Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
COMPARTILHAR
Gerenciamento de Identidade e Acesso: Por que as organizações precisam disso?
Nos últimos anos, muito tem sido escrito sobre a segurança da identidade, acesso e atividades permitidas para cada usuário em cada ativo empresarial, seja ele uma aplicação, dispositivo móvel, rede, infra-estrutura local ou em nuvem, bancos de dados, roteadores, etc.
O conceito de Gerenciamento da Identidade tornou-se confuso com o surgimento de uma pletora de soluções de diferentes fornecedores para remediar numerosos aspectos da identidade e/ou acesso.
A disseminação e o uso de siglas como IAM, IDaaS, SaaS, PIM, PAM, MFA, 2FA, SSO, ZT, AI e muitas outras, que são usadas para definir conceitos relacionados, mas não equivalentes, a diferentes domínios da Gestão da Identidade acrescentam dificuldades na compreensão do assunto.
Nesta nota tentaremos colocar alguma ordem nos diferentes conceitos relacionados à Gestão de Identidade e Acesso, e em notas futuras aprofundaremos cada um desses conceitos, ferramentas e processos, procedimentos e como eles são integrados ao objetivo principal, que é a proteção dos ativos de TI de cada organização.
I.A.M. é a sigla para Gerenciamento de Identidade e Acesso e de uma maneira simples pode ser dito que se refere ao gerenciamento e conexão segura dos usuários com os diferentes ativos da organização.
Por que as organizações precisam de um sistema IAM?
Os cibercriminosos procuram encontrar e aproveitar a fraca autenticação, autorização e mecanismos de acesso aos ativos da organização.
Estas vulnerabilidades são a principal razão para a implementação de um sistema I.A.M.
Pode-se dizer que para cada um dos mecanismos listados acima, existe um grande número de soluções integradas ou não integradas dentro de uma mesma plataforma para lidar com cada vulnerabilidade.
Tipos de sistemas I.A.M.
Ao analisar os tipos de sistemas I.A.M. adequados para cada organização, duas categorias principais devem ser consideradas, dependendo da infra-estrutura instalada:
- Nas Instalações: Estes tipos de IAM, como seu nome sugere, são implementados em organizações que têm sua infra-estrutura instalada em seus próprios Data Centers, e controlam diretamente toda a infra-estrutura de servidores, firewalls, aplicações, redes, etc.
- Nuvem: Quando fornecedores terceiros fornecem Nuvem ou Identificação como Serviço IAM. Neste caso, eles usarão suas soluções proprietárias para gerenciar a autenticação e a autorização de acesso.
Principais funções de um sistema I.A.M.
As principais funções de uma estrutura de sistema I.A.M. são:
- Como identificar os usuários.
- Como autenticar sua identificação.
- Como adicionar, excluir, atualizar e atribuir papéis e funções a cada usuário para cada aplicação e/ou ativo da organização.
Estas funções, quando implementadas de forma integrada e correta, permitirão aos usuários acessar somente os dados e a infra-estrutura de que necessitam para desempenhar suas funções, mas nem sempre é fácil implementá-las corretamente.
Como implementar estas funções.
Para cada uma dessas funções, existem diferentes tecnologias e plataformas para implementá-las:
- Single Sign On (SSO): Estas ferramentas permitem aos usuários acessar um serviço, aplicação ou outro ativo usando um único conjunto de credenciais, sejam senhas ou ferramentas biométricas.
- Autenticação multi-fator (AMF): Estas ferramentas permitem através de diferentes elementos confirmar a identidade de um usuário através de um ou mais mecanismos de autenticação. Basicamente, estes elementos estão relacionados a "algo que eu sei", "algo que eu tenho" ou "algo que eu sou" que pode ser usado na forma de uma senha, identificação biométrica, verificação através da resposta a uma mensagem de texto, e-mail ou chamada telefônica.
- Role Based Access Control (RBAC): São ferramentas que permitem a administração centralizada e a segregação da gestão de funções e permissões que cada usuário ou grupo de usuários tem em relação aos diferentes ativos da organização.
Conclusão:
Pequenas, médias e grandes organizações são alvos de ameaças externas que podem tentar assumir o controle, roubar ou extorquir, assumindo o controle da identidade de diferentes usuários.
O principal objetivo da implementação de um sistema I.A.M. é permitir a gestão de identidade e acesso para prevenir e proteger contra violações de segurança.
Selecionar, adquirir, implementar e manter um sistema IAM pode ser caro em tempo, pessoas e dinheiro, dependendo do tamanho da organização.
Para minimizar as atividades de interrupção para os funcionários e a empresa, as organizações estão procurando envolver empresas com experiência na implementação de soluções de segurança de TI.
Na BASE4 Security temos especialistas certificados nas principais ferramentas e plataformas, prontos para ajudar as organizações a definir as melhores soluções para suas necessidades, e prevenir possíveis e dispendiosas violações de segurança.