O cenário de gerenciamento de identidades e acessos (Identity and Access Management — IAM) vem se transformando rapidamente nos últimos anos, devido aos riscos relacionados aos acessos. Segundo o Relatório do Identity Management Identity (IMI) de 2022, cerca de 80% de todas as violações de dados ocorreram como resultado de senhas fracas ou roubadas, sendo que uma parte notável está relacionada a ameaças internas que podem ser mitigadas limitando os acessos (usando o princípio de Least Privilege) ou os concedendo sob monitoramento. Diante desse cenário, a Gestão de Identidade e Acessos tem ganhado cada vez mais relevância nas organizações e regulamentações, além de ser uma das disciplinas de Segurança que mais tem sido prioridade no orçamento de Segurança da Informação da alta gestão.
Entretanto, quando passamos a analisar o mercado de soluções de IAM nos deparamos com uma série de soluções distintas, muitas siglas e muitas vezes soluções que parecem se sobrepor. Esse artigo tem o objetivo esclarecer as diferenças entre elas, seus benefícios e adequações.
De modo geral, podemos identificar as seguintes soluções como pilares de IAM:
Access Management (AM)
Identity Governance and Administration (IGA)
Privileged Access Management (PAM)
Customer Identity and Access Management (CIAM)
Embora o Gartner sintetize apenas três soluções, incorporando CIAM dentro de AM, considero o CIAM separadamente diante do seu contexto, que veremos abaixo. Vale destacar também, que mais recentemente surgiram os conceitos:
Cloud Infrastructure Entitlement Management (CIEM)
Dynamic Resource Entitlement & Access Management (DREAM)
IGA (Identity Governance and Administration)
O IGA implementa a gestão do ciclo de vida das identidades, buscando automação no gerenciamento de identidades e direitos de acessos, permitindo uma abordagem mais estratégica e simplificada do ciclo de vida da identidade. Com isso, se torna possível fazer a Governança da Identidade e não apenas o gerenciamento. Dentre os recursos do IGA, destacam-se os seguintes:
Gerenciamento do ciclo de vida da identidade e automação do processo JML (Joinner, Mover e Leaver)
Gerenciamento dos direitos de acessos (access rights) e entitlements
Requisição de Acesso
Revisão e Certificação de Acesso
Implementação da Matriz de Segregação de Função (SoD) e RBAC
Gerenciamento de senha
Relatórios
Vale ressaltar que o IGA possui um papel central na gestão de identidades e acesso.
Exemplo: automatizar o fluxo de criação da identidade conectando com a base do RH, quando colaborador for contratado e desativação da identidade automática quando o colaborador for desligado.
Dentre os diversos fabricantes de IGA, temos: Sailpoint, Oracle, IBM, One Identity, SAP, CA, Microsoft e Micro Focus.
Diante da evolução do cenário de segurança da informação, surge a necessidade de outras soluções para compor a arquitetura de IAM. Assim, temos as demais soluções que abordaremos agora.
AM (Access Management)
As soluções de AM, às vezes chamado de Identity as a Service (IDaaS), têm a função de fazer a gestão do acesso em si, normalmente via web, utilizando os conceitos de SSO (Single Sign On) e IdP (Identity Provider), implementando a autenticação e autorização.
O Gartner especifica que as soluções de AM visam “estabelecer, aplicar e gerenciar controles de acesso em tempo de execução para tipos de identidades internas e externas, interagindo com a nuvem, web baseada em padrões modernos e aplicativos web legados”.
Enquanto as soluções de IGA tem o papel de governança, o AM tem o papel de centralizar a autenticação e autorização, fornecendo os mecanismos ideias de proteção do SSO, principalmente a utilização de MFA (Multi factor Authentication) ou Passwordless. Dentre as principais funções, estas se destacam:
Autenticação
Autorização
Identity Provider (IdP)
Single Sign On (SSO)
Multi Factor Authentication (MFA)
Passwordless
Provisionamento em nuvem
Reset de senha
Sendo assim, o AM será a solução central para realização de autenticação e autorização de forma segura. De forma prática: o usuário solicita o acesso no IGA e realiza o acesso pelo AM.
Exemplo de utilização: implementar a senha única para acesso ao ERP e VPN, garantindo a política de senha e MFA.
