Publicado em: 22 de janeiro de 2024
Colaboradores: Matthew Kosinski, Amber Forrest
IAM é a gestão de identidade e acesso de usuários. Uma disciplina de cibersegurança que gerencia como os usuários acessam recursos digitais de uma empresa e o que eles podem fazer com esses recursos, visando proteger informações contra ameaças e outorgando permissões exatas para cada função.
A rede corporativa média abriga usuários humanos (funcionários, clientes, contratados) e não humanos (bots, IoT e dispositivos de endpoint, cargas de trabalho automatizadas). Com o aumento do trabalho remoto e da computação em nuvem, esses usuários estão cada vez mais distribuídos, assim como os recursos que precisam acessar.
As organizações podem ter dificuldade em acompanhar o que todos esses usuários estão fazendo com aplicativos e ativos espalhados em localizações locais, remotas e baseadas na nuvem. Essa falta de controle representa sérios riscos. Os hackers podem invadir uma rede sem serem detectados. Agentes internos maliciosos podem abusar de seus direitos de acesso. Até mesmo usuários benignos podem violar acidentalmente os regulamentos de proteção de dados.
As iniciativas de IAM podem ajudar a simplificar o controle de acesso, protegendo ativos sem interromper o uso legítimo desses ativos. Os sistemas de gerenciamento de acesso e identidade atribuem a cada usuário uma identidade digital distinta, com permissões adaptadas à função do usuário, às necessidades de conformidade e a outros fatores. Dessa forma, o IAM garante que apenas os usuários certos possam acessar os recursos certos pelos motivos certos, enquanto o acesso e as atividades não autorizados são bloqueados.
Obtenha insights para se preparar e responder a ciberataques com maior velocidade e eficácia com o IBM Security X-Force Threat Intelligence Index.
Cadastre-se para obter o relatório do custo das violações de dados
O objetivo do IAM é impedir os hackers e, ao mesmo tempo, permitir que os usuários autorizados façam facilmente tudo o que precisam fazer, mas não mais do que o permitido. As implementações do IAM usam uma variedade de ferramentas e estratégias para atingir esse objetivo, mas todas tendem a seguir a mesma estrutura básica.
Um sistema IAM típico tem um banco de dados ou um diretório de usuários. Esse banco de dados contém detalhes sobre quem é cada usuário e o que ele pode fazer em um sistema de computador. À medida que os usuários passam por um sistema, o IAM usa as informações no banco de dados para verificar suas identidades, monitorar suas atividades e garantir que eles façam apenas o que o banco de dados diz que podem fazer.
Para uma compreensão mais profunda de como o IAM funciona, é útil analisar os quatro componentes principais das iniciativas de IAM: gerenciamento do ciclo de vida da identidade, controle de acesso, autenticação e autorização e governança de identidade.
O gerenciamento do ciclo de vida da identidade é o processo de criação e manutenção de identidades de usuários digitais para cada usuário humano e não humano em um sistema.
Para monitorar a atividade do usuário e aplicar permissões personalizadas, as organizações precisam diferenciar entre usuários individuais. O IAM faz isso atribuindo a cada usuário uma identidade digital. Identidades digitais são coleções de atributos distintos que informam ao sistema quem ou o que cada usuário é. As identidades geralmente incluem características como nome de usuário, credenciais de login, número de identificação, cargo e direitos de acesso.
As identidades digitais são normalmente armazenadas em um banco de dados ou diretório central, que atua como uma fonte de verdade. O sistema de IAM usa as informações desse banco de dados para validar os usuários e determinar o que permitirá ou não que eles façam.
Em algumas iniciativas de IAM, as equipes de TI ou segurança cibernética lidam manualmente com a integração de usuários, atualizando identidades ao longo do tempo e desligando ou desprovisionando usuários que saem do sistema. Algumas ferramentas de IAM permitem uma abordagem de autoatendimento. Os usuários fornecem suas informações, e o sistema cria automaticamente sua identidade e define os níveis apropriados de acesso.
Identidades digitais distintas não apenas ajudam as organizações a rastrear usuários, mas também permitem que as empresas definam e apliquem políticas de acesso mais granulares. O IAM permite que as empresas concedam permissões de sistema diferentes para identidades diferentes em vez de conceder a cada usuário autorizado os mesmos privilégios.
Atualmente, muitos sistemas de IAM usam controle de acesso baseado em função (RBAC). No RBAC, os privilégios de cada usuário são baseados em sua função de trabalho e nível de responsabilidade. O RBAC ajuda a simplificar o processo de configuração de permissões dos usuários e mitiga os riscos de dar aos usuários privilégios maiores do que aqueles de que precisam.
