O que é gerenciamento de acesso?

Juntos, o gerenciamento de acesso e o gerenciamento de identidade formam os dois pilares de uma disciplina de cibersegurança mais ampla: o gerenciamento de acesso e identidade (IAM). O IAM lida com o provisionamento e a proteção de identidades digitais e permissões de usuários em um sistema de TI.

O gerenciamento de identidade envolve a criação e a manutenção de identidades para todos os usuários de um sistema, incluindo usuários humanos (funcionários, clientes ou prestadores de serviços) e usuários não humanos (agentes de IA, dispositivos de IoT e endpoint ou cargas de trabalho automatizadas).

O gerenciamento de acesso envolve a viabilização do acesso seguro desses usuários aos dados de uma organização, aos recursos locais e aos aplicativos e ativos em nuvem. As principais funções do gerenciamento de acesso são administrar políticas de acesso de usuários, autenticar identidades de usuários e autorizar usuários válidos a realizar determinadas ações em um sistema.

Com o surgimento da computação em nuvem, das soluções de software como serviço (SaaS), do trabalho remoto e da IA generativa, o gerenciamento de acesso tornou-se um componente central da segurança da rede. As organizações devem permitir que mais tipos de usuários acessem mais tipos de recursos em mais locais, ao mesmo tempo em que evitam violações de dados e mantêm usuários não autorizados fora. 

De acordo com o Instituto Nacional de Padrões e Tecnologia dos EUA, as principais funções de gerenciamento de acesso são:

• Administração de políticas
• Autenticação
• Autorização

Políticas de acesso detalhadas regem as permissões de acesso do usuário na maioria dos sistemas de gerenciamento de acesso. As organizações podem adotar várias abordagens diferentes para definir suas políticas de acesso.

Um framework de controle de acesso comum é o controle de acesso baseado em função (RBAC), no qual os privilégios dos usuários são baseados em suas funções de trabalho. O RBAC ajuda a simplificar o processo de configuração de permissões dos usuários e mitiga o risco de dar aos usuários privilégios maiores do que aqueles de que precisam.

Por exemplo, digamos que os administradores do sistema estejam definindo permissões para um firewall de rede.

• Um representante de vendas provavelmente não teria acesso algum, visto que o papel desse usuário não o exige.
  
  
• Um analista de segurança de nível júnior pode ser capaz de consultar as configurações do firewall, mas não alterá-las.
  
  
• O diretor de segurança da informação (CISO) teria acesso administrativo total.
  
  
• Uma interface de programação de aplicativos (API) de um sistema de gerenciamento de informações e eventos de segurança (SIEM) integrado pode ser capaz de ler os logs de atividades do firewall.

As organizações podem usar outras estruturas de controle de acesso como alternativas ou em conjunto com o RBAC. Esses frameworks são:

• O controle de acesso obrigatório (MAC) aplica políticas definidas centralmente a todos os usuários, com base em níveis de liberação ou pontuações de confiança.
  
  
• O controle de acesso discricionário (DAC) permite que os proprietários de recursos definam suas próprias regras de controle de acesso para esses recursos. 
  
  
• O controle de acesso baseado em atributos (ABAC) analisa os atributos de usuários, objetos e ações para determinar se o acesso deve ser concedido. Esses atributos são um nome de usuário, um tipo de recurso e a hora do dia.

As estruturas de controle de acesso da maioria das organizações seguem o princípio do privilégio mínimo. Muitas vezes associado a estratégias de segurança zero trust, o princípio do menor privilégio afirma que os usuários devem ter apenas as permissões mais baixas necessárias para concluir uma tarefa. Os privilégios devem ser revogados quando a tarefa for concluída para ajudar a evitar riscos de segurança futuros.

Autenticação é o processo de verificar se um usuário é mesmo quem ele afirma ser.

Quando um usuário entra em um sistema ou solicita acesso a um recurso, envia credenciais chamadas de "fatores de autenticação" para confirmar sua identidade. Por exemplo, um usuário humano pode inserir uma senha ou uma leitura biométrica de impressão digital, enquanto um usuário não humano pode compartilhar um certificado digital.

As ferramentas de gerenciamento de acesso verificam os fatores enviados em relação às credenciais que elas têm no arquivo do usuário. Se corresponderem, o acesso do usuário será concedido.

Embora uma senha seja a forma mais básica de autenticação, também é uma das mais fracas. A maioria das ferramentas de gerenciamento de acesso hoje usa métodos de autenticação mais avançados. Esses métodos são:

• Autenticação de dois fatores (2FA) e autenticação multifator (MFA), nas quais os usuários devem apresentar pelo menos duas evidências para provar suas identidades.
  
  
• Autenticação sem senha, que usa credenciais diferentes de uma senha, como um fator biométrico ou uma chave de acesso FIDO.
  
  
• Logon único (SSO), que permite que os usuários acessem vários aplicativos e serviços com um conjunto de credenciais de acesso. Os sistemas de SSO geralmente usam protocolos abertos, como Security Assertion Markup Language (SAML) e OpenID Connect (OIDC), para compartilhar dados de autenticação entre serviços.
  
  
• Autenticação adaptativa, que usa inteligência artificial (IA) e aprendizado de máquina (ML) para analisar o nível de risco de um usuário com base em fatores como comportamento, postura de segurança do dispositivo e tempo. Os requisitos de autenticação mudam em tempo real conforme os níveis de risco variam, com logins mais arriscados exigindo autenticação mais forte.

A autorização é o processo de concessão aos usuários verificados os níveis apropriados de acesso a um recurso.

