IAM: Diferenças das soluções de Gestão de Identidades e Acessos

IAM: Diferenças das soluções de Gestão de Identidades e Acessos. O cenário de gerenciamento de identidades e acessos (Identity and Access Management – IAM) vem se transformando rapidamente nos últimos anos, devido aos riscos relacionados aos acessos.

Segundo o Relatório do Identity Management Identity (IMI) de 2022, cerca de 80% de todas as violações de dados ocorreram como resultado de senhas fracas ou roubadas, sendo que uma parte notável está relacionada a ameaças internas que podem ser mitigadas limitando os acessos (usando o princípio de Least Privilege) ou os concedendo sob monitoramento. Diante desse cenário, a Gestão de Identidade e Acessos tem ganhado cada vez mais relevância nas organizações e regulamentações, além de ser uma das disciplinas de Segurança que mais tem sido prioridade no orçamento de Segurança da Informação da alta gestão.

Entretanto, quando passamos a analisar o mercado de soluções de IAM nos deparamos com uma série de soluções distintas, muitas siglas e muitas vezes soluções que parecem se sobrepor. Esse artigo tem o objetivo esclarecer as diferenças entre elas, seus benefícios e adequações.
De modo geral, podemos identificar as seguintes soluções como pilares de IAM:
  • Access Management (AM)
  • Identity Governance and Administration (IGA)
  • Privileged Access Management (PAM)
  • Customer Identity and Access Management (CIAM)
Embora o Gartner sintetize apenas três soluções, incorporando CIAM dentro de AM, considero o CIAM separadamente diante do seu contexto, que veremos abaixo. Vale destacar também, que mais recentemente surgiram os conceitos:
  • Cloud Infrastructure Entitlement Management (CIEM)
  • Dynamic Resource Entitlement & Access Management (DREAM)

 

IGA (Identity Governance and Administration)

O IGA implementa a gestão do ciclo de vida das identidades, buscando automação no gerenciamento de identidades e direitos de acessos, permitindo uma abordagem mais estratégica e simplificada do ciclo de vida da identidade. Com isso, se torna possível fazer a Governança da Identidade e não apenas o gerenciamento. Dentre os recursos do IGA, destacam-se os seguintes:
  • Gerenciamento do ciclo de vida da identidade e automação do processo JML (Joinner, Mover e Leaver)
  • Gerenciamento dos direitos de acessos (access rights) e entitlements
  • Requisição de Acesso
  • Revisão e Certificação de Acesso
  • Implementação da Matriz de Segregação de Função (SoD) e RBAC
  • Gerenciamento de senha
  • Relatórios
Vale ressaltar que o IGA possui um papel central na gestão de identidades e acesso.
Exemplo: automatizar o fluxo de criação da identidade conectando com a base do RH, quando colaborador for contratado e desativação da identidade automática quando o colaborador for desligado.
Dentre os diversos fabricantes de IGA, temos: Sailpoint, Oracle, IBM, One Identity, SAP, CA, Microsoft e Micro Focus.
Diante da evolução do cenário de segurança da informação, surge a necessidade de outras soluções para compor a arquitetura de IAM. Assim, temos as demais soluções que abordaremos agora.
 

AM (Access Management)

As soluções de AM, às vezes chamado de Identity as a Service (IDaaS), têm a função de fazer a gestão do acesso em si, normalmente via web, utilizando os conceitos de SSO (Single Sign On) e IdP (Identity Provider), implementando a autenticação e autorização.

Gartner especifica que as soluções de AM  visam “estabelecer, aplicar e gerenciar controles de acesso em tempo de execução para tipos de identidades internas e externas, interagindo com a nuvem, web baseada em padrões modernos e aplicativos web legados”.
Enquanto as soluções de IGA tem o papel de governança, o AM tem o papel de centralizar a autenticação e autorização, fornecendo os mecanismos ideias de proteção do SSO, principalmente a utilização de MFA (Multi factor Authentication) ou Passwordless. Dentre as principais funções, estas se destacam:
  • Autenticação
  • Autorização
  • Identity Provider (IdP)
  • Single Sign On (SSO)
  • Multi Factor Authentication (MFA)
  • Passwordless
  • Provisionamento em nuvem
  • Reset de senha
Sendo assim, o AM será a solução central para realização de autenticação e autorização de forma segura. De forma prática: o usuário solicita o acesso no IGA e realiza o acesso pelo AM.
Exemplo de utilização: implementar a senha única para acesso ao ERP e VPN, garantindo a política de senha e MFA.
Dentre os diversos fabricantes de AM, temos: Okta, Onelogin, Ping Identity, Microsoft, IBM, Micro Focus.
 

