Gestão de Identidade e de Acesso (IAM): saiba se você realmente entende esse conceito!

Gestão de identidade e de acesso

A gestão de identidade e de acesso faz parte da segurança da informação e permite, além da diminuição dos riscos cibernéticos, um melhor aproveitamento da nuvem.  

Embora os processos para implementar a IAM, sigla em inglês de Identity and Access Management, muitas vezes sejam complexos, são extremamente necessários. 

Isso ocorre pois o cenário de acelerada transformação digital amplia (ou redefine) os perímetros de segurança da informação nas instituições e inaugura novas demandas de barreiras contra cibercrimes e demais ameaças.

Por isso, estratégias disruptivas têm sido implementadas e recomendadas em diferentes ambientes  corporativos, como é o caso do modelo de confiança zero

Neste artigo você irá aprender mais sobre esse modelo, bem como irá destrinchar o que está por trás da gestão de identidade e de acesso.

Continue conosco para desenvolver os seguintes tópicos: 

  • O que é identidade digital? 
  • Gestão de Identidade e de Acesso (IAM) 
  • Modelos de IAM e Identidades Federadas
  • Modelo de Confiança Zero
  • Como implantar o modelo de confiança zero? 

O que é identidade digital? 

Uma identidade nada mais é do que a representação de uma entidade capaz de identificá-la em um contexto particular. Sendo que tal identidade pode representar qualquer coisa existente no mundo real, tal qual uma pessoal, máquina, aplicação, objeto físico, empresa, entre outras possibilidades. 

Ela é composta por um conjunto de informações que representa a entidade em diferentes contextos.Uma pessoa, por exemplo, pode ter múltiplas identidades, indicando a importância deste elemento para o acesso a serviços.

Nesse último caso podemos usar como ilustração as identidades atreladas ao acesso a bancos, aquela de uso para caráter profissional, a de cidadão, a identidade que mostra alguma posse no mundo offline, as identidades de redes sociais, ou, ainda, as que mostram que alguém tem posse de algum dispositivo IoT. 

Ou seja, a identidade digital representa uma entidade, a qual pode ser uma pessoa, uma coisa da IoT, um serviço, etc.  É composta por um conjunto de informações que pode se dispor da seguinte forma: 

  • Identificador: conjunto de dígitos, caracteres e símbolos usados para identificar unicamente uma identidade (dentro de um contexto);
  • Credenciais: um objeto que pode ser usado para provar uma identidade – é um atestado de qualificação, competência, ou autoridade expedido por terceiros, com autoridade relevante ou competência para tal ato, e que atesta a veracidade da identidade. Exemplo: certificados digitais, senhas, dados biométricos, tokens entre outros. 
  • Atributos: um conjunto de dados que descreve as características fundamentais de uma identidade, Exemplo: em um contexto de instituição de ensino, há os atributos que distinguem e identificam professores e alunos.  

Por fim, podemos dizer que a identidade ajuda a provar quem você é quando você deseja acessar serviços e recursos online, sendo considerada, muitas vezes, o ponto de partida dessa relação. 

O que é Gestão de Identidade e de Acesso (IAM)? 

A Gestão de Identidade (IdM) e de Acesso (IAM) pode ser definida como um conjunto de processos, políticas e tecnologias capazes de garantir a identidade de uma entidade, a qualidade das informações de uma identidade, além da autenticação, autorização, responsabilização e auditoria em ambientes online. 

Colocar em prática uma gestão de identidade e de acesso requer a criação de uma infraestrutura de autenticação e autorização (AAI), com as seguintes etapas: 

  • Provisionamento: etapa de configuração, do registro de identidade (credenciais), de atributos, grupos e papéis.
  • Autenticação (procedimentos que permite a uma entidade provar quem é): etapa de operação, a qual reúne um conjunto de procedimentos que permite que uma entidade prove a sua identidade perante um sistema.

Antes da próxima etapa, é válido ressaltar que existem várias formas de utilizar a autenticação, entretanto a caracterização descrita abaixo é a mais comum. 

-Algo que você sabe. Ex: Login (identificador) – Senha (password) 

-Algo que você possui. Ex: cartão magnético e smartcard

-Algo que você é (característica única). Ex: íris e impressão digital

Atualmente, uma tendência do mercado de tecnologia é usar neste momento a combinação de fatores de autenticação, para dar  mais robustez a este processo. 

Dessa forma, quando uma credencial é comprometida, como uma senha por exemplo, um segundo fator de autenticação minimiza o vazamento. 

Ou seja, é pertinente utilizar essa prática, desde que a autenticação seja ativada por meio de duas ou mais categorias diferentes, como o diálogo de confirmação para acesso a e-mails no qual há uma solicitação de autenticação no smartphone do usuário. 