Dentre os diversos fabricantes de AM, temos: Okta, Onelogin, Ping Identity, Microsoft, IBM, Micro Focus.
Privileged Access Management (PAM)
A solução de PAM, às vezes chamada de PIM (Privileged Identity Management) tem o foco em gerenciar e monitorar o acesso privilegiado/elevado para usuários, contas, processos e sistemas. Por exemplo: o PAM permite estratégias para aplicar camadas de proteção de usuários com permissão de Administrador/root, permitindo a permissão apenas quando necessário. Dentre as principais funções do PAM, temos:
Gestão da elevação de privilégio
Elevação de privilégio temporariamente para um usuário
Rotacionamento de credenciais
Privileged Access Management, que permite aos administradores monitorar, gerenciar e auditar as sessões e atividades de usuários privilegiados, atuando como jump server monitorado.
Armazenamento de credenciais privilegiadas de forma segura, impondo políticas fortes de senhas, atuando como um cofre de senhas (vault).
Exemplo: monitorar a sessão de acesso a servidores, implementando política de senhas forte, usuário privilegiado nominal e rotacionamento da senha.
Dessa forma, temos o IGA, AM e PAM como as 03 principais ferramentas na arquitetura de IAM. Mas ainda temos as soluções CIAM, CIEM e DREAM, no qual abordaremos brevemente por não ser o foco deste artigo.
Dentre os diversos fabricantes de PAM, temos: Cyberark, Senhasegura, BeyondTrust, ManageEngine, One Identity.
CIAM (Customer Identity and Access Management)
Essa solução tem o foco na gestão de identidades e acessos dos clientes, unindo recursos do AM, IGA e PAM, permitindo a federação com soluções, bem como facilidade de implementação e usabilidade. O CIAM combina os recursos de autenticação, autorização, desempenho, controle de acesso, autorização por contexto, bem como fácil integração com as aplicações por meio de federação e SDKs, bem como um permitir uma fácil usabilidade aos clientes finais, permitindo uma experiência do usuário mais adequada, sem atrito e sem esquecer da segurança.
Nessa última opção, de forma prática, podemos imaginar o desenvolvimento de uma plataforma web no qual é preciso pensar na gestão das identidades de usuários finais clientes que utilizarão a ferramenta. Ao invés do desenvolvedor se preocupar com essa etapa, ele pode conectar sua plataforma para que seja autenticado pelo CIAM, que irá possuir um repositório e plataforma de gestão. Essa integração é feita por meio de SDK (Software Development Kit) e permite uma interface simples, agradável e de fácil uso. Assim o gerenciamento da identidade pode ser feito direto pelo CIAM.
Além disso, o CIAM pode permitir regras de autenticação por contexto, por exemplo: quando o usuário acessar a tela Fatura do Cartão de Crédito de uma região incomum, solicite o token novamente.
Dentre os diversos fabricantes de PAM, temos: Auth0 (adquirida pela Okta), PingIdentity, Microsoft, Onelogin, IBM.
Quer saber mais sobre CIAM? Leia nosso outro artigo: Otimizando a Gestão de Identidade e Acessos de Clientes
CIEM (Cloud Infrastructure Entitlement Management)
A solução CIEM, tem o conceito de possuir painel centralizado para rastrear e controlar permissões de acesso a recursos, entiltlements, serviços e contas administrativas espalhadas por nuvens públicas como AWS, Azure e GCP. Além de permitir a análise e avaliação baseadas em IA para identificar e classificar de maneira inteligente os riscos associados a erros de configuração, contas de administrador sombra e direitos excessivos para identidades humanas, de aplicativos e máquinas. Um exemplo, seria o Sailpoint Cloud Access Management, Cyberark Cloud Entitlements Manager ou BeyondTrust Cloud Security Management.
DREAM (Dynamic Resource Entitlement & Access Management)
O DREAM é um novo conceito no mercado que permite o gerenciamento integrado mais ágil e dinâmico, centralizando o AM, PAM e CIEM, integrando com Cloud e recursos de DevOps.
Fonte da imagem: kuppingercole.com
Espero com isso, poder contribuir para o esclarecimento das diversas soluções de IAM.
Comments