Introdução
Dentro da gestão de identidades e acessos (IAM) existem vários componentes que trabalham juntos para tomar decisões de política eficazes. Vamos explorar cinco desses componentes e como eles se correlacionam:
PDP (Policy Decision Point);
PEP (Policy Enforcement Point);
PIP (Policy Information Point);
PRP (Policy Retrieval Point);
PAP (Policy Administration Point).
PDP (Policy Decision Point)
O PDP é o componente que toma a decisão sobre se um acesso é permitido ou negado com base nas políticas definidas. Ele avalia as políticas e toma uma decisão que é então comunicada ao PEP.
Exemplo: Suponha que um usuário tente acessar um arquivo em um servidor. O servidor, atuando como PDP, avalia a política que diz que apenas usuários com uma função de “Gerente de IAM” podem acessar o arquivo. O servidor verifica a função do usuário e toma a decisão de permitir ou negar o acesso.
PEP (Policy Enforcement Point)
O PEP é o componente que aplica a decisão tomada pelo PDP. Ele é responsável por permitir ou negar o acesso a um recurso com base na decisão recebida do PDP.
Exemplo: Continuando com o exemplo acima, uma vez que o PDP tomou a decisão, o servidor, atuando como PEP, aplica a decisão. Se a decisão for permitir o acesso, o servidor fornecerá o arquivo ao usuário. Se a decisão for negar o acesso, o servidor bloqueará o acesso ao arquivo.
PIP (Policy Information Point)
O PIP é o componente que fornece informações ou atributos necessários para a tomada de decisões de política. Ele pode fornecer informações sobre o usuário, o recurso ou o ambiente que são usadas pelo PDP para tomar uma decisão.
Exemplo: Suponha que a política mencionada acima também inclua uma condição de que o acesso só pode ser concedido durante o horário de trabalho. O servidor, atuando como PIP, pode fornecer informações sobre o horário atual que o PDP pode usar para tomar uma decisão.
PRP (Policy Retrieval Point)
O PRP é o componente que armazena as políticas que são usadas pelo PDP para tomar decisões. Ele recupera e fornece as políticas relevantes quando solicitado pelo PDP.
Exemplo: O PRP é onde as políticas são armazenadas. Por exemplo, um banco de dados que contém todas as políticas de acesso pode atuar como um PRP. Quando o PDP precisa tomar uma decisão, ele recupera a política relevante do PRP.
PAP (Policy Administration Point)
O PAP é o componente que permite aos administradores criar, atualizar e excluir políticas. Ele fornece a interface para a gestão de políticas.
Exemplo: O PAP é onde as políticas são criadas, atualizadas e excluídas. Por exemplo, uma interface de usuário que permite a um administrador definir políticas de acesso pode atuar como um PAP. O administrador pode usar o PAP para adicionar uma nova política que permite aos usuários com a função de “gerente” acessar um determinado arquivo.
Conclusão
A gestão eficaz de políticas é fundamental para a segurança da informação e a gestão de identidades e acessos. Compreender o papel de cada componente - PDP, PEP, PIP, PRP e PAP - pode ajudar as organizações a implementar uma estratégia de IAM eficaz. Cada etapa tem uma papel específico que se complementa com as demais para que a organização consiga garantir as melhores práticas e políticas de governança de suas identidades e acessos.