  • Autorização: define se as requisições de acesso a recursos feitas por sujeitos devem ou não ser permitidas. Ou seja, quem pode fazer o que. Assim, temos que a autorização concede direitos de acessos (fase de configuração) e usa mecanismos de controle de acesso para garantir as políticas de autorização (operação). Estes mecanismos comumente são  baseados nos  modelos RBAC ou ABAC e asseguram a fase de aplicação das políticas de controle de acesso.
  • Desprovisionamento: etapa utilizada quando uma identidade não faz mais sentido, precisa ser transmutada para outra categoria, ou, até mesmo, quando uma pessoa sai de uma instituição e aquela identidade não mais acessa um sistema.

Além desses aspectos mencionados acima, outro ponto importante na implementação do IAM é o mapeamento e classificação de todos os recursos que se deseja proteger. 

Quanto mais granulado se deseja um controle de acesso, mais especificados deverão ser os direitos de acesso. 

Dessa forma, percebemos que uma gestão de identidade e de acesso é uma tarefa complexa, que necessita de acompanhamento por todo o ciclo de vida da gestão de identidade. 

Um processo que envolve o provisionamento dessa identidade digital (criação, definição de grupos, contas) e a operação do uso dessa identidade nos sistemas para autenticação e autorização, aqui sendo importante  que ferramentas e serviços ofereçam redefinição de senha, gerenciamento de grupos, perfis, papéis e regras de acesso. 

É uma prática que requer granularidade fina, flexibilidade para os sistemas dinâmicos existentes, recursos novos acrescidos aos ambientes de TI, execução automatizada, profissionais capacitados que não insiram regras inadequadas e, quando possível, grande visibilidade. 

Vantagens da uma gestão de identidade e de acesso para as empresas 

Existem inúmeros benefícios relacionados à implementação de IAM, principalmente, no que tange a melhoria da experiência dos usuários. 

Mas, a prática vai muito além disso e contribui para outras frentes organizacionais, tais quais: 

  • Acelera a eficiência dos times de segurança;
  • Aumenta a flexibilidade dos controles; 
  • Custo operacional reduzido; 
  • Aprimora a conformidade com os regulamentos de privacidade; 
  • Segurança aprimorada (ameaças externas e internas). Reduz o problema de gerenciamento de senhas, roubo de identidade.

E quando a gestão de identidade e de acesso é executada de forma incorreta? 

Mesmo diante de tantas vantagens da gestão de identidade e de acesso, algumas empresas ainda têm essa área defasada e com pouco investimento. 

Com isso, a segurança da informação e a conformidade com as demandas legais frente ao uso de dados ficam comprometidas e podem acarretar em prejuízos significativos, tanto para a organização quanto para seus clientes.

É o caso dos grandes vazamentos de dados vistos nos últimos anos. 

1) Yahoo

Data: 2003

3 bilhões de contas atingidas 

2) Alibaba 

Data: 2019

1,1 bilhões de pedaços de dados do usuário

3) Linkedin

Data: 2021

700 milhões de usuários impactados 

4) Sina Weibo 

Data: 2020

538 milhões de contas atingidas 

5) Facebook 

Data: 2019

533 milhões de usuários atingidos 

6) Marriott International (Starwood) 

Data: 2018

500 milhões de consumidores atingidos 

Em todos eles, os vazamentos dessas contas, senhas e credenciais também impactaram na absorção de informações e atributos de identidade do usuário, que ficaram à disposição para serem utilizadas em outros tipos de ataques. 

Paralelamente a isso, uma recente pesquisa realizada pela PSafe, desenvolvedora dos aplicativos dfndr, identificou um cenário alarmante no qual 1 em cada 5 brasileiros já foi vítima de roubo de identidade na Internet. 

Desafios de cibersegurança que impactam na IAM

Os desafios emergentes em cibersegurança aumentam a complexidade da implementação de soluções e processos de gestão de identidade e de acesso. Por isso, é importante identificar e conhecer alguns deles. Veja abaixo: 

  • Aumento do volume de ataques cibernéticos sofisticados; 
  • Maior complexidade do ambiente (força de trabalho distribuída e BYOD, transformação digital acelerada, aplicações distribuídas (on premise e em cloud), ambientes mais colaborativos – múltiplas instituições);
  • Aumento de ameaças ligadas a senhas (roubo, senhas fracas, default) 
  • Regulamentos de proteção de dados pessoais;
  • Lacuna de profissionais de segurança cibernética. 

