O que é gerenciamento de acesso e identidade (IAM)?

A rede corporativa média abriga usuários humanos (funcionários, clientes, contratados) e não humanos (bots, IoT e dispositivos de endpoint, cargas de trabalho automatizadas). Com o aumento do trabalho remoto e da computação em nuvem, esses usuários estão cada vez mais distribuídos, assim como os recursos que eles precisam acessar.

As organizações podem ter dificuldade em acompanhar o que todos esses usuários estão fazendo com aplicações e ativos espalhados em localizações locais, remotas e baseadas na nuvem. Essa falta de controle representa sérios riscos. Os hackers podem invadir uma rede sem serem detectados. Agentes internos maliciosos podem abusar de seus direitos de acesso. Até mesmo usuários benignos podem violar acidentalmente os regulamentos de proteção de dados.

As iniciativas de IAM podem ajudar a simplificar o controle de acesso, protegendo ativos sem interromper o uso legítimo desses ativos. Os sistemas de gerenciamento de acesso e identidade atribuem a cada usuário uma identidade digital distinta, com permissões adaptadas à função do usuário, às necessidades de conformidade e a outros fatores. Dessa forma, o IAM garante que apenas os usuários certos possam acessar os recursos certos pelos motivos certos, enquanto o acesso e as atividades não autorizadas são bloqueados.

O objetivo do IAM é impedir os hackers e, ao mesmo tempo, permitir que os usuários autorizados façam facilmente tudo o que precisam fazer, mas não mais do que o permitido. As implementações do IAM usam uma variedade de ferramentas e estratégias para atingir esse objetivo, mas todas tendem a seguir a mesma estrutura básica.

Um sistema IAM típico tem um banco de dados ou um diretório de usuários. Esse banco de dados contém detalhes sobre quem é cada usuário e o que ele pode fazer em um sistema de computador. À medida que os usuários navegam por um sistema, o IAM utiliza as informações no banco de dados para verificar suas identidades, monitorar suas atividades e garantir que eles façam apenas o que o banco de dados permite que eles façam.

Para uma compreensão mais profunda de como o IAM funciona, é útil analisar os quatro componentes principais das iniciativas de IAM: gerenciamento do ciclo de vida da identidade, controle de acesso, autenticação e autorização e governança de identidade.

O gerenciamento do ciclo de vida da identidade é o processo de criação e manutenção de identidades de usuários digitais para cada usuário humano e não humano em um sistema.

Para monitorar a atividade do usuário e aplicar permissões personalizadas, as organizações precisam diferenciar os usuários. O IAM faz isso atribuindo a cada usuário uma identidade digital. Identidades digitais são coleções de atributos distintos que informam ao sistema quem ou o que cada usuário é. As identidades geralmente incluem características como nome de usuário, credenciais de login, número de identificação, cargo e direitos de acesso.

As identidades digitais são normalmente armazenadas em um banco de dados ou diretório central, que atua como uma fonte de verdade. O sistema de IAM utiliza as informações neste banco de dados para validar os usuários e determinar o que eles podem ou não fazer.

Em algumas iniciativas de IAM, as equipes de TI ou cibersegurança lidam manualmente com a integração de usuários, atualizando as identidades ao longo do tempo e desligando ou desprovisionando os usuários que saem do sistema. Algumas ferramentas de IAM permitem uma abordagem de autoatendimento. Os usuários fornecem suas informações e o sistema cria automaticamente sua identidade e define os níveis apropriados de acesso.

Identidades digitais distintas não apenas ajudam as organizações a rastrear usuários, mas também permitem que as empresas definam e apliquem políticas de acesso mais granulares. O IAM permite que as empresas concedam permissões de sistema diferentes para identidades diferentes, em vez de conceder a cada usuário autorizado os mesmos privilégios.

Atualmente, muitos sistemas de IAM usam controle de acesso baseado em função (RBAC). No RBAC, os privilégios de cada usuário são baseados em sua função de trabalho e nível de responsabilidade. O RBAC ajuda a simplificar o processo de configuração de permissões dos usuários e mitiga os riscos de dar aos usuários privilégios maiores do que aqueles de que precisam.

Digamos que uma empresa esteja definindo permissões para um firewall de rede. Um representante de vendas provavelmente não teria acesso algum, pois seu trabalho não exige isso. Um analista de segurança de nível júnior pode ser capaz de visualizar as configurações do firewall, mas não alterá-las. O diretor de segurança da informação (CISO) teria acesso administrativo total. Uma API que integra o SIEM da empresa ao firewall pode ser capaz de ler os registros de atividades do firewall, mas não ver mais nada.

Para uma maior segurança, os sistemas de IAM também podem aplicar o princípio do menor privilégio às permissões de acesso do usuário. Muitas vezes associado a estratégias de cibersegurança zero trust, o princípio do privilégio mínimo afirma que os usuários só devem ter as permissões mais baixas necessárias para concluir uma tarefa, e os privilégios devem ser revogados assim que a tarefa for concluída.

