Para abordarmos o tema de gerenciamento de identidade e acessos, vamos falar de IAM (Identity and Access Management). O IAM é utilizado para prevenir acessos indevidos, ou seja, ao mesmo tempo que permite que usuários autorizados executem suas funções de forma eficaz, sem ultrapassar os limites das permissões que possuem. As soluções de IAM empregam uma gama de instrumentos e métodos para atingir essa meta, porém geralmente seguem uma estrutura padrão.
Em um sistema IAM tradicional, há um banco de dados ou diretório de usuários, contendo dados sobre os usuários e as ações que eles podem executar no sistema. Conforme os usuários interagem com o sistema, o IAM analisa essas informações para confirmar suas identidades, acompanhar suas atividades e assegurar que apenas as tarefas autorizadas sejam executadas.
Para um aprofundamento melhor de como o IAM funciona, é útil avaliar os quatro componentes principais das iniciativas de IAM:
- Gerenciamento do ciclo de vida da identidade;
- Controle de acesso;
- Autenticação e autorização; e
- Governança de identidade.
Gerenciamento do ciclo de vida da identidade
A administração do ciclo de vida da identidade implica na criação e manutenção de identidades digitais para cada usuário em um sistema. As entidades devem diferenciar usuários para acompanhar suas atividades e conceder permissões personalizadas. As identidades digitais, sob a administração do IAM, abrangem características como nome, senha, número de identificação e direitos de acesso.
Essas informações são guardadas em um banco de dados central, utilizado para verificar usuários e estabelecer suas permissões. A administração pode ser feita manualmente pelas equipes de tecnologia da informação ou segurança, ou automatizada por meio de ferramentas de autoatendimento, nas quais os usuários estabelecem suas identidades e níveis de acesso.
Controle de acesso
As empresas podem rastrear usuários e estabelecer políticas de acesso personalizadas, concedendo permissões específicas para cada função. Alguns sistemas de gerenciamento de acesso (IAM) empregam o controle de acesso baseado em função (RBAC), no qual as permissões são ajustadas de acordo com a função do usuário, minimizando o perigo de privilégios demais.
O princípio do menor privilégio assegura que os usuários obtenham somente as autorizações necessárias para suas funções. Ademais, os sistemas IAM empregam a administração de acesso privilegiado (PAM) para gerir contas de elevada autoridade, utilizando cofres de credenciais e protocolos de acesso em tempo real. Os dados relativos às permissões são guardados em um banco de dados para gerenciar os níveis de acesso.
Autenticação e autorização
As políticas de controle de acesso personalizadas são implementadas nos sistemas IAM através de autenticação e autorização. A autenticação garante a identidade de um usuário, através de credenciais como senhas para usuários humanos ou certificados digitais para usuários não humanos. O sistema confronta essas senhas com o banco de dados central para conceder acesso. Apesar da combinação usual de nome de usuário e senha, é vista como insuficiente, o que leva várias implementações de IAM a optar por métodos de autenticação mais sofisticados, como:
Autenticação multifator (MFA)
A autenticação multifator (MFA) exige que os usuários forneçam dois ou mais fatores de autenticação para provar suas identidades. Fatores comuns incluem um código de segurança que é enviado para o telefone do usuário, uma chave de segurança física ou biometria, como escaneamentos de impressão digital.
Logon único (SSO)
O logon único (SSO) permite que os usuários acessem vários aplicativos e serviços com um conjunto de credenciais de login. O SSO autentica o usuário e gera um certificado ou token que atua como uma chave de segurança para outros recursos. Os sistemas SSO usam protocolos abertos como Security Assertion Markup Language (SAML) para compartilhar chaves livremente entre diferentes provedores de serviços.
Autenticação adaptável
A autenticação adaptativa, também conhecida como baseada em risco, emprega Inteligência Artificial e Aprendizado de Máquina para modificar as regras de autenticação de acordo com o grau de risco detectado em tempo real. Esta estratégia requer uma autenticação mais estrita para tarefas arriscadas, tornando mais difícil o acesso de invasores ou ameaças internas a ativos delicados.
Por exemplo, um usuário que acessa de um dispositivo e local habituais pode necessitar apenas da sua senha, ao passo que, ao utilizar um dispositivo não confiável ou procurar informações confidenciais, pode ser solicitada uma autenticação extra. Depois de autenticado, o sistema IAM analisa os direitos do usuário no banco de dados e libera acesso apenas aos recursos e atividades que foram previamente autorizados.
Governança de identidade
Um usuário que se conecta através do seu aparelho e local habituais pode necessitar apenas da sua senha, dado que isso implica um risco reduzido. Contudo, se você se conectar a partir de um dispositivo não confiável ou tentar acessar dados confidenciais, pode ser solicitada uma autenticação extra. Depois de fazer login, o sistema IAM analisa os direitos do usuário e seus acessos ao banco de dados. Ademais, os sistemas IAM criam rotas de auditoria para auxiliar as organizações a assegurar a conformidade e detectar potenciais infrações.
Soluções e serviços IAM
Diversos processos de IAM cruciais, como a autenticação de usuários e o monitoramento de suas atividades, são extremamente complexos ou completamente inviáveis de serem realizados manualmente. Ao invés disso, as empresas recorrem a recursos tecnológicos para automatizar os procedimentos de IAM.
Antigamente, as empresas empregavam soluções específicas para administrar diversos aspectos do IAM, como uma solução para autenticar o usuário, outra para estabelecer políticas de acesso e uma terceira para monitorar as ações do usuário.
