Os sistemas de gerenciamento de identidades e acesso (IAM) verificam a identidade do usuário e controlam seus privilégios.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Controle de acesso
O que é SASE?
Segurança Zero Trust
Provedor de identidade (IdP)
Gateway seguro da web
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O gerenciamento de identidade e acesso (IAM ou IdAM, quando abreviado) é uma maneira de dizer quem é um usuário e o que ele tem permissão para fazer. O IAM é como o segurança na porta de uma boate, com uma lista de quem tem permissão para entrar, quem não tem permissão para entrar e quem pode acessar a área VIP. O IAM também é chamado de "gerenciamento de identidade" (IdM).
Em termos mais técnicos, o IAM é uma forma de gerenciar um determinado conjunto de identidades digitais dos usuários e os privilégios associados a cada identidade. É um termo "guarda-chuva", isto é, abrange vários produtos diferentes, todos com a mesma função básica. Dentro de uma organização, o IAM pode ser um único produto ou uma combinação entre processos, produtos de software, serviços de nuvem e hardware que proporciona aos administradores visibilidade e controle dos dados da organização que os usuários individuais podem acessar.
A identidade completa de uma pessoa não pode ser carregada e armazenada em um computador; portanto, "identidade", no contexto de computação, significa um determinado conjunto de propriedades que podem ser convenientemente medidas e registradas digitalmente. Pense em uma carteira de identidade ou passaporte: nem todos os fatos envolvendo uma pessoa estão registrados em uma carteira de identidade, mas o documento contém características pessoais suficientes para que a identidade de uma pessoa possa ser rapidamente verificada se for confrontada com os dados da carteira.
Para verificar a identidade, um sistema de computador avaliará um usuário em busca de características que lhe são específicas. Se houver correspondência, a identidade do usuário é confirmada. Essas características também são conhecidas como "fatores de autenticação", porque ajudam a confirmar que um usuário é quem ele diz que é.
Os três fatores de autenticação mais amplamente utilizados são:
Algo que o usuário sabe: esse fator é algo que apenas um usuário deve saber, como uma combinação entre nome de usuário e senha.
Imagine que o John queira verificar seu e-mail de trabalho em casa. Para fazer isso, precisará primeiro fazer o login na sua conta de e-mail estabelecendo sua identidade, porque se alguém que não fosse o John acessasse o e-mail dele, os dados da empresa ficariam comprometidos.
John faz login digitando seu e-mail, john@company.com , e uma senha que apenas ele sabe — por exemplo, “5jt*2)f12?y”. Presumivelmente, ninguém além de John sabe essa senha, então o sistema de e-mail reconhece o John e permite que ele acesse sua conta. Se alguém tentasse se passar por John digitando seu endereço de e-mail “john@company.com”, mas não soubesse a senha “5jt*2)f12?y” para digitá-la, não seria bem-sucedido.
Algo que o usuário tem: esse fator refere-se à posse de um token físico que é emitido para usuários autorizados. O exemplo mais básico desse fator de autenticação é o uso de uma chave física para entrar em casa. O pressuposto é que apenas o proprietário, inquilino ou alguém que tenha permissão para entrar na casa terá uma chave.
No contexto da computação, o objeto físico pode ser um chaveiro, um dispositivo USB ou até mesmo um smartphone. Suponha que a organização de John quisesse ter certeza absoluta de que todos os usuários realmente são quem eles dizem que são, verificando dois fatores de autenticação em vez de um. Agora, em vez de apenas digitar sua senha secreta — algo que o usuário sabe —, John precisa mostrar ao sistema de e-mail que ele possui um objeto que ninguém mais possui. John é a única pessoa no mundo que possui seu smartphone pessoal, então o sistema de e-mail envia um código único para ele e John digita o código para demonstrar que é o dono do telefone.
Algo que o usuário é: refere-se a uma propriedade física do corpo de uma pessoa. Um exemplo comum desse fator de autenticação em ação é o Face ID, um recurso oferecido por muitos smartphones modernos. A leitura de impressões digitais é outro exemplo. Os métodos menos comuns usados por algumas organizações de alta segurança incluem o reconhecimento de retina e exames de sangue.
Agora imagine que a organização de John decide reforçar ainda mais a segurança, fazendo com que os usuários verifiquem três fatores ao invés de dois (isso é raro). Agora, John precisa digitar sua senha, verificar a posse de seu smartphone e ler sua impressão digital antes de o sistema de e-mail confirmar que John é realmente o John.
Para resumir: no mundo real, a identidade de alguém é uma mistura complexa de características pessoais, história, localização e outros fatores. No mundo digital, a identidade de um usuário é composta de alguns ou de todos os três fatores de autenticação, armazenados digitalmente em um banco de dados de identidades. Para impedir que os impostores finjam que são usuários reais, os sistemas de computador verificarão a identidade do usuário no banco de dados de identidades.
"Acesso" significa quais dados um usuário pode ver e quais ações pode executar após fazer o login. Assim que fizer o login em seu e-mail, John poderá ver todos os e-mails que enviou e recebeu. No entanto, não deverá ser capaz de ver os e-mails enviados e recebidos por Tracy, sua colega de trabalho.
Em outras palavras, o simples fato de que a identidade de um usuário seja verificada não significa que a pessoa deva ser capaz de acessar o que quiser dentro de um sistema ou rede. Por exemplo, um funcionário de baixo nível dentro de uma empresa deve ser capaz de acessar sua conta de e-mail corporativa, mas não de acessar registros da folha de pagamento ou informações confidenciais de RH.
