AAA vs IAM

Aunque ambos están relacionados con la gestión de accesos y la seguridad, tienen enfoques y propósitos distintos.

AAA (Authentication, Authorization, Accounting)

¿Qué es?
AAA es un modelo de seguridad que describe tres funciones críticas para controlar el acceso a recursos:

  1. Autenticación (Authentication): Verifica la identidad de un usuario o dispositivo.
  2. Autorización (Authorization): Decide qué acciones, recursos o datos puede acceder el usuario autenticado.
  3. Contabilidad (Accounting): Registra las actividades realizadas por el usuario en el sistema.

Propósito:
Garantizar que solo usuarios autorizados puedan acceder a recursos, hacer un seguimiento de lo que hacen y auditar estas acciones.

Dónde se usa:

  • Redes: Control de acceso a dispositivos como routers, switches y firewalls.
  • Aplicaciones y sistemas: Validación de credenciales y registro de uso.

Ejemplo práctico:

  • Autenticación: Un usuario inicia sesión en un router usando un nombre de usuario y contraseña.
  • Autorización: El sistema verifica que el usuario tiene permiso para configurar ciertas interfaces del router.
  • Contabilidad: El sistema registra los cambios realizados por el usuario (logs).

Analogia:
Es como entrar a un gimnasio:

  1. Autenticación: Presentas tu membresía para demostrar que eres miembro.
  2. Autorización: Accedes a las áreas que tu membresía permite (ejemplo: solo gimnasio, no piscina).
  3. Contabilidad: El gimnasio registra cuántas veces y qué áreas usaste.


IAM (Identity and Access Management)

¿Qué es?
IAM es un marco completo para gestionar identidades y accesos en una organización. No se limita a las tres funciones de AAA; abarca todo el ciclo de vida de una identidad, desde su creación hasta su desactivación.

Incluye:

  1. Gestión de identidades: Crear, mantener y eliminar cuentas de usuarios.
  2. Autenticación: Métodos avanzados como MFA, biometría, certificados digitales.
  3. Autorización: Gestión de roles y permisos basados en políticas.
  4. Supervisión y cumplimiento: Auditorías, control de accesos y reportes para cumplir regulaciones.

Propósito:
Garantizar que las identidades (usuarios, dispositivos, aplicaciones) tengan los permisos adecuados para acceder a recursos, reduciendo riesgos y cumpliendo normativas.

Dónde se usa:

  • Empresas: Gestión de accesos para empleados, clientes y socios.
  • Sistemas complejos: Cloud computing, aplicaciones corporativas.

Ejemplo práctico:

  • Un empleado es contratado y se le crea una cuenta en el sistema de la empresa.
  • Se le asignan roles según su trabajo (ejemplo: acceso a recursos de su departamento).
  • Se configura autenticación multifactor (MFA) para iniciar sesión.
  • Si el empleado renuncia, se revocan sus permisos y se desactiva su cuenta.

Analogia:
Es como la administración de un hotel:

  1. Crean una tarjeta de acceso para cada huésped.
  2. La tarjeta te permite entrar a ciertas áreas según tu reserva (habitaciones, gimnasio).
  3. Si te vas antes, tu tarjeta se desactiva para evitar accesos no autorizados.


Comparación: AAA vs IAM

Aspecto -> AAA || IAM
Enfoque -> AAA: Seguridad de acceso (autenticación, autorización, contabilidad). || IAM: Gestión completa de identidades y accesos.

Propósito -> AAA: Validar usuarios, controlar permisos y registrar actividades. || IAM: Gestionar todo el ciclo de vida de las identidades y accesos.

Alcance -> AAA: Centrado en procesos técnicos y específicos. || IAM: Marco amplio que incluye políticas, herramientas y procesos organizacionales.

Ejemplos de uso -> AAA: Acceso a redes, dispositivos o aplicaciones.|| IAM: Gestión de accesos empresariales, roles en la nube, usuarios externos e internos.

Métodos de autenticación -> AAA: Básico (usuario/contraseña, tokens). || IAM: Avanzado (MFA, biometría, políticas adaptativas, federación de identidades).

Auditoría -> AAA: Logs de acceso y actividades específicas. || IAM: Informes detallados de acceso y cumplimiento normativo.


¿Cómo se complementan?

  • IAM utiliza conceptos de AAA como base para implementar la autenticación, autorización y auditoría, pero lo hace de manera mucho más avanzada, gestionando identidades y accesos de forma centralizada y a gran escala.
  • En sistemas pequeños o específicos (como redes), AAA puede ser suficiente. Sin embargo, en empresas grandes o complejas, IAM es esencial para gestionar identidades y cumplir regulaciones.
Mystara - Mind Hacker - Purple TeamBlog
Todos los derechos reservados 2024
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar