Identity Access Management (IAM): O que é e qual sua importância?

O que é o gerenciamento de identidade e acesso (IAM)?

O gerenciamento de identidade e acesso (IAM) é uma estrutura que permite que a equipe de TI controle o acesso a sistemas, redes e ativos com base na identidade de cada usuário. O IAM consiste em dois componentes principais:

  1.  Gerenciamento de identidade: Verifica a identidade do usuário com base nas informações existentes em um banco de dados de gerenciamento de identidade.
  2.  Gerenciamento de acesso: Usa a identidade do solicitante para confirmar seus direitos de acesso a diferentes sistemas, aplicativos, dados, dispositivos e outros recursos.

As principais funções de uma ferramenta de IAM são:

  • Atribuir uma única identidade digital a cada usuário
  • Autenticar o usuário
  • Autorizar o acesso adequado aos recursos relevantes
  • Monitorar e gerenciar identidades para alinhar-se às mudanças na organização

Por que o IAM é importante?

No cenário digital, as organizações estão sob pressão significativa para garantir a segurança da infraestrutura e dos ativos corporativos, inclusive dos dados. Ao mesmo tempo, elas também precisam oferecer uma experiência de usuário sem atritos para usuários autorizados que precisam acessar uma ampla variedade de recursos digitais, inclusive aqueles na nuvem e no local, sem a necessidade de sistemas de autenticação e armazenamentos de identidade separados para realizar seus trabalhos.

À medida que o ambiente de TI se torna mais complexo devido à proliferação de dispositivos conectados e à aceleração da tendência de “trabalhar de qualquer lugar”, as organizações precisam garantir que estão fornecendo o nível certo de acesso a todos os usuários de forma contínua e eficiente.

O IAM ajuda as organizações a simplificar e automatizar as tarefas de gerenciamento de identidade e acesso e a permitir controles de acesso e privilégios mais granulares. Com uma solução de IAM, as equipes de TI não precisam mais atribuir manualmente controles de acesso, monitorar e atualizar privilégios ou desprovisionar contas. As organizações também podem habilitar um logon único (SSO) para autenticar a identidade do usuário e permitir o acesso a vários aplicativos e sites com apenas um conjunto de credenciais.

Qual é a diferença entre o IAM e a segurança de identidade?

Em termos técnicos, o IAM é uma solução de gerenciamento, não uma solução de segurança. Embora o IAM possa ajudar a restringir o acesso a recursos por meio do gerenciamento de identidades digitais, as políticas, os programas e as tecnologias de IAM normalmente não são projetados principalmente como uma solução de segurança.

Por exemplo, as tecnologias de IAM que armazenam e gerenciam identidades para fornecer recursos de SSO ou de autenticação multifatorial (MFA) não podem detectar e impedir ataques orientados por identidade em tempo real. Da mesma forma, as soluções de IAM são uma parte importante da estratégia geral de identidade, mas geralmente não têm visibilidade profunda dos terminais, dispositivos e cargas de trabalho, além das identidades e do comportamento do usuário.

Ao mesmo tempo, a segurança de identidade não substitui as políticas, os programas e as tecnologias de IAM. Em vez disso, a segurança de identidade serve para complementar e aprimorar o IAM com recursos avançados de detecção e prevenção de ameaças. Ela acrescenta a tão necessária segurança em torno de cada usuário – seja ele humano, conta de serviço ou conta privilegiada – para ajudar a negar os riscos de segurança dentro do AD, que é amplamente considerado o elo mais fraco na defesa cibernética de uma organização.

Por fim, embora a segurança de identidade e o IAM sejam recursos essenciais na arquitetura de segurança, é importante lembrar que são apenas dois componentes de uma plataforma de segurança mais ampla. Para garantir a proteção mais forte, as organizações devem desenvolver uma estratégia abrangente de defesa cibernética que inclua segurança de endpoint, segurança de TI, proteção de carga de trabalho na nuvem e segurança de contêineres. A solução de segurança de identidade e a ferramenta de IAM também devem se integrar à arquitetura Zero Trust da organização.

Gerenciamento de identidades

Os sistemas de IAM utilizam uma variedade de métodos para autenticar a identidade de um usuário, um dos quais é o logon único (SSO).

O método de autenticação SSO estabelece uma única identidade digital para cada usuário. As credenciais dessa conta podem ser usadas para acessar qualquer sistema, software, dispositivo ou ativo aprovado dentro do diretório ativo sem precisar digitar novamente um nome de usuário e uma senha específicos para esse ativo.

O Active Directory Federation Service (AD FS) é o recurso de SSO mais conhecido. Desenvolvido pela Microsoft, o AD FS fornece acesso seguro, autenticado e protegido a qualquer domínio, dispositivo, aplicativo da Web ou sistema dentro do Active Directory (AD) da organização, bem como a sistemas de terceiros aprovados.

Embora muitas organizações desenvolvam um recurso de SSO internamente, outras recorreram à identidade como serviço (IDaaS), que é um modelo de assinatura baseado em nuvem para o IAM oferecido por um fornecedor. Como em qualquer modelo como serviço, o IDaaS costuma ser uma opção viável porque a terceirização dos serviços de IAM pode ser mais econômica, mais fácil de implementar e mais eficiente de operar do que fazê-lo internamente.

Gerenciamento de acesso

Além de confirmar a identidade do usuário, o sistema de IAM também precisa conceder acesso aos usuários no nível adequado. Há várias estratégias de acesso seguro que as organizações podem adotar, incluindo:

Confiança zero

Zero Trust é uma estrutura de segurança que exige que todos os usuários, dentro ou fora da rede da organização, sejam autenticados, autorizados e continuamente validados quanto à configuração e à postura de segurança antes de receberem ou manterem o acesso a aplicativos e dados.

