IAM: Diferenças das soluções de Gestão de Identidades e Acessos. O cenário de gerenciamento de identidades e acessos (Identity and Access Management – IAM) vem se transformando rapidamente nos últimos anos, devido aos riscos relacionados aos acessos.
Segundo o Relatório do Identity Management Identity (IMI) de 2022, cerca de 80% de todas as violações de dados ocorreram como resultado de senhas fracas ou roubadas, sendo que uma parte notável está relacionada a ameaças internas que podem ser mitigadas limitando os acessos (usando o princípio de Least Privilege) ou os concedendo sob monitoramento. Diante desse cenário, a Gestão de Identidade e Acessos tem ganhado cada vez mais relevância nas organizações e regulamentações, além de ser uma das disciplinas de Segurança que mais tem sido prioridade no orçamento de Segurança da Informação da alta gestão.
Entretanto, quando passamos a analisar o mercado de soluções de IAM nos deparamos com uma série de soluções distintas, muitas siglas e muitas vezes soluções que parecem se sobrepor. Esse artigo tem o objetivo esclarecer as diferenças entre elas, seus benefícios e adequações.
De modo geral, podemos identificar as seguintes soluções como pilares de IAM:
- Access Management (AM)
- Identity Governance and Administration (IGA)
- Privileged Access Management (PAM)
- Customer Identity and Access Management (CIAM)
Embora o Gartner sintetize apenas três soluções, incorporando CIAM dentro de AM, considero o CIAM separadamente diante do seu contexto, que veremos abaixo. Vale destacar também, que mais recentemente surgiram os conceitos:
- Cloud Infrastructure Entitlement Management (CIEM)
- Dynamic Resource Entitlement & Access Management (DREAM)
IGA (Identity Governance and Administration)
O IGA implementa a gestão do ciclo de vida das identidades, buscando automação no gerenciamento de identidades e direitos de acessos, permitindo uma abordagem mais estratégica e simplificada do ciclo de vida da identidade. Com isso, se torna possível fazer a Governança da Identidade e não apenas o gerenciamento. Dentre os recursos do IGA, destacam-se os seguintes:
- Gerenciamento do ciclo de vida da identidade e automação do processo JML (Joinner, Mover e Leaver)
- Gerenciamento dos direitos de acessos (access rights) e entitlements
- Requisição de Acesso
- Revisão e Certificação de Acesso
- Implementação da Matriz de Segregação de Função (SoD) e RBAC
- Gerenciamento de senha
- Relatórios
Vale ressaltar que o IGA possui um papel central na gestão de identidades e acesso.
Exemplo: automatizar o fluxo de criação da identidade conectando com a base do RH, quando colaborador for contratado e desativação da identidade automática quando o colaborador for desligado.
Dentre os diversos fabricantes de IGA, temos: Sailpoint, Oracle, IBM, One Identity, SAP, CA, Microsoft e Micro Focus.
Diante da evolução do cenário de segurança da informação, surge a necessidade de outras soluções para compor a arquitetura de IAM. Assim, temos as demais soluções que abordaremos agora.
AM (Access Management)
As soluções de AM, às vezes chamado de Identity as a Service (IDaaS), têm a função de fazer a gestão do acesso em si, normalmente via web, utilizando os conceitos de SSO (Single Sign On) e IdP (Identity Provider), implementando a autenticação e autorização.
O Gartner especifica que as soluções de AM visam “estabelecer, aplicar e gerenciar controles de acesso em tempo de execução para tipos de identidades internas e externas, interagindo com a nuvem, web baseada em padrões modernos e aplicativos web legados”.
Enquanto as soluções de IGA tem o papel de governança, o AM tem o papel de centralizar a autenticação e autorização, fornecendo os mecanismos ideias de proteção do SSO, principalmente a utilização de MFA (Multi factor Authentication) ou Passwordless. Dentre as principais funções, estas se destacam:
- Autenticação
- Autorização
- Identity Provider (IdP)
- Single Sign On (SSO)
- Multi Factor Authentication (MFA)
- Passwordless
- Provisionamento em nuvem
- Reset de senha
Sendo assim, o AM será a solução central para realização de autenticação e autorização de forma segura. De forma prática: o usuário solicita o acesso no IGA e realiza o acesso pelo AM.
Exemplo de utilização: implementar a senha única para acesso ao ERP e VPN, garantindo a política de senha e MFA.
Dentre os diversos fabricantes de AM, temos: Okta, Onelogin, Ping Identity, Microsoft, IBM, Micro Focus.