De acordo com o princípio do menor privilégio, muitos sistemas de IAM têm métodos e tecnologias distintos para o gerenciamento de acesso privilegiado (PAM). O PAM é a disciplina da cibersegurança que supervisiona a segurança das contas e o controle de acesso para contas de usuários altamente privilegiadas, como administradores de sistema.

As contas privilegiadas são tratadas com mais cuidado do que outras funções do IAM porque o roubo dessas credenciais permitiria que os hackers fizessem o que quisessem. As ferramentas de PAM isolam identidades privilegiadas do resto, usando cofres de credenciais e protocolos de acesso just-in-time para segurança extra.

As informações sobre os direitos de acesso de cada usuário geralmente são armazenadas no banco de dados central do sistema de IAM como parte da identidade digital de cada usuário. O sistema de IAM utiliza essas informações para fazer cumprir os níveis de privilégio distintos de cada usuário.

Autenticação e autorização são como os sistemas de IAM aplicam políticas de controle de acesso personalizado na prática.

Autenticação é o processo de determinar que um usuário, humano ou não humano, é quem ele afirma ser. Quando um usuário faz login em um sistema ou solicita acesso a um recurso, ele envia credenciais para atestar sua identidade. Por exemplo, um usuário humano pode inserir uma senha, enquanto um usuário não humano pode compartilhar um certificado digital. O sistema de IAM verifica essas credenciais no banco de dados central. Se elas coincidirem, o acesso será concedido.

Embora uma combinação de nome de usuário e senha seja a forma mais básica de autenticação, também é uma das mais fracas. Por isso, a maioria das implementações de IAM hoje usa métodos de autenticação mais avançados.

Depois que um usuário é autenticado, o sistema de IAM verifica os privilégios conectados à sua identidade digital no banco de dados. O sistema de IAM autoriza o usuário a acessar apenas os recursos e executar as tarefas que suas permissões permitem.

A governança de identidade é o processo de rastrear o que os usuários fazem com os direitos de acesso. Os sistemas de IAM monitoram os usuários para garantir que eles não abusem de seus privilégios e para capturar hackers que possam ter entrado na rede.

A governança de identidade é importante para a conformidade regulatória. As empresas geralmente elaboram suas políticas de acesso para alinhá-las a mandatos de segurança, como o General Data Protection Regulation (GDPR) ou o Payment Card Industry Data Security Standard (PCI-DSS). Ao rastrear a atividade do usuário, os sistemas de IAM ajudam as empresas a garantir que suas políticas funcionem conforme o esperado. Os sistemas de IAM também podem gerar trilhas de auditoria para ajudar as empresas a demonstrar conformidade ou identificar violações conforme necessário.

Muitos fluxos de trabalho importantes de IAM, como autenticação de usuários e rastreamento de suas atividades, são difíceis ou totalmente impossíveis de serem feitos manualmente. Em vez disso, as organizações dependem de ferramentas de tecnologia para automatizar os processos de IAM.

No passado, as organizações costumavam utilizar soluções pontuais para gerenciar diferentes partes do IAM, como, por exemplo, uma solução para cuidar da autenticação do usuário, outra para impor políticas de acesso e uma terceira para fiscalizar a atividade do usuário.

Hoje em dia, as soluções de IAM geralmente são plataformas abrangentes que fazem tudo ou integram diversas ferramentas em um todo unificado. Embora haja muita variação nas plataformas de IAM, todas elas tendem a compartilhar funcionalidades básicas comuns, como:

• Diretórios centralizados ou integrações com serviços de diretórios externos, como o Microsoft Active Directory e Google Workspace.
  
  
• Fluxos de trabalho automatizados para criar, atualizar e remover identidades digitais.
  
  
• A capacidade de criar uma malha de identidade independente de produto em toda a rede que permite à organização gerenciar a identidade e o acesso de todos os aplicativos e ativos, incluindo aplicativos legados, por meio de um único diretório confiável.
  
  
• Opções de autenticação integradas, como MFA, SSO e autenticação adaptativa.
  
  
• Funções de controle de acesso, que permitem que as empresas definam políticas de acesso granulares e as apliquem a usuários em todos os níveis, incluindo contas privilegiadas.
  
  
• Recursos de rastreamento para monitorar usuários, sinalizar atividades suspeitas e garantir a conformidade.
  
  
• Recursos de gerenciamento de acesso e identidade do cliente (CIAM), que estendem o gerenciamento do ciclo de vida de identidade, a autenticação e as medidas de autorização para portais digitais para clientes, parceiros e outros usuários que estão fora da organização.

Algumas soluções de IAM são criadas para ecossistemas específicos. Por exemplo, as plataformas Amazon Web Services (AWS) IAM e Google Cloud IAM controlam o acesso aos recursos hospedados nessas respectivas nuvens.

