O que é gerenciamento de acesso e identidade (IAM)?

Com a ascensão da computação em nuvem, do trabalho remoto e da IA generativa, o IAM tornou-se um componente essencial da segurança de rede.

Atualmente, a rede corporativa média hospeda um número crescente de usuários humanos (funcionários, clientes, prestadores de serviços) e usuários não humanos (Agentes de IA, dispositivos de IOT e endpoint, cargas de trabalho automatizadas). Esses usuários estão distribuídos em vários locais e precisam de acesso seguro a aplicativos e recursos locais e baseados na nuvem.

Os hackers perceberam essa superfície de ataque de identidade em expansão. De acordo com o IBM® X-Force® Threat Intelligence Index, 30% dos ataques cibernéticos envolvem roubo e abuso de contas válidas.

O gerenciamento de acesso e identidade pode ajudar a facilitar o acesso seguro para usuários autorizados e, ao mesmo tempo, bloquear o acesso não autorizado de invasores externos, agentes internos maliciosos e até mesmo usuários bem-intencionados que estão usando indevidamente seus direitos de acesso. As ferramentas de IAM permitem que as organizações criem e descartem de forma segura identidades digitais, definam e apliquem políticas de controle de acesso, verifiquem os usuários e monitorem a atividade dos usuários. 

O objetivo do IAM é impedir os hackers e, ao mesmo tempo, permitir que os usuários autorizados façam facilmente tudo o que precisam fazer, mas não mais do que o permitido.

Para esse fim, as implementações de IAM têm quatro pilares:

• Administração
• Autenticação
• Autorização
• Auditoria

A administração de identidades, também conhecida como “gerenciamento de identidade” ou “gerenciamento do ciclo de vida de identidades”, é o processo de criar, manter e descartar com segurança as identidades dos usuários em um sistema.

Para facilitar o acesso seguro de usuários, as organizações precisam saber primeiro quem e o que está em seu sistema. Isso normalmente envolve atribuir a cada usuário humano e não humano uma identidade digital distinta.

Uma identidade digital é uma coleção de atributos distintivos vinculados a uma entidade específica. As identidades digitais capturam características como nome de usuário, credenciais de login, cargo e direitos de acesso.

As identidades digitais são armazenadas em um banco de dados central ou diretório que atua como uma fonte única da verdade. O sistema de IAM utiliza as informações neste banco de dados para validar os usuários e determinar as ações que eles podem realizar.

Além de integrar novos usuários, as ferramentas IAM podem atualizar identidades e permissões à medida que as funções dos usuários evoluem e desaprovisionam os usuários que deixam o sistema.

As equipes de TI e de cibersegurança podem lidar manualmente com o provisionamento e o desprovisionamento de usuários, mas muitos sistemas IAM também oferecem suporte a uma abordagem de autoatendimento. Os usuários enviam suas informações e o sistema cria automaticamente sua identidade, definindo os níveis de acesso apropriados com base em regras definidas pela organização. 

Autenticação é o processo que verifica se um usuário é mesmo quem ele afirma ser.

Quando um usuário faz login em um sistema ou solicita acesso a um recurso, ele envia credenciais — chamadas de "fatores de autenticação"— para garantir sua identidade. Por exemplo, um usuário humano pode inserir uma senha ou uma leitura biométrica de impressão digital, enquanto um usuário não humano pode compartilhar um certificado digital. O sistema de IAM verifica essas credenciais no banco de dados central. Se elas coincidirem, o acesso será concedido.

Embora uma senha seja a forma mais básica de autenticação, também é uma das mais fracas. A maioria das implementações de IAM hoje usam métodos de autenticação mais avançados, como a autenticação de dois fatores (2FA) ou a autenticação multifator (MFA), que exigem que os usuários apresentem múltiplos fatores de autenticação para provar suas identidades.

Por exemplo, quando um site exige que os usuários insiram tanto uma senha quanto um código enviado por mensagem para seu telefone, isso é um esquema de 2FA em ação.

Autorização é o processo de conceder a usuários verificados os níveis apropriados de acesso a um recurso.

A autenticação e a autorização estão intimamente ligadas e a autenticação é normalmente um pré-requisito para a autorização. Depois que um usuário comprova sua identidade, o sistema IAM verifica os privilégios associados a essa identidade no banco de dados central e autoriza o usuário de acordo com eles.

Juntas, a autenticação e a autorização formam o componente de gerenciamento de acesso do gerenciamento de acesso e identidade.

Para definir permissões de acesso do usuário, organizações diferentes adotam abordagens diferentes. Um framework de controle de acesso comum é o controle de acesso baseado em função (RBAC), no qual os privilégios dos usuários são baseados em suas funções de trabalho. O RBAC ajuda a simplificar o processo de configuração de permissões dos usuários e mitiga o risco de dar aos usuários privilégios maiores do que aqueles de que precisam.