Privileged Access Management (PAM)
A solução de PAM, às vezes chamada de PIM (Privileged Identity Management) tem o foco em gerenciar e monitorar o acesso privilegiado/elevado para usuários, contas, processos e sistemas. Por exemplo: o PAM permite estratégias para aplicar camadas de proteção de usuários com permissão de Administrador/root, permitindo a permissão apenas quando necessário. Dentre as principais funções do PAM, temos:
- Gestão da elevação de privilégio
- Elevação de privilégio temporariamente para um usuário
- Rotacionamento de credenciais
- Privileged Access Management, que permite aos administradores monitorar, gerenciar e auditar as sessões e atividades de usuários privilegiados, atuando como jump server monitorado.
- Armazenamento de credenciais privilegiadas de forma segura, impondo políticas fortes de senhas, atuando como um cofre de senhas (vault).
Exemplo: monitorar a sessão de acesso a servidores, implementando política de senhas forte, usuário privilegiado nominal e rotacionamento da senha.
Dessa forma, temos o IGA, AM e PAM como as 03 principais ferramentas na arquitetura de IAM. Mas ainda temos as soluções CIAM, CIEM e DREAM, no qual abordaremos brevemente por não ser o foco deste artigo.
Dentre os diversos fabricantes de PAM, temos: Cyberark, Senhasegura, BeyondTrust, ManageEngine, One Identity.
CIAM (Customer Identity and Access Management)
Essa solução tem o foco na gestão de identidades e acessos dos clientes, unindo recursos do AM, IGA e PAM, permitindo a federação com soluções, bem como facilidade de implementação e usabilidade. O CIAM combina os recursos de autenticação, autorização, desempenho, controle de acesso, autorização por contexto, bem como fácil integração com as aplicações por meio de federação e SDKs, bem como um permitir uma fácil usabilidade aos clientes finais, permitindo uma experiência do usuário mais adequada, sem atrito e sem esquecer da segurança.
Nessa última opção, de forma prática, podemos imaginar o desenvolvimento de uma plataforma web no qual é preciso pensar na gestão das identidades de usuários finais clientes que utilizarão a ferramenta. Ao invés do desenvolvedor se preocupar com essa etapa, ele pode conectar sua plataforma para que seja autenticado pelo CIAM, que irá possuir um repositório e plataforma de gestão. Essa integração é feita por meio de SDK (Software Development Kit) e permite uma interface simples, agradável e de fácil uso. Assim o gerenciamento da identidade pode ser feito direto pelo CIAM.
Além disso, o CIAM pode permitir regras de autenticação por contexto, por exemplo: quando o usuário acessar a tela Fatura do Cartão de Crédito de uma região incomum, solicite o token novamente.
Dentre os diversos fabricantes de PAM, temos: Auth0 (adquirida pela Okta), PingIdentity, Microsoft, Onelogin, IBM.
Quer saber mais sobre CIAM? Leia nosso outro artigo: Otimizando a Gestão de Identidade e Acessos de Clientes
CIEM (Cloud Infrastructure Entitlement Management)
A solução CIEM, tem o conceito de possuir painel centralizado para rastrear e controlar permissões de acesso a recursos, entiltlements, serviços e contas administrativas espalhadas por nuvens públicas como AWS, Azure e GCP. Além de permitir a análise e avaliação baseadas em IA para identificar e classificar de maneira inteligente os riscos associados a erros de configuração, contas de administrador sombra e direitos excessivos para identidades humanas, de aplicativos e máquinas. Um exemplo, seria o Sailpoint Cloud Access Management, Cyberark Cloud Entitlements Manager ou BeyondTrust Cloud Security Management.
DREAM (Dynamic Resource Entitlement & Access Management)
O DREAM é um novo conceito no mercado que permite o gerenciamento integrado mais ágil e dinâmico, centralizando o AM, PAM e CIEM, integrando com Cloud e recursos de DevOps.
Fonte da imagem: kuppingercole.com
Por: Davi Albergaria Coelho Gomes
Veja também:
- Incidentes operacionais e de TI estão no topo dos riscos
- O papel do CISO para transformar a cibersegurança
- Atualmente o hacktivismo é a principal razão para aumento de ataques DDoS
- As empresas correm o risco de falhas de conformidade
- Seguro cibernético: consultoria revela dicas importantes
- 1,3 milhão de usuários afetados: segurança de dados em risco
- Mercado bilionário da cibersegurança
- Check Point Software detecta nova campanha de typosquatting no PyPI
- Santander Universidades e Ada oferecem 60 mil bolsas
- A intolerável assimetria DDoS — e como superá-la
- O que é um ataque cibernético e como se manter seguro ?
- Entenda o que é Spillage na Cibersegurança!
Deixe sua opinião!