Atualmente, as soluções de IAM são comumente plataformas completas que realizam tudo ou combinam várias ferramentas em um único conjunto unificado. Apesar da grande diversidade entre as plataformas de IAM, todas tendem a compartilhar funcionalidades básicas, tais como:
- Centralização de diretórios ou conexão com serviços externos, como Microsoft Active Directory e Google Workspace.
- Processos automatizados para a criação, atualização e eliminação de identidades digitais.
- Estrutura de identidade unificada que possibilita a administração de todos os aplicativos e ativos por meio de um único diretório de confiança, incluindo aplicativos antigos.
- Soluções integradas de autenticação, tais como MFA, SSO e autenticação flexível.
- Controle de acesso escalonado, possibilitando estabelecer e implementar políticas para todas as categorias de usuários, inclusive para contas de privilégios.
- Ferramentas de rastreamento para supervisionar ações, detectar comportamentos duvidosos e assegurar a conformidade.
- Funções do CIAM para administrar identidades e acesso de clientes, parceiros e outros utilizadores externos.
Gerenciamento de identidade e acesso à nuvem
Os sistemas de gestão de identidade e acesso estão migrando para modelos baseados em nuvem, como o “identidade como serviço” (IDaaS) ou “autenticação como serviço” (AaaS), oferecendo funcionalidades que as ferramentas locais podem não ter. O IDaaS é especialmente útil em redes complexas, onde usuários de diferentes dispositivos (Windows, Mac, Linux, móveis) acessam recursos em ambientes locais e na nuvem.
Ele permite que empresas gerenciem acessos para colaboradores temporários, clientes e outras funções, simplificando as implementações de IAM ao centralizar o gerenciamento de usuários. Além disso, o IDaaS permite delegar tarefas como criação de contas, autenticação e gestão de identidade, economizando tempo e recursos.
Por que gerenciar identidade e acesso é importante?
As iniciativas de IAM podem ajudar a atender a diversos casos de uso que abrangem segurança cibernética, operações comerciais e muito mais, como por exemplo:
Transformação digital
Com o surgimento de ambientes multinuvem, Inteligência Artificial, automação e trabalho à distância, a transformação digital implica que as organizações devem proporcionar um acesso seguro a mais usuários a uma variedade de recursos em mais locais.
Os sistemas de Gestão de Acesso IAM têm a capacidade de unificar a gestão de acesso para todos esses usuários e recursos, incluindo usuários não empregados e humanos. Atualmente, um número cada vez maior de plataformas IA incorporam ou se conectam a ferramentas CIAM, possibilitando que as empresas administrem o acesso para usuários internos e externos de um mesmo sistema.
Gerenciamento de identidade e acesso no local de trabalho
Atualmente, as organizações contam com equipes de trabalho remotas e híbridas, com a média rede empresarial mesclando sistemas antigos no local com aplicativos e serviços mais recentes baseados na nuvem. As ferramentas de IAM têm a capacidade de simplificar o gerenciamento de acesso em ambientes complexos.
Ferramentas como SSO e acesso flexível possibilitam que os usuários se identifiquem com o mínimo de atrito, enquanto salvaguardam ativos cruciais. As empresas têm a capacidade de administrar identidades digitais e políticas de controle de acesso para todos os sistemas através de uma única solução IAM unificada. Os sistemas IAM completos, ao invés de implementar diversas ferramentas de identidade para diversos ativos, estabelecem uma única fonte de verdade, administração e utilização para todo o ambiente de TI.
Gestão de TI
Atualmente, as organizações vêm contando com equipes de trabalho remotas e híbridas, com a média rede empresarial mesclando sistemas antigos no local com aplicativos e serviços mais recentes baseados na nuvem. As ferramentas de IAM têm a capacidade de simplificar o gerenciamento de acesso em ambientes complexos.
Ferramentas como SSO e acesso flexível possibilitam que os usuários se identifiquem com o mínimo de atrito, enquanto salvaguardam ativos cruciais. As empresas têm a capacidade de administrar identidades digitais e políticas de controle de acesso para todos os sistemas através de uma única solução IAM unificada.
Os sistemas IAM completos, ao invés de implementar diversas ferramentas de identidade para diversos ativos, estabelecem uma única fonte de verdade, administração e utilização para todo o ambiente de TI e segurança uma plataforma única para definir e impor políticas de acesso para todos os usuários.
Conformidade regulatória
Normas como GDPR, PCI-DSS e SOX requerem políticas estritas sobre quem tem permissão para acessar dados e para que finalidades. Os sistemas IAM possibilitam que as organizações estabeleçam e implementem políticas formais de controle de acesso que cumpram tais normas. As organizações também têm a possibilidade de monitorar as ações do usuário para comprovar a conformidade durante uma auditoria.
Segurança de rede e dados
Outro exemplo é o furto de credenciais que é um dos principais motivos para violações de dados. Geralmente, os cibercriminosos visam contas superprovisionadas com permissões superiores às necessárias. Normalmente, essas contas são menos seguras que as de administrador, porém possibilitam que os invasores tenham acesso a vastas áreas do sistema.
O IAM pode prevenir ataques baseados em credenciais, implementando camadas complementares de autenticação para que os atacantes necessitem de mais do que uma senha para acessar informações sigilosas. Ainda que um invasor entre, os sistemas IAM contribuem para prevenir o deslocamento lateral. Os usuários têm apenas as permissões de que precisam e nada mais. Usuários legítimos podem acessar todos os recursos de que precisam sob demanda, enquanto atores mal-intencionados e ameaças internas são limitados no que podem fazer.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