Por exemplo, digamos que os administradores do sistema estejam definindo permissões para um firewall de rede. Um representante de vendas provavelmente não teria acesso algum, visto que o papel desse usuário não o exige. Um analista de segurança de nível júnior pode ser capaz de ver as configurações do firewall, mas não alterá-las. O diretor de segurança da informação (CISO) teria acesso administrativo total. Uma interface de programação de aplicativos (API) de um sistema integrado de gerenciamento de eventos e informações de segurança (SIEM) pode ser capaz de ler os logs de atividades do firewall.

A maioria dos frameworks de controle de acesso é projetada de acordo com o princípio do privilégio mínimo. Muitas vezes associado a estratégias de cibersegurança de zero trust, o princípio do menor privilégio afirma que os usuários devem ter apenas as permissões mais baixas necessárias para concluir uma tarefa. Seus privilégios devem ser revogados assim que a tarefa for concluída.

Auditar significa garantir que o sistema IAM e seus componentes — administração, autenticação e autorização — estejam funcionando corretamente.

A auditoria envolve o rastreamento e o registro do que os usuários fazem com seus direitos de acesso para garantir que ninguém, inclusive hackers, tenha acesso a qualquer coisa que não deva e que os usuários autorizados não abusem de seus privilégios.

A auditoria é uma função central da governança de identidade e é importante para a conformidade regulatória. Mandatos de segurança como o Regulamento Geral sobre a Proteção de Dados (GDPR), a Lei Sarbanes-Oxley (SOX) e o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), exigem que as organizações restrinjam os direitos de acesso do usuário de determinadas maneiras. Ferramentas e processos de auditoria ajudam as organizações a garantir que seus sistemas IAM atendam a requisitos e trilhas de auditoria podem ajudar a comprovar a conformidade ou identificar violações conforme o necessário.

As organizações dependem de ferramentas de tecnologia para simplificar e automatizar os principais fluxos de trabalho de IAM , como autenticação de usuários e rastreamento de suas atividades. Algumas organizações utilizam soluções pontuais para cobrir aspectos diversos do IAM, enquanto outras utilizam plataformas de IAM abrangentes que fazem tudo ou integram diversas ferramentas em um todo unificado.

Os componentes e funções principais de soluções de gerenciamento de acesso e identidade são:

Os serviços de diretório são onde os sistemas IAM armazenam e gerenciam dados sobre identidades, credenciais e permissões de acesso dos usuários. As soluções IAM podem ter seus próprios diretórios centralizados ou integrar-se a serviços de diretórios externos, como o Microsoft Active Directory e o Google Workspace.

Algumas implementações do IAM utilizam uma abordagem chamada “federação de identidade”, na qual sistemas díspares compartilham informações de identidade entre si. Um sistema atua como provedor de identidade, usando padrões abertos, como Security Assertion Markup Language (SAML) e OpenID Connect (OIDC) para autenticar usuários com segurança em outros sistemas.

Logins sociais — quando um aplicativo permite que uma pessoa use sua conta do Facebook, Google ou outra conta para fazer login — são um exemplo comum de federação de identidade.

Além de MFA e 2FA, muitas soluções de IAM oferecem suporte a métodos avançados de autenticação, como logon único (SSO), autenticação adaptável e autenticação sem senha.

Logon único (SSO) permite que os usuários acessem vários aplicativos e serviços com um único conjunto de credenciais de login. O portal de SSO autentica o usuário e gera um certificado ou token que age como uma chave de segurança para outros recursos. Os sistemas de SSO utilizam protocolos como SAML e OIDC para compartilhar chaves entre provedores de serviços.

A autenticação adaptativa, também chamada de autenticação baseada em risco, altera os requisitos de autenticação em tempo real à medida que os níveis de risco mudam. Os esquemas de autenticação adaptativa utilizam inteligência artificial (IA) e aprendizado de máquina (ML) para analisar o contexto de um login, incluindo fatores como comportamento do usuário, postura de segurança do dispositivo e tempo. Quanto mais arriscado for o login, mais autenticação o sistema exigirá.

Por exemplo, um usuário entrando na conta a partir do seu dispositivo e localização habituais pode precisar inserir apenas a senha. Esse mesmo usuário que faz login de um dispositivo não confiável ou tenta visualizar informações especialmente confidenciais pode precisar apresentar mais fatores, pois a situação agora apresenta mais riscos para a organização.

Os esquemas de autenticação sem senha substituem as senhas, notoriamente fáceis de roubar, por credenciais mais seguras. Chaves de acesso, como aquelas baseadas no popular padrão FIDO são uma das formas mais comuns de autenticação sem senha. Utilizam criptografia de chave pública para verificar a identidade do usuário.