Digamos que uma empresa esteja definindo permissões para um firewall de rede. Um representante de vendas provavelmente não teria acesso algum, pois seu trabalho não exige isso. Um analista de segurança de nível júnior pode ser capaz de visualizar as configurações do firewall, mas não alterá-las. O diretor de segurança da informação (CISO) teria acesso administrativo total. Uma API que integra o SIEM da empresa ao firewall pode ser capaz de ler os registros de atividades do firewall, mas não ver mais nada.
Para maior segurança, os sistemas de IAM também podem aplicar o princípio do menor privilégio às permissões de acesso do usuário. Muitas vezes associado a estratégias de cibersegurança zero trust, o princípio do privilégio mínimo afirma que os usuários só devem ter as permissões mais baixas necessárias para concluir uma tarefa, e os privilégios devem ser revogados assim que a tarefa for concluída.
De acordo com o princípio do menor privilégio, muitos sistemas de IAM têm métodos e tecnologias distintos para gerenciamento de acesso privilegiado (PAM). O PAM é a disciplina da cibersegurança que supervisiona a segurança das contas e o controle de acesso para contas de usuários altamente privilegiadas, como administradores de sistema.
As contas privilegiadas são tratadas com mais cuidado do que outras funções do IAM porque o roubo dessas credenciais permitiria que os hackers fizessem o que quisessem. As ferramentas de PAM isolam identidades privilegiadas do resto, usando cofres de credenciais e protocolos de acesso just-in-time para segurança extra.
As informações sobre os direitos de acesso de cada usuário geralmente são armazenadas no banco de dados central do sistema de IAM como parte da identidade digital de cada usuário. O sistema de IAM usa essas informações para impor os níveis de privilégio distintos de cada usuário.
Autenticação e autorização são como os sistemas de IAM aplicam políticas de controle de acesso personalizado na prática.
Autenticação é o processo de determinar que um usuário, humano ou não humano, é quem ele afirma ser. Quando um usuário faz login em um sistema ou solicita acesso a um recurso, ele envia credenciais para garantir sua identidade. Por exemplo, um usuário humano pode inserir uma senha, enquanto um usuário não humano pode compartilhar um certificado digital. O sistema de IAM verifica essas credenciais no banco de dados central. Se elas corresponderem, o acesso será concedido.
Embora uma combinação de nome de usuário e senha seja a forma mais básica de autenticação, também é uma das mais fracas. Por esse motivo, a maioria das implementações de IAM hoje usa métodos de autenticação mais avançados.
A autenticação multifator (MFA) exige que os usuários forneçam dois ou mais fatores de autenticação para provar suas identidades. Fatores comuns incluem um código de segurança que é enviado para o telefone do usuário, uma chave de Physical Security ou biometria, como varreduras de impressões digitais.
O logon único (SSO) permite que os usuários acessem vários aplicativos e serviços com um conjunto de credenciais de login. O portal de SSO autentica o usuário e gera um certificado ou token que age como uma chave de segurança para outros recursos. Os sistemas de SSO usam protocolos abertos, como o Security Assertion Markup Language (SAML), para compartilhar chaves livremente entre diferentes provedores de serviços.
A autenticação adaptativa, também chamada de autenticação baseada em risco, usa IA e aprendizado de máquina para analisar o comportamento do usuário e alterar os requisitos de autenticação em tempo real à medida que o nível de risco muda. Ao exigir uma autenticação mais rigorosa para atividades mais arriscadas, os esquemas de autenticação baseada em risco dificultam o acesso de hackers ou ameaças internas a ativos críticos.
Um usuário que faz login em seu dispositivo e local habituais pode precisar apenas inserir sua senha, pois essa situação de rotina representa pouco risco. Esse mesmo usuário que faz login de um dispositivo não confiável ou tenta visualizar informações especialmente confidenciais pode precisar fornecer mais fatores, pois o usuário agora está se envolvendo em um comportamento mais arriscado.
Depois que um usuário é autenticado, o sistema de IAM verifica os privilégios conectados à sua identidade digital no banco de dados. O sistema de IAM autoriza o usuário a acessar apenas os recursos e executar as tarefas que suas permissões permitem.
A governança de identidade é o processo de rastrear o que os usuários fazem com os direitos de acesso. Os sistemas de IAM monitoram os usuários para garantir que eles não abusem de seus privilégios e para capturar hackers que possam ter entrado na rede.