Modelos de Gestão de identidade e de acesso

Há diversos modelos que respondem a uma prática de gestão de identidade e de acesso – uns mais eficientes que outros. 

Neles, há a participação de diferentes atores ou sujeitos, como usuários, identidades, provedores de identidade, provedores de serviços. Conheça abaixo os modelos de IAM

Modelo tradicional (Silo): 

Uma única entidade (o provedor de identidade e de serviço) faz a gestão, o provisionamento da identidade e autenticação. Reúne as seguintes características:

Cada provedor de serviço é responsável pelo processo de identificação de seus usuários (IdP + SP), com o usuário criando uma identidade para cada SP. 

  • Não há compartilhamento de identidades pelos SPs.
  • Custoso para os usuários e SPs.

Modelo Centralizado 

É mais robusto, sendo utilizado, por exemplo, pelo Google, ou instituições de ensino que objetivam a gestão completa da vida acadêmica. 

São implementados usando diferentes tecnologias e contemplam os aspectos abaixo: 

  • Um único IdP e diversos SPs
  • Há o compartilhamento das identidades dos usuários entre SPs
  • Inaugura o conceito de autenticação única (single sign On – SSO) 
  • Evita as inconsistências e redundâncias presentes no modelo tradicional 
  • Tem como principal ponto fraco do modelo o único IdP, não sendo indicado para ambientes colaborativos

Modelo de identidades federadas 

É o modelo que se mostra mais adequado para ambientes multi institucionais e colaborativos, no qual cada domínio administrativo tem um provedor de identidade, que pode ou não ter provedores de serviço disponibilizados nesse contexto da federação. 

Um domínio administrativo representa empresas, universidades, etc (Composto por usuários, diversos SPs e um único IdP).

Compreende as qualificações abaixo: 

  • Distribui a tarefa de autenticação por múltiplos IdPs, dispostos em diferentes domínios administrativos.
  • Proporciona maior confiança nos dados usados para a criação dessa identidade.
  • Possui maior flexibilidade 
  • Requer acordos que garantam que as identidade emitidas em um domínio sejam reconhecidas por SPs de outros domínios. 
  • Continuar garantindo o conceito de autenticação única (SSO) mesmo diante de diferentes domínios. 
  • Tem como exemplo a Comunidade Acadêmica Federada CAFe, um serviço de gestão de identidade que reúne instituições de ensino e pesquisa brasileiras

Os profissionais que desejam constituir a federação nesse tipo de modelo precisam se atentar para: 

  • Modelo de governança.
  • Padrão para troca de dados (SAML ou Openld Connect).
  • Arquitetura de federação (full mesh x hub and spoke).
  • Metadados da federação (relações de confiança).
  • Esquemas de dados (atributos da identidade). 
  • Boas práticas como: códigos de conduta para provedores de serviço; tratamento e resposta a incidentes de segurança colaborativa; autenticação forte, comunicação segura. 

Além desses três modelos, a gestão de identidade e de acesso também pode seguir o script do “centrado no usuário” e a novidade do “modelo de identidade descentralizada e auto soberana” – focada no conceito de blockchain.

O que é Confiança Zero?

Na lógica de uma gestão de identidade e de acesso, o modelo de “Confiança zero” é uma estratégia de segurança resumida na frase “nunca confie, sempre verifique” ou “confiança por exceção”. 

O modelo se adapta às complexidades do ambiente moderno, que não tem um perímetro de segurança delimitado e possui características únicas como a força de trabalho móvel. 

O confiança zero protege dispositivos, aplicativos e dados onde quer que eles estejam e tem como princípios básicos: 

  • Verificação explícita (usuários, máquinas, serviços). 
  • Usar acesso com privilégios mínimos.
  • Visibilidade – capacidade de monitoramento (políticas adaptativas). 
  • Pressuposição da violação (micro segmentação de rede) 

Está alinhado com a privacidade de dados pessoais, contribuindo para a segurança dos mesmos.

Como implementar o modelo de confiança zero? 

No webinar “Gestão de Identidade e de Acesso (IAM): como implantar o modelo de confiança zero?”, realizado pela ESR, Michelle Wangham, assessora de Pesquisa, Desenvolvimento e Inovação (PD&I) na Rede Nacional de Ensino e Pesquisa (RNP) e professora da Universidade do Vale do Itajaí (UNIVALI), arremata todas as informações condensadas neste artigo e orienta os profissionais de TI para as práticas de tal implementação. 

Descubra mais sobre todos esses tópicos assistindo ao Webinar na íntegra aqui. 

5 1 votar
Article Rating
Inscrever
Notificar
guest

0 Comentários
Feedbacks em linha
Ver todos os comentários