As ferramentas de controle de acesso permitem que as organizações definam e apliquem políticas de acesso detalhadas a usuários humanos e não humanos. Além do RBAC, as estruturas comuns de controle de acesso são:

• Controle de acesso obrigatório (MAC), que impõe políticas definidas centralmente a todos os usuários com base em níveis de liberação ou pontuações de confiança.
  
  
• Controle de acesso discricionário (DAC), que permite que os proprietários dos recursos definam suas próprias regras de controle de acesso para esses recursos. 
  
  
• Controle de acesso baseado em atributos (ABAC), que analisa os atributos de usuários, objetos e ações—como o nome do usuário, o tipo de recurso e a hora do dia—para determinar se o acesso será concedido.

As ferramentas de gerenciamento de acesso privilegiado (PAM) supervisionam a segurança das contas e o controle de acesso para contas de usuários altamente privilegiadas, como administradores do sistema. Contas privilegiadas recebem proteções especiais porque são alvos de alto valor que agentes maliciosos podem usar para causar danos graves. As ferramentas de PAM isolam identidades privilegiadas do resto, usando cofres de credenciais e protocolos de acesso just-in-time para segurança extra.

As ferramentas de gerenciamento de credenciais permitem que os usuários armazenem com segurança senhas, chaves de acesso e outras credenciais em um local central. As ferramentas de gerenciamento de credenciais podem mitigar o risco de os funcionários esquecerem suas credenciais. Eles também podem incentivar uma melhor higiene de segurança, facilitando para os usuários definirem senhas diferentes para cada serviço que utilizam.

Ferramentas de gerenciamento de segredos protegem credenciais — incluindo certificados, chaves, senhas e tokens — de usuários não humanos, como aplicativos, servidores e cargas de trabalho. As soluções de gerenciamento de segredos geralmente armazenam segredos em um cofre central seguro. Quando usuários autorizados precisam acessar um sistema sensível, podem obter o segredo correspondente no cofre. 

As ferramentas de governança de identidade ajudam as organizações a auditar a atividade dos usuários e garantir a conformidade regulatória.

As principais funções das ferramentas de governança de identidade são auditar permissões de usuário para corrigir níveis de acesso inadequados, registro da atividade do usuário, aplicar políticas de segurança e sinalizar violações.

As ferramentas de detecção e resposta a ameaças de identidade (ITDR) descobrem e corrigem automaticamente ameaças baseadas em identidade e riscos à segurança, como aumento de privilégios e configurações incorretas de contas. As ferramentas ITDR são relativamente novas e ainda não são padrão em todas as implementações de IAM, mas são um componente cada vez mais comum das estratégias de segurança de identidade empresarial.

O gerenciamento de acesso e identidade do cliente (CIAM) rege as identidades digitais de clientes e outros usuários fora de uma organização. As principais funções do CIAM são a captação de dados de perfil do cliente, a autenticação de usuários e a garantia de acesso seguro a serviços digitais, como sites de comércio eletrônico.

As soluções de gerenciamento de acesso e identidade baseadas em nuvem, também chamadas de ferramentas de “identidade como serviço” (IDaaS), adotam uma abordagem de software como serviço (SaaS) para IAM.

As ferramentas IDaaS podem ser úteis em redes complexas onde usuários distribuídos fazem login a partir de Windows, Mac, Linux e dispositivos móveis para acessar recursos localizados no local e em nuvens públicas. Essas redes podem ser propensas a lacunas de fragmentação e visibilidade, mas as soluções de IAM na nuvem podem ser dimensionadas para acomodar diversos usuários, aplicativos e ativos em um único sistema de identidade.

As ferramentas IDaaS também permitem que as organizações externalizem algumas das tarefas mais demoradas e que consomem mais recursos na implementação de sistemas IAM, como a configuração de diretórios e o registro da atividade do usuário. 

À medida que as organizações adotam ambientes multinuvem, IA, automação e trabalho remoto, precisam facilitar o acesso seguro para mais tipos de usuários a mais tipos de recursos em mais locais. As soluções IAM podem melhorar tanto a experiência quanto a cibersegurança em redes descentralizadas, simplificando o gerenciamento de acesso e protegendo contra ameaças cibernéticas comuns.

A transformação digital é a norma das empresas de hoje, o que significa que a rede de TI centralizada e totalmente no local é em grande parte uma coisa do passado. As soluções e estratégias de segurança focadas no perímetro não podem proteger efetivamente as redes que abrangem dispositivos dentro e fora das instalações, serviços baseados na nuvem, aplicativos da web e equipes de usuários humanos e não humanos espalhados pelo mundo.

Consequentemente, as organizações estão fazendo da segurança da identidade um pilar central de suas estratégias de cibersegurança. Em vez de se concentrarem na edge da rede, pode ser mais eficaz protegerem usuários individuais e suas atividades, independentemente de onde ocorram.

