O que é IAM? Noções básicas sobre gerenciamento de identidade e acesso
Gerenciamento de identidade e acesso (IAM) é um termo abrangente para as soluções técnicas, processos e políticas que as organizações usam para gerenciar identidades de usuários e regular o acesso dos usuários à rede corporativa. O objetivo geral do IAM é proteger os ativos da empresa, garantindo que apenas os usuários certos possam acessá-los, dentro dos contextos certos.
Embora a palavra “usuário” possa evocar imagens de pessoas sentadas em computadores ou olhando para seus telefones celulares, nem todos os “usuários” são humanos. O hardware do computador e os dispositivos da Internet das coisas (IoT) devem ser autenticados antes de acessar uma rede. Muitos aplicativos devem ser autenticados em outros aplicativos ou serviços para funcionar, como aplicativos que fazem chamadas de API.
Seja humano ou máquina, um sistema IAM atribui a cada usuário uma identidade digital exclusiva. Essa identidade abrange não apenas quem ou o que é o usuário, mas também quais níveis de acesso são concedidos a eles nos sistemas e aplicativos. Como as funções dos usuários normalmente mudam ao longo do tempo com uma organização, as identidades digitais não são estáticas. Eles devem ser monitorados, mantidos e protegidos enquanto o usuário tiver acesso à rede.
Componentes IAM
Na sua forma mais simples, um sistema IAM deve incluir:
Gerenciamento de senha
Uma vez que mais de 80% das violações de dados bem-sucedidas se devem a senhas fracas ou comprometidas, o gerenciamento de senhas está no centro de qualquer sistema IAM. Ao exigir o uso de um gerenciador de senhas, as organizações podem estabelecer e aplicar segurança de senha robusta em toda a organização, como o uso de senhas fortes e exclusivas para todas as contas, e garantir que as senhas sejam armazenadas com segurança.
Controle de acesso baseado em função (RBAC)
O gerenciamento de senha e o RBAC podem ser considerados a cabeça e o pescoço de um sistema IAM; sem um, o outro não pode funcionar. Enquanto o gerenciamento de senha garante a segurança das senhas do usuário, o RBAC controla o acesso do usuário. Usando o RBAC, os administradores de TI podem restringir os privilégios de acesso do usuário de acordo com a função do trabalho e aplicar o acesso com privilégios mínimos, o que significa que os usuários devem receber o nível mínimo de acesso absolutamente necessário para desempenhar suas funções, e nada mais.
Por exemplo, não há razão para que todos tenham acesso à plataforma de desenvolvimento de uma organização; o acesso deve ser restrito a desenvolvedores e administradores de TI. Em toda a organização, os usuários podem receber acesso somente leitura a alguns documentos, ao mesmo tempo que podem editar e excluir privilégios completos para outros.
Autenticação multifator (MFA)
Quando um sistema ou aplicativo é protegido por MFA, o usuário precisa de mais de um fator de “autenticação” para fazer login. Normalmente, isso é algo que o usuário sabe, como uma senha ou PIN, além de algo que o usuário possui, como um chaveiro ou um código enviado ao dispositivo móvel ou algo que faça parte do corpo do usuário, como uma impressão digital. Isso fornece um nível extra de segurança no caso de a senha de um usuário ser comprometida; os cibercriminosos não conseguirão fazer login sem o segundo fator de autenticação.
Single Sign-On (SSO) – Opcional
Embora o logon único (SSO) não seja uma necessidade para IAM, muitos sistemas IAM o incluem. O SSO permite que os usuários façam login em vários sites ou aplicativos em nuvem usando um conjunto de credenciais de login. O SSO é baseado em sessão; depois que um usuário faz login no SSO, ele não precisa fazer login novamente durante essa sessão.
No entanto, nem todos os aplicativos oferecem suporte ao SSO, ou pelo menos não ao protocolo SSO específico que uma organização está usando. Isso significa que os funcionários devem controlar as senhas dos sites e aplicativos que não oferecem suporte ao SSO ou à implantação de SSO em particular. Por esse motivo, o SSO não é a melhor solução para todas as organizações.
Benefícios do IAM
O benefício mais óbvio para uma solução IAM robusta é a segurança aprimorada, especialmente em um mundo pós-pandêmico onde o trabalho remoto é a norma, não a exceção. Os sistemas IAM permitem que os administradores de TI controlem o acesso do usuário, independentemente de onde os funcionários estão trabalhando ou de quais dispositivos estão usando.
Da mesma forma, o IAM também permite que as organizações concedam acesso aos sistemas para usuários fora da organização, como parceiros, prestadores de serviço e fornecedores, sem comprometer a segurança. Um sistema IAM robusto também:
- Aprimora a conformidade, forçando as organizações a definir claramente suas políticas e procedimentos de acesso de usuário, que são exigidos por uma série de mandatos de conformidade, incluindo HIPAA, Sarbanes-Oxley e diretrizes NIST. Muitas soluções de IAM fornecem ferramentas de auditoria e relatórios projetadas especificamente para auditorias de conformidade.
- Fornece prova de conformidade e diligência devida se uma organização for violada.
- Reduz as cargas de trabalho do help desk eliminando as solicitações de redefinições de senha e permitindo que os administradores de TI automatizem muitas tarefas de rotina.
- Impulsiona a inovação, permitindo que as organizações estendam com segurança o acesso à rede para uma variedade de aplicativos locais e SaaS.
- Aumenta a produtividade ao tornar mais fácil para os funcionários acessarem os sistemas de que precisam para fazer seu trabalho, além de eliminar a necessidade de controlar manualmente as senhas.
Embora algumas pequenas empresas possam pensar que as soluções de IAM estão fora de seu alcance devido a restrições de orçamento, o IAM não precisa ser um empreendimento caro. Muitas pequenas organizações podem obter proteção abrangente usando um gerenciador de senhas, RBAC, MFA e possivelmente uma solução SSO.