A Gestão de Identidade e Acesso (IAM) é um princípio de cibersegurança que oferece recursos centralizados na automação, segurança e governança.
Ele oferece maior visibilidade sobre os usuários e as atividades da empresa, o que resulta em um maior controle sobre os acessos e ajuda a reduzir os riscos de violação de dados com acesso não autorizado.
Para saber como colocar isso em prática na sua empresa, leia o post até o final.
O que é uma Gestão de Identidade e Acesso?
Também conhecida pelo acrônimo IAM (Identity and Access Management, termo em inglês), esse princípio representa um conjunto de processos, políticas e ferramentas para definir e gerenciar as funções e privilégios de usuários e grupos para utilizarem os sistemas, redes e dados em nuvem.
Com isso, as organizações ganham flexibilidade para controlar o acesso a plataformas corporativas com políticas adequadas, por meio da proteção do acesso aos dados em qualquer dispositivo, hora e lugar.
Os recursos fornecem a autenticação adaptável, ao aumentar os requisitos de login para usuários com base no dispositivo, localização e comportamento quando o acesso é considerado não autorizado.
Qual a sua importância?
As técnicas de gestão de identidade costumam ser o primeiro passo para tornar o ambiente de nuvem mais seguro e mitigar o risco de ameaças cibernéticas.
Isso porque permite que as empresas definam suas políticas de acesso para descrever o tipo de usuário que pode ter acesso a determinado recurso ou aplicativo e o nível de permissão.
Esse processo acontece de forma contínua e à medida que ocorram mudanças sobre os usuários, como uma demissão ou um novo cargo com outras responsabilidades. Um exemplo de boa prática é remover o acesso de determinado usuário que executou uma tarefa pontual, para mitigar o risco de insider malicioso.
O IAM vai além da proteção dos usuários e também inclui a autenticação de entidades não humanas, como chaves de aplicativos, APIs e secrets, agentes e contêineres.
Outro ponto de destaque é que o IAM ajuda a aumentar a conformidade com as normas do mercado como LGPD, que exige políticas rígidas sobre quem pode acessar os dados pessoais e para quais finalidades. Dessa forma, as empresas podem rastrear a atividade do usuário para comprovar a conformidade durante uma auditoria.
As 5 principais práticas do IAM
1- Autenticação multi-fator (MFA)
É um método para autenticação que exige do usuário informar dois ou mais fatores de confirmação para acessar algum recurso computacional ou uma aplicação. Esses fatores incluem um código de segurança enviado ao telefone do usuário, uma chave de segurança física ou biometria, como digitalizações de impressão digital.
2- Single sign-on (SSO)
O SSO fornece a consolidação da senha e credenciais do usuário em uma única conta com habilitação de senha forte para simplificar o acesso aos serviços. O SSO autentica o usuário e gera um certificado ou token que atua como uma chave de segurança para outros recursos, e assim um usuário pode acessar o sistema sem usar credenciais diferentes.
3- Provisionamento
É o processo de automatizar a criação de identidades, definição de privilégios de acesso, gerenciamento de senhas, autorizações de e-mail, dentre outros. Ele abrange todo o ciclo de vida do usuário, o que inclui a alteração de funções e a desativação de contas de usuário em todos os sistemas.
4- Governança de identidade
As ferramentas do IAM geram relatórios após a maior parte das ações realizadas na plataforma, como tempo de login, sistemas acessados e tipo de autenticação para ampliar a conformidade e avaliar os riscos de segurança.
5- Gerenciamento de contas privilegiadas
Aplicar o Princípio de Privilégio Mínimo ajuda a definir corretamente as permissões, ou seja, disponibilizar apenas o nível de acesso necessário para concluir determinada atividade, sendo que no caso de uma tarefa pontual tal permissão deve ser revogada tão logo que seja concluída.
Os diferenciais do IAM nos principais provedores de nuvem
AWS
Os administradores podem criar um recurso denominado Usuário do IAM, um objeto que representa a política IAM responsável por determinar os recursos de acesso.
As Funções do IAM são usadas para delegar acesso de grupos, usuários ou serviços a determinados recursos na AWS, inclusive por prazo determinado.
Um destaque é o AWS IAM Identity Center, com o qual é possível realizar o gerenciamento centralizado de identidades e a federação de usuários por provedores de identidade, de modo que os administradores podem gerenciar e fornecer acesso a usuários nas contas da AWS.
Azure
O Azure Active Directory (Azure AD) é responsável por criar e convidar novos usuários, ou gerenciar como eles acessam os aplicativos no ambiente.
Um destaque é a possibilidade de rotear a atividade para diferentes pontos do Azure AD, por meio da integração com logs de entrada, auditoria e analytics – que ajuda a identificar o padrão de entrada de usuários, a quantidade de identidades, status dessas entradas, quantidade de alterações de senhas, dentre outros.
Google Cloud
O Google Cloud Identity and Access Management é um serviço de gerenciamento de identidade e acesso, com controle de acesso granular para os usuários atribuirem permissões específicas para determinados recursos e monitorarem a atividade dos acessos – muito semelhante àquele oferecido pela AWS.
Um destaque é o Recommender, que facilita a remoção de acessos indesejados a recursos do ambiente com uso de recomendações geradas por Machine Learning.
Exemplos de checks do CleanCloud Score para IAM
Para utilizar os recursos do IAM corretamente nos provedores de nuvem como AWS, Azure e Google Cloud, o CleanCloud Score oferece as seguintes recomendações:
1- Utilize uma política IAM para impedir a reutilização de senhas
Evitar a reutilização de senhas antigas mitiga o risco de uso de senhas perdidas ou compartilhadas, de forma indevida.
- Senha do IAM sem política de reutilização: isso pode aumentar o risco de violação de segurança, como acesso indevido à conta da AWS, roubo ou vazamento de credenciais e violação de dados.
2- Habilitar Multi-Factor Authentication (MFA)
O MFA aumenta a segurança, pois exige pelo menos duas formas de autenticação antes do acesso ser concedido aos usuários que possuem permissões de escrita aos recursos da nuvem Azure.
- Usuários privilegiados sem MFA: essa prática aumenta o risco do acesso indevido, especialmente em caso de extravio das credenciais originais dos usuários.
3- Utilize chaves gerenciadas pelo provedor
Essa prática aumenta a segurança do serviço que utiliza a chave, pois ela não pode ser transferida via download já que é alterada automaticamente e utilizada para assinatura durante no máximo duas semanas.
- Uso de chaves gerenciadas pelo usuário: mesmo com as precauções do proprietário da chave, as chaves podem ser vazadas pelo desenvolvimento de práticas inadequadas.
Controle de acesso para nuvem com o CleanCloud Score
Para aumentar a segurança na nuvem da sua empresa, é importante evitar que os recursos de gerenciamento de Identidade e Acesso no ambiente sejam mal configurados.
O CleanCloud Score é uma solução que ajuda a obter mais visibilidade sobre os ativos do ambiente para identificar melhorias de configuração, além de oferecer as práticas recomendadas de remediação.
Para saber mais sobre o produto, acesse o site.