Ao mesmo tempo, as organizações devem garantir que os usuários tenham o acesso sob demanda necessário para realizar suas tarefas e não sejam limitados por medidas de segurança excessivamente onerosas.

Os sistemas IAM oferecem às equipes de TI e segurança uma maneira centralizada de definir e aplicar políticas de acesso personalizadas e compatíveis para usuários individuais em toda a organização.

As ferramentas de IAM também podem autenticar usuários com segurança e ajudar a rastrear como as entidades usam suas permissões — recursos importantes na defesa contra ataques cibernéticos baseados em identidade, o método preferido por muitos cibercriminosos atualmente.  

De acordo com o relatório do custo das violações de dados da IBM, o roubo de credenciais é a principal causa de violações de dados, representando 16% dos ataques. Esses ataques baseados em credenciais, nos quais os hackers usam contas de usuários legítimos para acessar dados confidenciais,custam US$ 4,67 milhões e levam, em média, 246 dias para serem detectados e contidos.

As ferramentas IAM podem dificultar a execução desses ataques pelos hackers. Por exemplo, a MFA faz os cibercriminosos precisarem de mais do que apenas uma senha para entrar. Mesmo que assumam o controle de uma conta, o movimento lateral é limitado, porque os usuários têm apenas as permissões necessárias para realizar seus trabalhos e nada mais. E as ferramentas ITDR podem facilitar a identificação e a interrupção de atividades suspeitas nas contas de usuários autorizados. 

De acordo com o relatório do custo das violações de dados, a tecnologia de IAM é um fator fundamental na redução dos custos das violações, reduzindo o custo de um ataque em média em US$ 189.838.

Uma malha de identidade é uma arquitetura de identidade abrangente que une todos os sistemas de identidade em uma rede em um todo integrado. As soluções holísticas de IAM que conectam aplicações díspares e abrangem todas as funções principais de IAM são ferramentas importantes na criação dessas malhas.

As estruturas de identidade estão ficando cada vez mais populares na medida em que as organizações buscam enfrentar os desafios decorrentes do uso de diversos aplicativos com diversos sistemas de identidade. De acordo com um relatório, uma equipe média utiliza 73 aplicativos SaaS diferentes. Quando esses aplicativos têm seus próprios sistemas de identidade, a fragmentação cria problemas logísticos e falhas de segurança.

Para combater esses problemas, as organizações estão investindo em ferramentas de identity orchestration, que ajudam sistemas de identidade díspares a se comunicarem entre si.

Soluções abrangentes de IAM que lidam com todos os aspectos principais da IAM — administração de identidade, gerenciamento de acesso, governança, auditoria, PAM e CIAM — ajudam a facilitar essa orquestração. O objetivo é criar uma malha de identidade em toda a rede que permita à organização gerenciar informações de identidade e acesso para todos os aplicativos, usuários e ativos em uma única plataforma.

Além de simplificar o IAM, a abordagem integrada também pode aumentar a segurança. De acordo com o X-Force Threat Intelligence Index, a consolidação de soluções de identidade é uma das formas mais eficazes de controlar a proliferação de identidades e proteger contra ataques baseados em identidades.

A IA tradicional baseada em regras faz parte da maneira como o IAM funciona há muito tempo, automatizando fluxos de trabalho como autenticação e trilhas de auditoria. No entanto, a chegada da IA generativa apresenta novos desafios e novas oportunidades.

Entre os novos aplicativos impulsionados por grandes modelos de linguagem (LLMs) e Agentes de IA autônomos, a IA generativa está preparada para impulsionar um aumento considerável no número de identidades não humanas na rede corporativa. Essas identidades já superam o número de humanos em 10:1 em uma empresa típica.¹ Em breve, essa proporção poderá ser muito maior.  

Essas identidades não humanas são alvos comuns para invasores porque geralmente têm níveis de acesso relativamente altos e credenciais mal protegidas.

No entanto, as ferramentas de IAM podem mitigar os riscos de cibercriminosos tomarem conta de contas de IA. Técnicas e ferramentas comuns de gerenciamento de acesso privilegiado, como rotação automática de credenciais e cofres seguros de credenciais, podem dificultar o roubo de credenciais por hackers.

A IA também tem casos de uso positivos para o IAM. De acordo com o IBM® Institute for Business Value, muitas organizações já usam IA para ajudar a gerenciar a verificação e autorização do usuário (62%) e para controlar riscos, conformidade e segurança (57%). As ferramentas de IA generativa podem elevar esses usos.

Por exemplo, algumas ferramentas de IAM estão implementando chatbots com tecnologia LLM, que permitem que as equipes de segurança usem linguagem natural para analisar conjuntos de dados, criar novas políticas e sugerir níveis de acesso personalizados para os usuários.