A diferença entre Gerenciamento de Identidade de Acesso (Identity & Access Management) e Gerenciamento de Acesso Privilegiado (Privileged Access Management).
É incontestável a importância de ter uma identidade. Não só os documentos pessoais definem nossa identidade perante a sociedade, mas qualquer característica que possa retratar quem somos e o que fazemos.
Nome, personalidade, aparência física e outras características em conjunto criam uma imagem única de cada pessoa, definem a sua identidade. Considerando que o planeta Terra tem 7,7 bilhões de seres humanos registrados, não possuir uma identidade torna praticamente impossível a tarefa de reconhecer um indivíduo entre todos estes.
Imagine um sistema em que todos os usuários possuem a mesma identidade: Bob loga no sistema e tem acesso ao banco de dados com informações dos clientes da empresa, da mesma forma que Alice faz todos os dias para executar suas tarefas, porém Bob trabalha na área de Recursos Humanos e não necessita de informações de clientes. Com usuários que possuem a mesma identidade, como saber se o acesso é autêntico? Ou se o usuário possui autorização para a sua requisição?
A resposta mais provável é que este tipo de acesso não autorizado não pode ser evitado. Um sistema precisa possuir uma visibilidade que possibilite saber quem são os usuários do sistema e o que eles fazem, deste modo, cada um deve possuir sua identidade dentro do sistema.
Devido a esta preocupação, surge o conceito Identity & Access Management (IAM) ou Identidade e Gestão de Acesso, sistema que possibilita gerenciar identidades e seus acessos aos recursos da organização (dispositivos, aplicações, ambientes, arquivos de rede etc.), ou seja, gerenciar e definir o que cada usuário é e poderá fazer no sistema.
Esses usuários podem ser clientes que necessitam, de alguma forma, ter acesso a informações da organização, empregados, funcionários terceirizados ou até mesmo aplicações. Independentemente do tipo de usuário, sistemas IAM seguem a ideia que cada usuário deve ter a sua própria identidade digital, deve ser individual, mantida e monitorada de acordo com o ciclo de vida que possuirá (criação, manuseio e exclusão). A identidade digital inclui: username, senha e atividades realizadas on-line.
O IAM possui alguns modelos de aplicação, talvez o mais comum seja o sistema usado como serviço. É chamado de Identity as a Service (IDaaS) ou Identidade como Serviço, isso se dá quando a infraestrutura de autenticação é sustentada e gerenciada por um terceiro.
No geral, existem muitos modelos de aplicação, porém todo sistema IAM deve possuir ferramentas que possibilitem habilitar e desabilitar contas, banco de dados para armazenamento das informações de usuário e meios para conceder e revogar direitos de acesso.
Infraestruturas organizacionais estão sempre evoluindo; ambientes em nuvem, BYOD (bring your own device ou traga o seu próprio dispositivo), IoT e outras tantas tecnologias podem ser um conjunto de fatores capazes de dificultar o gerenciamento de identidades, cujo número é crescente com essa evolução. Assim sendo, não possuir um sistema de gerenciamento de identidades efetivo pode acarretar problemas e riscos de segurança muito graves.
IAM x PAM
Em resumo, sistemas IAM gerenciam identidades digitais, tentando garantir que o acesso seja concedido àqueles que de fato têm direito, sendo que esta definição, para muitos, pode lembrar a de soluções Privileged Access Management (PAM) ou Gerenciamento de Acesso Privilegiado, que são contextualizadas como soluções que fazem a gestão de acesso a partir do controle, armazenamento, segregação e rastreamento de todas as credenciais privilegiadas.
Comumente, os dois termos são fáceis de serem confundidos se a palavra “privilégio” for ignorada. IAM gerencia identidades para acessos comuns que acontecem em atividades rotineiras; PAM controla o acesso de usuários privilegiados e ativos em ambientes críticos do sistema.
Soluções PAM são um passo a mais em relação aos sistemas IAM, pois protegem dados críticos de usuários privilegiados que podem abusar de seus benefícios e fazer uso incorreto dos dados que manipulam. Sistemas IAM conseguem habilitar e remover acessos, mas não concedem as mesmas funcionalidades de soluções PAM, tais como:
Cofre de senhas: gerenciamento e proteção de credencias críticas através de monitoramento de sessões.
Limite de uso: limitação do uso da conta com base em um tempo específico, uma quantidade de aprovação determinada.
Discovery: auto discovery de credenciais privilegiadas que possam estar no sistema sem o conhecimento do administrador.
Visibilidade: visão do que acontece quando um acesso é requisitado, aprovado e executado.
Auditoria: gravação de evidências de acessos realizados de forma correta ou não.
Entre outras funcionalidades, enquanto o IAM define o que Bob e Alice poderão ver ou fazer no sistema, a solução PAM garante que Alice não poderá apagar, copiar ou modificar nenhuma informação de seu sistema crítico sem ser monitorada ou bloqueada, caso suas ações sejam consideradas maliciosas.
Uma solução PAM faz parte de um sistema IAM, assim como funções de múltiplo fator de autenticação e single sign-on (acesso em diversas aplicações com apenas um login), já que essas funções e ferramentas habilitam uma autenticação mais segura, além do uso cauteloso de identidades e perfis. Por isso, IAM e PAM podem trabalhar juntos, aliás, é o que se recomenda.
Sistemas IAM oferecem aos administradores a facilidade de modificar um usuário, criar relatórios de uso e reforçar políticas, mas falham no gerenciamento de contas privilegiadas. Soluções PAM entregam informações sobre o que está sendo feito, as sessões iniciadas e como as credenciais estão sendo usadas.
IAM + PAM
A primeira frente de batalha no gerenciamento deve ser o IAM, que define e gerencia as identidades existentes no sistema, seguida do PAM, que controla e monitora o uso de credenciais privilegiadas.
As duas soluções suprem as necessidades uma da outra. IAM cria, modifica e apaga contas privilegiadas; mudanças em políticas e procedimentos serão automaticamente atribuídos em soluções PAM por meio do IAM.
Obter o controle de usuários e contas do sistema é o objetivo de segurança de muitas organizações. Implementar soluções IAM e PAM é um ótimo começo, mas quando feitas de forma independente, podem não ser tão eficazes, mas quando integradas, conseguem de fato cobrir questões importantes de acesso. Soluções IAM gerenciam todas as identidades digitais e seus acessos, e soluções PAM dão um passo a mais trazendo segurança e compliance para estes acessos, protegendo dados críticos e controlando contas privilegiadas.
As soluções de IAM e PAM, poderão ajudá-los com relação a normas de segurança e a LGDP.
Quer saber mais? Agende uma demonstração do produto.