Gerenciamento de acesso é o processo de controlar e rastrear o acesso. Cada usuário dentro de um sistema terá privilégios diferentes dentro desse sistema, com base em suas necessidades individuais. Um contador realmente precisa acessar e editar os registros da folha de pagamento; assim, após verificar sua identidade, deve poder visualizar e atualizar esses registros, além de acessar sua conta de e-mail.
Na computação em nuvem, os dados são armazenados remotamente e acessados pela internet. Como os usuários podem se conectar à internet a partir de praticamente qualquer local e qualquer dispositivo, a maioria dos serviços de nuvem é independente de dispositivo e local. Os usuários não precisam mais estar no escritório ou em um dispositivo pertencente à empresa para acessar a nuvem. E, de fato, as forças de trabalho remotas estão se tornando cada vez mais comuns.
Como resultado, a identidade se torna o fator mais importante para controlar o acesso, não o perímetro da rede.* A identidade do usuário, não o dispositivo ou a localização, determina quais dados da nuvem ele pode acessar e se pode ou não ter algum acesso afinal.
Para entender por que a identidade é tão importante, aqui está uma ilustração. Suponha que um cibercriminoso queira acessar arquivos confidenciais no data center corporativo de uma empresa. Na época em que a computação em nuvem ainda não tinha sido amplamente adotada, o cibercriminoso teria que conseguir passar pelo firewall corporativo que protegia a rede interna, acessar fisicamente o servidor invadindo o edifício ou subornar um funcionário interno. O principal objetivo do criminoso seria ultrapassar o perímetro da rede.
No entanto, com a computação em nuvem, os arquivos confidenciais são armazenados em um servidor remoto na nuvem. Como precisam acessar os arquivos, os funcionários da empresa fazem login no navegador ou em um aplicativo. Se um cibercriminoso quiser acessar os arquivos, tudo de que precisam agora são as credenciais de login de um funcionário (como nome de usuário e senha) e uma conexão com a internet; o criminoso não precisa mais ultrapassar o perímetro da rede.
O IAM ajuda a prevenir ataques baseados em identidade e violações de dados provenientes de um aumento de privilégios (quando um usuário não autorizado tem acesso demais). Assim, os sistemas de IAM são essenciais para a computação em nuvem e para gerenciar equipes remotas.
*Perímetro da rede se refere aos limites de uma rede interna; trata-se de uma fronteira virtual que separa a rede interna gerenciada segura da internet não segura e não controlada. Todos os computadores de um escritório e também os dispositivos conectados, como as impressoras, estão dentro desse perímetro, mas um servidor remoto em um data center do outro lado do mundo, não.
Frequentemente o IAM é um serviço de nuvem que os usuários precisam ultrapassar para chegar ao resto da infraestrutura de uma organização na nuvem. Também pode ser implantado nas instalações de uma organização, em uma rede interna. Finalmente, alguns fornecedores de nuvem pública podem agrupar o IAM com seus outros serviços.
Empresas que utilizam uma arquitetura de nuvem multicloud ou híbrida podem, alternativamente, usar um fornecedor separado para o IAM. O fato de separar o IAM de outros serviços de nuvem pública ou privada oferece mais flexibilidade; se a empresa mudar de fornecedor de nuvem, ainda assim continuará mantendo sua identidade e acessando seu banco de dados.
Um provedor de identidade (IdP) é um produto ou serviço que ajuda a gerenciar identidades. Um IdP geralmente se encarrega do processo de login real. Os provedores de logon único (SSO) se encaixam nessa categoria. Os IdPs podem fazer parte de uma estrutura de IAM, mas de modo geral não ajudam no gerenciamento de acesso do usuário.
Identidade Como um Serviço (IDaaS) é um serviço de nuvem que verifica a identidade. Trata-se de um produto de SaaS de um fornecedor de nuvem, uma forma de terceirizar parcialmente o gerenciamento de identidades. Em alguns casos, o IDaaS e o IdP são essencialmente intercambiáveis, mas, em outros casos, o fornecedor de IDaaS oferece recursos adicionais além da verificação e do gerenciamento de identidades. Dependendo dos recursos oferecidos pelo fornecedor, o IDaaS poderá fazer parte de uma estrutura de IAM ou constituir o sistema de IAM inteiro.
A segurança Zero Trust é um modelo que verifica rigorosamente a identidade de cada usuário e dispositivo conectado a recursos em uma rede privada, esteja o usuário ou dispositivo dentro ou fora do perímetro da rede.O Zero Trust está intimamente ligado ao IAM, pois depende da verificação de identidade e restrição de acesso.
O Zero Trust usa autenticação multifator (MFA), que verifica dois ou três dos fatores de identidade listados acima em vez de apenas um.Também requer a implementação do princípio do menor privilégio para controle de acesso.Mais importante, uma vez que a identidade de uma pessoa é confirmada, o Zero Trust ainda não confia automaticamente nas ações dessa pessoa.Em vez disso, cada solicitação é monitorada e inspecionada individualmente em relação ao comprometimento da atividade.Saiba mais sobre Zero Trust.
O Cloudflare Access é um produto de IAM que monitora o acesso do usuário a qualquer domínio, aplicativo ou caminho hospedados na Cloudflare. Integra-se aos provedores de SSO e permite que os administradores alterem e personalizem as permissões do usuário. O Cloudflare Access ajuda a aplicar políticas de segurança tanto para funcionários no local quanto remotos.
A Cloudflare pode ser implantada na frente de qualquer configuração de infraestrutura de nuvem, proporcionando uma maior flexibilidade às empresas com implantação multicloud ou em nuvem híbrida que inclui um provedor de IAM.