Privileged Access Management (PAM)

A solução de PAM, às vezes chamada de PIM (Privileged Identity Management) tem o foco em gerenciar e monitorar o acesso privilegiado/elevado para usuários, contas, processos e sistemas. Por exemplo: o PAM permite estratégias para aplicar camadas de proteção de usuários com permissão de Administrador/root, permitindo a permissão apenas quando necessário. Dentre as principais funções do PAM, temos:
  • Gestão da elevação de privilégio
  • Elevação de privilégio temporariamente para um usuário
  • Rotacionamento de credenciais
  • Privileged Access Management, que permite aos administradores monitorar, gerenciar e auditar as sessões e atividades de usuários privilegiados, atuando como jump server monitorado.
  • Armazenamento de credenciais privilegiadas de forma segura, impondo políticas fortes de senhas, atuando como um cofre de senhas (vault).
 
Exemplo: monitorar a sessão de acesso a servidores, implementando política de senhas forte, usuário privilegiado nominal e rotacionamento da senha.
Dessa forma, temos o IGA, AM e PAM como as 03 principais ferramentas na arquitetura de IAM. Mas ainda temos as soluções CIAM, CIEM e DREAM, no qual abordaremos brevemente por não ser o foco deste artigo.
Dentre os diversos fabricantes de PAM, temos: Cyberark, Senhasegura, BeyondTrust, ManageEngine, One Identity.
 

CIAM (Customer Identity and Access Management)

Essa solução tem o foco na gestão de identidades e acessos dos clientes, unindo recursos do AM, IGA e PAM, permitindo a federação com soluções, bem como facilidade de implementação e usabilidade. O CIAM combina os recursos de autenticação, autorização, desempenho, controle de acesso, autorização por contexto, bem como fácil integração com as aplicações por meio de federação e SDKs, bem como um permitir uma fácil usabilidade aos clientes finais, permitindo uma experiência do usuário mais adequada, sem atrito e sem esquecer da segurança.
Nessa última opção, de forma prática, podemos imaginar o desenvolvimento de uma plataforma web no qual é preciso pensar na gestão das identidades de usuários finais clientes que utilizarão a ferramenta. Ao invés do desenvolvedor se preocupar com essa etapa, ele pode conectar sua plataforma para que seja autenticado pelo CIAM, que irá possuir um repositório e plataforma de gestão. Essa integração é feita por meio de SDK (Software Development Kit) e permite uma interface simples, agradável e de fácil uso. Assim o gerenciamento da identidade pode ser feito direto pelo CIAM.
Além disso, o CIAM pode permitir regras de autenticação por contexto, por exemplo: quando o usuário acessar a tela Fatura do Cartão de Crédito de uma região incomum, solicite o token novamente.
Dentre os diversos fabricantes de PAM, temos: Auth0 (adquirida pela Okta), PingIdentity, Microsoft, Onelogin, IBM.
Quer saber mais sobre CIAM? Leia nosso outro artigo: Otimizando a Gestão de Identidade e Acessos de Clientes
 

CIEM (Cloud Infrastructure Entitlement Management)

A solução CIEM, tem o conceito de possuir painel centralizado para rastrear e controlar permissões de acesso a recursos, entiltlements, serviços e contas administrativas espalhadas por nuvens públicas como AWS, Azure e GCP. Além de permitir a análise e avaliação baseadas em IA para identificar e classificar de maneira inteligente os riscos associados a erros de configuração, contas de administrador sombra e direitos excessivos para identidades humanas, de aplicativos e máquinas. Um exemplo, seria o Sailpoint Cloud Access Management, Cyberark Cloud Entitlements Manager ou BeyondTrust Cloud Security Management.
DREAM (Dynamic Resource Entitlement & Access Management)

O DREAM é um novo conceito no mercado que permite o gerenciamento integrado mais ágil e dinâmico, centralizando o AM, PAM e CIEM, integrando com Cloud e recursos de DevOps.

Não foi fornecido texto alternativo para esta imagem
Fonte da imagem: kuppingercole.com
Por: Davi Albergaria Coelho Gomes

Veja também:

Sobre mindsecblog 2475 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!