controllo nel cloud sovrano

Jay Reddy, Senior Technology Evangelist, ManageEngine, parla di come con l’IAM le amministrazioni possano monitorare e gestire accessi e permessi.

L’IAM diventa il cuore del passaggio dell’Italia a un cloud sovrano, segnando un profondo cambiamento nel modo in cui il settore pubblico esercita il controllo operativo. Con il trasferimento dei servizi a infrastrutture nazionali condivise come il Polo Strategico Nazionale (PSN), la gestione non dipende più dalla posizione fisica dei sistemi, ma da come viene regolamentato l’accesso agli stessi. Il regolamento emanato dall’Agenzia per la Cybersicurezza Nazionale (ACN) stabilisce requisiti chiari per la forza dell’autenticazione, la gestione dei privilegi, la disciplina del ciclo di vita e l’audit, applicabili a tutti i livelli di qualificazione.

Questa direzione normativa supporta gli obiettivi del PNRR italiano e NIS2, rafforzando la governance nazionale e guidando il settore pubblico e privato verso pratiche più solide per software e infrastrutture.

La struttura di qualificazione e l’identità federata

Il regolamento ACN introduce quattro livelli di qualificazione, da QC1 a QC4, per ospitare dati e servizi classificati come ordinari, critici o strategici. I livelli QC3 e QC4 sono destinati ai carichi di lavoro più sensibili. I requisiti per l’IAM si applicano uniformemente a tutti i livelli. Garantendo un approccio coerente e affidabile.

Il PSN prevede l’utilizzo di identity provider autorevoli, permettendo di implementare pratiche coerenti tra i ministeri. L’identità federata assicura che ogni utente o account sia convalidato rispetto a una fonte nazionale attendibile.

Autenticazione multifattore e gestione dei privilegi

L’autenticazione multifattore (MFA) è obbligatoria per l’accesso a informazioni sensibili e funzioni amministrative. Si applica a personale interno, collaboratori esterni e fornitori di servizi. L’MFA diventa il controllo principale per gli accessi privilegiati, proteggendo le operazioni ad alto impatto.

L’Allegato A richiede pratiche documentate per l’assegnazione dei ruoli, la distribuzione dei privilegi e la revisione periodica dei diritti, prevenendo rischi legati all’accumulo di privilegi.

Ciclo di vita degli account e tracciabilità

La creazione, modifica e disattivazione degli account seguono procedure definite. I diritti vengono revocati immediatamente dopo cambi di ruolo o risoluzioni contrattuali. Ogni azione genera evidenze di audit verificabili, formalizzando il ciclo di vita dell’identità.

I login rappresentano fonti preziose di informazioni operative. Tutti gli eventi di accesso registrano l’identità dell’autore, il timestamp e la natura dell’azione, consentendo il rilevamento in tempo reale di attività anomale o non autorizzate.

IAM come infrastruttura operativa

La qualificazione dei servizi cloud dura al massimo 24 mesi, con documentazione aggiornata dai fornitori e supervisione continua dell’ACN. L’IAM agisce come strumento di governance operativa, traducendo autenticazione, autorizzazione e accountability in controlli verificabili.

Nel PSN, l’IAM svolge tre funzioni essenziali:

1. Assicurazione di conformità – Allineamento dinamico ai livelli di classificazione dei dati.
2. Continuità operativa – Tracciabilità e reversibilità delle azioni amministrative.
3. Contenimento dei rischi – Limitazione dei danni in caso di credenziali compromesse.

Queste funzioni mostrano come l’IAM non sia solo un controllo ausiliario, ma un’infrastruttura fondamentale che garantisce precisione e applicazione coerente delle policy.

Identità come meccanismo di controllo

L’integrazione dell’IAM nel PSN garantisce che l’utilizzo del cloud possa evolversi senza frammentare la governance. La gestione delle identità diventa quindi il meccanismo che rende operativo il controllo, tracciando ogni azione e applicando ogni privilegio secondo regole nazionali.