A governança de identidade é importante para a conformidade regulatória. As empresas geralmente elaboram suas políticas de acesso para alinhá-las a mandatos de segurança, como o General Data Protection Regulation (GDPR) ou o Payment Card Industry Data Security Standard (PCI-DSS). Ao rastrear a atividade do usuário, os sistemas de IAM ajudam as empresas a garantir que suas políticas funcionem conforme o esperado. Os sistemas de IAM também podem produzir trilhas de auditoria para ajudar as empresas a comprovar a conformidade ou identificar violações, conforme a necessidade.
Muitos fluxos de trabalho importantes de IAM, como autenticação de usuários e rastreamento de suas atividades, são difíceis ou totalmente impossíveis de serem feitos manualmente. Em vez disso, as organizações dependem de ferramentas de tecnologia para automatizar os processos de IAM.
No passado, as organizações usavam soluções pontuais para gerenciar diferentes partes do IAM, como por exemplo, uma solução para lidar com a autenticação do usuário, outra para impor políticas de acesso e uma terceira para auditar a atividade do usuário.
Hoje em dia, as soluções de IAM geralmente são plataformas abrangentes que fazem tudo ou integram diversas ferramentas em um todo unificado. Embora haja muita variação nas plataformas de IAM, todas elas tendem a compartilhar funcionalidades básicas comuns, como:
- Diretórios centralizados ou integrações com serviços de diretórios externos, como o Microsoft Active Directory e Google Workspace.
- Fluxos de trabalho automatizados para criar, atualizar e remover identidades digitais.
- A capacidade de criar uma malha de identidade independente de produto em toda a rede que permite à organização gerenciar a identidade e o acesso de todos os aplicativos e ativos, incluindo aplicativos legados, por meio de um único diretório confiável.
- Opções de autenticação integradas, como MFA, SSO e autenticação adaptativa.
- Funções de controle de acesso, que permitem que as empresas definam políticas de acesso granulares e as apliquem a usuários em todos os níveis, incluindo contas privilegiadas.
- Recursos de rastreamento para monitorar usuários, sinalizar atividades suspeitas e garantir a conformidade.
- Recursos de gerenciamento de acesso e identidade do cliente (CIAM), que estendem o gerenciamento do ciclo de vida de identidade, a autenticação e as medidas de autorização para portais digitais para clientes, parceiros e outros usuários que estão fora da organização.
Algumas soluções de IAM são criadas para ecossistemas específicos. Por exemplo, as plataformas Amazon Web Services (AWS) IAM e Google Cloud IAM controlam o acesso aos recursos hospedados nessas respectivas nuvens.
Outras soluções de IAM, como as produzidas pela Microsoft, IBM, Oracle e outras, destinam-se a funcionar para todos os recursos em uma rede corporativa, independentemente de onde estejam hospedados. Essas soluções de IAM podem atuar como provedores de identidade para todos os tipos de serviços, usando padrões abertos como SAML e OpenID Connect (OIDC), para trocar informações de autenticação de usuários entre aplicações.
Cada vez mais, as soluções de gerenciamento de acesso e identidade estão migrando para ambientes externos e adotando um modelo de software como serviço (SaaS). Chamadas de "identidade como serviço" (IDaaS) ou "autenticação como serviço" (AaaS), essas soluções de IAM baseadas na nuvem oferecem alguns recursos que as ferramentas locais podem não ter.
As ferramentas de IDaaS podem ser úteis em redes corporativas complexas, onde usuários distribuídos fazem login em vários dispositivos (Windows, Mac, Linux e dispositivos móveis), para acessar recursos localizados no local e em nuvens privadas e públicas. Embora as ferramentas de IAM locais possam não acomodar prontamente tantos usuários e recursos diferentes em diferentes locais, a IDaaS geralmente pode.
A IDaaS também pode ajudar as organizações a estender os serviços de IAM a prestadores de serviços, clientes e outras funções que não sejam funcionários. Isso pode ajudar a simplificar as implementações de IAM, pois a empresa não precisa usar sistemas diferentes para usuários diferentes.
As ferramentas do IDaaS também permitem que as empresas terceirizem alguns dos aspectos do IAM que consomem mais tempo e recursos, como criar novas contas de usuários e autenticar solicitações de acesso e governança de identidade.
As iniciativas de IAM podem ajudar a atender a vários casos de uso que abrangem cibersegurança, operações comerciais e muito mais.
Com o surgimento de ambientes multinuvem, IA, automação e trabalho remoto, a transformação digital significa que as empresas precisam facilitar o acesso seguro de mais tipos de usuários a mais tipos de recursos em mais locais.
Os sistemas de IAM podem centralizar o gerenciamento de acesso para todos esses usuários e recursos, incluindo usuários não funcionários e não humanos. Um número crescente de plataformas de IAM agora incorpora ou se integra às ferramentas de CIAM, permitindo que as organizações gerenciem o acesso de usuários internos e externos a partir do mesmo sistema.
Atualmente, as empresas mantêm forças de trabalho remotas e híbridas, e a rede corporativa média apresenta uma mistura de sistemas locais legados e aplicativos e serviços mais recentes baseados em nuvem. As soluções de IAM podem otimizar o controle de acesso nesses ambientes complexos.
Funcionalidades como SSO e acesso adaptativo permitem que os usuários se autentiquem com o mínimo de atrito e, ao mesmo tempo, protegem ativos vitais. As organizações podem gerenciar identidades digitais e políticas de controle de acesso para todos os sistemas a partir de uma única solução de IAM central. Em vez de implementar diferentes ferramentas de identidade para diferentes ativos, sistemas de IAM abrangentes criam uma fonte única da verdade, gerenciamento e imposição para todo o ambiente de TI.
Os sistemas de IAM, especialmente aqueles compatíveis com SSO, permitem que os usuários acessem vários serviços com uma única identidade em vez de criar contas diferentes para cada serviço. Isso reduz significativamente o número de contas de usuários que as equipes de TI devem gerenciar. O crescimento das soluções "bring your own identity" (BYOI), que permitem aos usuários gerenciar suas próprias identidades e portá-las entre sistemas, também pode ajudar a simplificar o gerenciamento de TI.
Os sistemas de IAM podem simplificar o processo de atribuição de permissões de usuários usando métodos de RBAC que definem automaticamente os privilégios do usuário com base na função e nas responsabilidades. As ferramentas de IAM podem oferecer às equipes de TI e de segurança uma plataforma única para definir e impor políticas de acesso a todos os usuários.
Normas como GDPR, PCI-DSS e SOX exigem políticas rígidas sobre quem pode acessar dados e para quais finalidades. Os sistemas de IAM permitem que as empresas definam e apliquem políticas formais de controle de acesso que atendam a essas normas. As empresas também podem rastrear a atividade do usuário para comprovar a conformidade durante uma auditoria.
De acordo com o relatório do custo das violações de dados da IBM, o roubo de credenciais é a principal causa de violações de dados. Os hackers frequentemente atacam contas superprovisionadas, com permissões mais altas do que o necessário. Essas contas geralmente são menos protegidas do que as contas de administrador, mas permitem que hackers acessem vastas áreas do sistema.
O IAM pode ajudar a impedir ataques baseados em credenciais ao adicionar camadas extras de autenticação, para que os hackers precisem de mais do que apenas uma senha para acessar dados confidenciais. Mesmo que um hacker entre, os sistemas de IAM ajudam a evitar movimento lateral. Os usuários têm apenas as permissões de que precisam e nada mais. Usuários legítimos podem acessar todos os recursos de que precisam sob demanda, enquanto agentes maliciosos e ameaças internas são limitados naquilo que podem fazer.
A família IBM Security Verify fornece recursos automatizados, baseados em nuvem e locais para administrar governança de identidade, gerenciar a identidade e o acesso da força de trabalho e dos consumidores e controlar contas privilegiadas.
Coloque sua força de trabalho e o programa de IAM do consumidor no caminho para o sucesso com skills, estratégia e suporte de especialistas em identidade e segurança.
Ferramentas de gerenciamento de acesso privilegiado para descobrir, controlar, gerenciar e proteger contas privilegiadas em endpoints e ambientes multinuvem híbridos.
Provisão, auditoria e geração de relatórios sobre acesso e atividade de usuários por meio de recursos de ciclo de vida, conformidade e análise de dados, no local e na nuvem.
Estenda facilmente a autenticação moderna para aplicações legadas e melhore a postura de segurança, criando, ao mesmo tempo, uma experiência de usuário consistente.
SSO é um esquema de autenticação que permite que os usuários efetuem login em uma sessão uma vez e obtenham acesso seguro a várias aplicações e serviços relacionados.
O relatório Custo de uma violação de dados compartilha as informações mais recentes sobre o cenário de ameaças em expansão e oferece recomendações sobre como economizar tempo e limitar perdas.
O MFA é um método de verificação de identidade em que um usuário deve fornecer pelo menos duas evidências para provar sua identidade.