Outras soluções de IAM, como as produzidas pela Microsoft, IBM, Oracle e outras, devem funcionar para todos os recursos em uma rede corporativa, independentemente de onde estejam hospedados. Essas soluções de IAM podem atuar como provedores de identidade para todos os tipos de serviços, usando padrões abertos como SAML e OpenID Connect (OIDC) para trocar informações de autenticação de usuários entre aplicações.

Cada vez mais, as soluções de gerenciamento de acesso e identidade estão migrando para ambientes externos e adotando um modelo de software como serviço (SaaS). Chamadas de "identidade como serviço" (IDaaS) ou "autenticação como serviço" (AaaS), essas soluções de IAM baseadas na nuvem oferecem alguns recursos que as ferramentas locais podem não ter.

As ferramentas de IDaaS podem ser úteis em redes corporativas complexas, onde usuários distribuídos fazem login em vários dispositivos (Windows, Mac, Linux e dispositivos móveis), para acessar recursos localizados no local e em nuvens privadas e públicas. Embora as ferramentas de IAM locais possam não acomodar facilmente tantos usuários e recursos diferentes em diferentes locais, a IDaaS geralmente pode.

A IDaaS também pode ajudar as organizações a estender os serviços de IAM a prestadores de serviços, clientes e outras funções que não sejam funcionários. Isso pode ajudar a simplificar as implementações de IAM, pois a empresa não precisa usar sistemas diferentes para usuários diferentes.

As ferramentas de IDaaS também permitem que as empresas deleguem algumas das tarefas do IAM que consomem mais tempo e recursos, como a criação de novas contas de usuário e a autenticação de solicitações de acesso e governança de identidade.

As iniciativas de IAM podem ajudar a atender a vários casos de uso que abrangem cibersegurança, operações comerciais e muito mais.

Com o surgimento de ambientes multinuvem, IA e automação e trabalho remoto, a transformação digital significa que as empresas precisam facilitar o acesso seguro de mais tipos de usuários a mais tipos de recursos em mais locais.

Os sistemas de IAM podem centralizar o gerenciamento de acesso para todos esses usuários e recursos, incluindo usuários não funcionários e não humanos. Um número crescente de plataformas de IAM está incorporando ou integrando-se a ferramentas de CIAM, permitindo que as organizações gerenciem o acesso de usuários internos e externos a partir do mesmo sistema.

Atualmente, as empresas mantêm forças de trabalho remotas e híbridas, e a rede corporativa média apresenta uma combinação de sistemas locais legados e aplicações e serviços mais recentes baseados em nuvem. As soluções de IAM podem otimizar o controle de acesso em ambientes complexos como esses.

Funcionalidades como SSO e acesso adaptativo permitem que os usuários se autentiquem com o mínimo de atrito e, ao mesmo tempo, protegem ativos vitais. As organizações podem gerenciar identidades digitais e políticas de controle de acesso para todos os sistemas a partir de uma única solução de IAM central. Em vez de implementar diferentes ferramentas de identidade para diferentes ativos, sistemas de IAM abrangentes criam uma fonte única da verdade, gerenciamento e imposição para todo o ambiente de TI.

Os sistemas de IAM, especialmente aqueles compatíveis com SSO, permitem que os usuários acessem vários serviços com uma única identidade em vez de criar contas diferentes para cada serviço. Isso reduz significativamente o número de contas de usuários que as equipes de TI devem gerenciar. O crescimento das soluções BYOI (Bring Your Own Identity), que permitem aos usuários gerenciar suas identidades e transferi-las entre sistemas, também pode ajudar a simplificar o gerenciamento de TI.

Os sistemas de IAM podem simplificar o processo de atribuição de permissões de usuários usando métodos de RBAC que definem automaticamente os privilégios do usuário com base na função e nas responsabilidades. As ferramentas de IAM podem oferecer às equipes de TI e de segurança uma plataforma única para definir e impor políticas de acesso a todos os usuários.

Normas como GDPR, PCI-DSS e SOX exigem políticas rígidas sobre quem pode acessar dados e para quais finalidades. Os sistemas de IAM permitem que as empresas definam e apliquem políticas formais de controle de acesso que atendam a essas normas. As empresas também podem rastrear a atividade do usuário para comprovar a conformidade durante uma auditoria.

De acordo com o relatório do custo das violações de dados da IBM, o roubo de credenciais é a principal causa das violações de dados. Os hackers frequentemente atacam contas superprovisionadas, com permissões mais altas do que o necessário. Essas contas costumam ser menos protegidas do que as contas de administrador, mas permitem que os hackers acessem vastas áreas do sistema.

O IAM pode ajudar a impedir ataques baseados em credenciais ao adicionar camadas extras de autenticação, para que os hackers precisem de mais do que apenas uma senha para acessar dados confidenciais. Mesmo que um hacker entre, os sistemas de IAM ajudam a evitar movimento lateral. Os usuários têm apenas as permissões de que precisam e nada mais. Usuários legítimos podem acessar todos os recursos de que precisam sob demanda, enquanto atores maliciosos e ameaças internas têm limitações em suas ações.