A autenticação e a autorização estão intimamente ligadas e a autenticação é normalmente um pré-requisito da autorização. Depois que a identidade do usuário for comprovada, o sistema de gerenciamento de acesso verificará os privilégios do usuário com base em políticas de acesso predefinidas registradas em um banco de dados central ou mecanismo de política. O sistema então autoriza o usuário a ter esses privilégios específicos durante a sessão.

Restringindo as permissões dos usuários com base em políticas de acesso, as ferramentas de gerenciamento de acesso podem ajudar a evitar ameaças internas que abusam maliciosamente de seus privilégios e usuários bem-intencionados que acidentalmente abusam de seus direitos.

Se a validação da identidade de um usuário falhar, o sistema de gerenciamento de acesso não o autoriza, impedindo-o de usar os privilégios associados à sua conta. Isso ajuda a impedir que invasores externos sequestrem e abusem dos privilégios de usuários legítimos.

As soluções de gerenciamento de acesso podem ser amplamente classificadas em duas categories: ferramentas que controlam o acesso de usuários internos, como funcionários, e ferramentas que controlam o acesso de usuários externos, como clientes. 

Os usuários internos de uma organização — funcionários, gerentes, administradores — geralmente precisam de acesso a vários sistemas, incluindo aplicativos de negócios, aplicativos de mensagens, bancos de dados da empresa, sistemas de RH e muito mais.

Quase todos os recursos internos de uma empresa são considerados confidenciais, exigindo proteção contra hackers mal-intencionados. Mas nem todo usuário interno precisa da mesma quantidade de acesso a todos os recursos internos. As organizações precisam de ferramentas sofisticadas de gerenciamento de acesso que lhes permitam controlar as permissões de acesso do usuário em um nível detalhado.

As ferramentas comuns de gerenciamento de acesso interno são:

As plataformas IAM são soluções abrangentes que integram funções essenciais de gerenciamento de acesso e identidade em um único sistema. Os recursos comuns das plataformas IAM são diretórios de usuários, ferramentas de autenticação, administração de políticas de acesso e funcionalidades de detecção e resposta a ameaças de identidade (ITDR).

O gerenciamento de acesso privilegiado (PAM) é um subconjunto do gerenciamento de acesso que rege e protege contas de usuário altamente privilegiadas (como contas de administrador) e atividades privilegiadas (como trabalhar com dados confidenciais).

Em muitos sistemas de TI, contas altamente privilegiadas recebem proteções especiais porque são alvos de alto valor que agentes maliciosos podem usar para causar danos graves.

As ferramentas de PAM isolam identidades privilegiadas do resto usando cofres de credenciais e protocolos de acesso just-in-time (JIT). O JIT oferece aos usuários autorizados acesso privilegiado a um recurso específico por um tempo limitado, mediante solicitação, em vez de conceder aos usuários permissões continuamente elevadas.

As ferramentas de governança e administração de identidades (IGA) ajudam a garantir que as políticas de acesso e os controles de acesso de uma organização atendam aos requisitos de segurança e às exigências regulatórias.

As soluções IGA oferecem ferramentas para definir e implementar políticas de acesso compatíveis ao longo do ciclo de vida de cada usuário. Algumas ferramentas de IGA também podem ajudar a automatizar os principais fluxos de trabalho de conformidade, como integração e provisionamento de usuários, avaliações de acesso, novas solicitações de acesso e desprovisionamento para usuários desativados. Essas funções proporcionam às organizações uma maior supervisão sobre as permissões e atividades dos usuários, o que facilita a detecção —e a interrupção— do uso indevido e abusivo de privilégios.

As soluções ZTNA são ferramentas de acesso remoto que seguem o princípio de zero trust de "nunca confie, sempre Verify"

Ferramentas tradicionais de acesso remoto, como redes privadas virtuais (VPNs), conectam usuários remotos a toda a rede corporativa. Por outro lado, o ZTNA conecta os usuários somente aos aplicativos e recursos específicos que eles têm permissão para acessar.

Além disso, no modelo ZTNA, os usuários nunca são implicitamente confiáveis. Todas as solicitações de acesso para todos os Recursos devem ser verificadas e validadas, independentemente da identidade ou localização do usuário. 

As organizações devem facilitar o acesso seguro aos recursos para usuários externos. Os clientes podem precisar acessar suas contas em plataformas de comércio eletrônico. Os fornecedores podem precisar de acesso aos sistemas de faturamento. Os parceiros de negócios podem precisar de acesso a dados compartilhados. As ferramentas de gerenciamento de acesso externo atendem especificamente a esses usuários externos.

Algumas organizações usam as mesmas ferramentas para gerenciamento de acesso interno e externo, mas essa estratégia nem sempre é viável. As necessidades dos usuários internos e externos podem ser diferentes. Por exemplo, os usuários externos geralmente priorizam a conveniência em vez da segurança, enquanto os usuários internos têm privilégios mais elevados que exigem proteções mais fortes.

As ferramentas de gerenciamento de acesso e identidade do cliente (CIAM) regulam as identidades digitais e a segurança de acesso para clientes e outros usuários que estão fora de uma organização.

Assim como outras ferramentas de gerenciamento de acesso, os sistemas CIAM ajudam a autenticar usuários e facilitam o acesso seguro a serviços digitais. A principal diferença é que as ferramentas CIAM enfatizam a experiência do usuário por meio da criação progressiva de perfis (permitindo que os usuários completem seus perfis ao longo do tempo), logins sociais e outras funcionalidades. 

As ferramentas de gerenciamento de acesso ajudam as organizações a facilitar o acesso seguro a recursos confidenciais para usuários autorizados, independentemente de onde eles estejam localizados.

O resultado é uma rede mais segura e eficiente. Os usuários têm o acesso ininterrupto de que precisam para realizar seus trabalhos, enquanto agentes de ameaças e usuários não autorizados são mantidos fora.