A execução dessa estrutura combina tecnologias avançadas, como autenticação multifatorial baseada em risco, proteção de identidade, segurança de endpoint de última geração e tecnologia robusta de carga de trabalho em nuvem para verificar a identidade de um usuário ou sistema, considerando o acesso naquele momento e a manutenção da segurança do sistema. O Zero Trust também exige a consideração da criptografia de dados, a proteção de e-mails e a verificação da higiene dos ativos e endpoints antes de se conectarem aos aplicativos.

Princípio do menor privilégio (POLP)

O princípio do privilégio mínimo (POLP) é um conceito e uma prática de segurança de computador que concede aos usuários direitos de acesso limitados com base nas tarefas necessárias ao seu trabalho. O POLP garante que somente usuários autorizados, cuja identidade tenha sido verificada, tenham as permissões necessárias para executar tarefas em determinados sistemas, aplicativos, dados e outros ativos.

A POLP é amplamente considerada uma das práticas mais eficazes para fortalecer a postura de segurança cibernética da organização, pois permite que as organizações controlem e monitorem o acesso à rede e aos dados.

Gerenciamento de acesso privilegiado (PAM)

O gerenciamento de acesso privilegiado (PAM) é uma estratégia de segurança cibernética que se concentra em manter a segurança das contas administrativas.

Segmentação de identidade
A segmentação de identidade é um método para restringir o acesso do usuário a aplicativos ou recursos com base em identidades.

Autenticação multifatorial (MFA)

A autenticação multifator (MFA) é um recurso de segurança que concede acesso ao usuário somente após a confirmação de sua identidade com uma ou mais credenciais, além do nome de usuário e da senha. Isso pode incluir um código de segurança enviado por texto ou e-mail, um token de segurança de um aplicativo autenticador ou até mesmo um identificador biométrico.

Autenticação baseada em risco (RBA)

Às vezes chamada de autenticação adaptativa, a autenticação baseada em risco (RBA) é um protocolo de segurança que só solicita que um usuário confirme sua identidade por meio da MFA em circunstâncias de alto risco ou incomuns, como ao fazer login em um novo dispositivo ou em um local diferente.

Gerenciamento de acesso baseado em função (RBAC)

O RBAC envolve a atribuição automática de privilégios de acesso com base na função do usuário dentro da organização, no seu nível ou no seu alinhamento com uma determinada equipe ou função.

Proteção de sua implementação de IAM

O IAM faz parte do ambiente de TI e da arquitetura de segurança cibernética mais amplos da organização. Por esse motivo, a implementação deve ser integrada a outros sistemas e soluções, incluindo a solução de segurança de identidade e a arquitetura Zero Trust.

Segurança do AD

Um dos aspectos mais importantes da implementação do IAM é a segurança do Active Directory, ou segurança do AD. A segurança do AD é extremamente importante na postura geral de segurança de uma empresa porque o Active Directory da organização controla todo o acesso ao sistema. O gerenciamento eficaz do Active Directory ajuda a proteger as credenciais, os aplicativos e os dados confidenciais da sua empresa contra acesso não autorizado. É importante ter uma segurança forte para evitar que usuários mal-intencionados invadam sua rede e causem danos.

A melhor maneira de monitorar os comprometimentos no Active Directory é usar um sistema de monitoramento de logs de eventos. Ao monitorar a atividade nesses logs, as organizações podem detectar qualquer comprometimento antes que ocorram mais danos.

Ao monitorar os logs de eventos, procure sinais de atividade suspeita, incluindo os seguintes eventos:

  • Atividade de conta privilegiada: Os atacantes geralmente exploram uma vulnerabilidade de privilégio e tentam aumentar o privilégio, aumentando os privilégios de uma conta de usuário comprometida. Como alternativa, você pode notar atividade após o expediente em uma conta de usuário privilegiada ou um aumento repentino na quantidade de dados acessados pela conta de usuário.
  • Falhas de login: Falhas repetidas no login de uma conta podem ser um sinal de que um agente de ameaças está tentando obter acesso.
  • Logins remotos: Usuários mal-intencionados geralmente tentam acessar seu sistema remotamente. Se você notar um login de um endereço IP (Internet Protocol) em um país ou local diferente, isso pode ser um sinal de que o Active Directory está comprometido.

Implementação do IAM

As etapas básicas de implementação são as seguintes:

  • Estabelecer o conjunto principal de objetivos para a solução de IAM
  • Auditar os sistemas existentes e legados para identificar lacunas na arquitetura existente
  • Identifique as principais partes interessadas para ajudar no mapeamento de identidades e na definição das regras de acesso dos usuários
  • Capture todos os grupos de usuários; inclua o máximo de granularidade necessário
  • Identifique todos os cenários de acesso do usuário e defina as regras correspondentes; leve em conta os ativos de nuvem e como o acesso no ambiente de nuvem difere do acesso no local
  • Considere todos os pontos de integração com outros sistemas ou protocolos de segurança, incluindo a solução Zero Trust ou o sistema de segurança de identidade.

O Futuro do IAM

Essa fraqueza, aliada à rápida expansão de uma força de trabalho digital, coloca as organizações em um risco maior de ataques orientados por identidade, ampliando a necessidade de as organizações ativarem uma solução de segurança de identidade forte e flexível que inclua o IAM. Juntas, essas soluções têm o objetivo de deter os adversários que conseguiram contornar outras medidas de segurança, como as ferramentas de detecção e resposta de endpoint (EDR).

Fonte:

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).