Gestão de identidades e acessos
Também conhecida como Identity and Access Management (IAM, IDM ou IdAM), refere-se à disciplina, framework de políticas de segurança com fim de gerenciar identidades digitais em ambientes corporativos. O gerenciamento de identidade abrange o provisionamento e de provisionamento de identidades, proteção, autenticação, autorização de identidades para acessar recursos e executar determinadas ações. Embora uma pessoa ou usuário tenha apenas uma identidade digital singular, ela pode ter muitas contas diferentes que o representa. Cada conta pode ter diferentes controles de acesso, tanto por recurso quanto por contexto.
O objetivo do IAM é garantir que as entidades certas usem os recursos certos quando precisam, usando os dispositivos que desejam usar. Veja abaixo os termos mais utilizados na área:
Termos e definições
Autenticação – A autenticação é o processo de provar que você é quem diz ser. Às vezes, a autenticação é abreviada para AuthN. Esta garante a identificação do usuário que irá solicitar autorização para um determinado sistema ou a validação da identidade digital para permitir o acesso a um local, sistema ou recurso online. Geralmente é baseado em um nome de usuário e uma senha.
Autorização – Autorização é o ato de conceder a uma parte autenticada a permissão para fazer algo. Ele especifica quais dados você tem permissão para acessar e o que pode fazer com esses dados.
Recursos – Podem dados, organizações, aplicações ou dispositivos presentes no sistema de gerenciamento de acesso.
Entidade – São objetos de usuários, grupos, funções, políticas ou um provedor de identidade armazenados no sistema de gerenciamento de identidades.
Credencial – É um item como nome de login e senha usados por uma pessoa ou entidade para provar a si mesmo a um sistema. De forma geral é uma prova de identidade.
Identidade – Refere-se às credenciais ou conjunto de valores de atributos (ou seja, características) pelos quais uma entidade é reconhecível e que, dentro de um escopo que é suficiente para distinguir essa entidade de qualquer outra, permitindo que um usuário obtenha acesso a um sistema.
Atributo – È um identificador para um elemento de dados único ou de vários valores que está associado a um objeto, no caso um usuário. Um objeto consiste em seus atributos e seus valores. Por exemplo, cn (nome comum), rua (endereço) e mail (endereços de e-mail) podem ser atributos de um objeto de usuário.
Perfil de acesso – Conjunto de atributos de cada usuário, definidos previamente como necessários para credencial de acesso.
Token de acesso – O token de acesso representa a autorização de um aplicativo específico para acessar partes específicas dos dados de um usuário. Ele contém as credenciais de segurança para uma sessão de login e identifica o usuário, os grupos do usuário, os privilégios do usuário e, em alguns casos, um aplicativo específico.
Controle de acesso – Conjunto de procedimentos, recursos e meios utilizados para conceder ou bloquear o acesso ao uso de recursos de uma Organização. Via de regra, requer procedimentos de autenticação.
Níveis de acesso – Especificam quanto de cada recurso ou sistema o usuário pode utilizar.
Segregação de Funções – São permissões que não podem ser concedidas em conjunto a um mesmo usuário. Para este projeto, são permissões que não podem fazer parte do mesmo perfil de acesso no momento de sua criação;
Ciclo de vida de identidade – O gerenciamento do ciclo de vida da identidade se refere ao processo de gerenciamento das identidades dos usuários e aos privilégios de acesso de funcionários e contratados ao longo de sua gestão, desde o primeiro dia até a separação. Um elemento fundamental de uma solução de gerenciamento de ciclo de vida de identidade é a automatização, pois simplifica os processos associados à integração e desativação de usuários, atribuindo e gerenciando direitos de acesso e monitorando e rastreando atividades de acesso.
Governança e administração de identidade – A governança e administração de identidade (IGA – Identity governance and administration) mescla governança de identidade e administração de identidade para fornecer funcionalidade adicional além das ferramentas tradicionais de gerenciamento de identidade e acesso (IAM). Particularmente, eles oferecem suporte valioso na auditoria e cumprimento dos requisitos de conformidade.
Os sistemas IGA também podem ajudar a automatizar fluxos de trabalho para provisionar e de provisionar usuários. Isso é especialmente importante devido à necessidade crescente de os usuários fazerem logon a partir de qualquer lugar e dispositivo, o que torna o gerenciamento de identidade e acesso difícil de gerenciar.
Provisionamento – Ato de conceder ou revogar acessos a um determinado usuário, garantindo que as contas do usuário sejam criadas, com as permissões adequadas, alteradas, desabilitadas e excluídas.
Provisionamento automatizado de conta de usuário é quando essas ações são acionadas quando as informações são adicionadas ou alteradas em um “sistema de origem” (por exemplo, sistema de RH). Novas contratações, promoções, transferências e saídas são exemplos de eventos que podem acionar processos automatizados de provisionamento de contas de usuários.
Revogação de Acessos – Termo utilizado para o ato de impedir o acesso de uma determinada pessoa ou usuário a um sistema.
Federação – Trata-se de uma implementação ou integração que permite que informações de identidade sejam desenvolvidas e compartilhadas entre diversos entidades e domínios de confiança.
Prestador de serviços (SP) – Um sistema que fornece um serviço ao usuário em um sistema federado. Para os usuários, um provedor de serviços é a mesma coisa que o aplicativo que eles estão tentando usar.
Provedor de identidade (IdP) – Um sistema que valida a identidade de um usuário em um sistema federado. O provedor de serviços usa o IdP para obter a identidade do usuário atual.
Login único ou single sign on (SSO) – O SSO é um sistema de identificação comumente usado nas empresas para verificar a identidade dos usuários. Ele permite que um usuário autorizado faça logon com segurança em várias aplicações de SaaS e sites usando apenas um conjunto de credenciais (nome de usuário e senha).
O SSO pode ser visto como uma versão automatizada do MFA. Estes geralmente autenticam usuários com a MFA e, em seguida, usando tokens, compartilham essa autenticação com várias aplicações integradas. Ele também pode ser usado para impedir o acesso a recursos ou locais designados, como plataformas e sites externos.
A vantagem de usar a abordagem de SSO para IAM, além de um processo de logon mais simples para usuários finais, é que ela capacita os administradores de TI para definir permissões, regular o acesso do usuário e provisionar e de provisionar usuários com facilidade.
Endpoint – Os endpoints fornecem aos clientes OAuth a capacidade de se comunicar com o servidor OAuth ou servidor de autorização dentro de uma definição. Todos os endpoints podem ser acessados por meio de URLs. A sintaxe dos URLs é específica para a finalidade do acesso.
Matadata – Metadados SAML ou metadata são dados de configuração necessários para negociar acordos automaticamente entre entidades do sistema, compreendendo identificadores, suporte de ligação e terminais, certificados, chaves, recursos criptográficos e políticas de segurança e privacidade. Diversas especificações SAML padronizam estruturas e conteúdos de metadados, apoiando assim processos de gerenciamento eficientes para implantações.
Os sistemas de gerenciamento de identidade, incluindo federações de identidade, precisam ter um entendimento comum sobre quais entidades fazem parte do sistema e os parâmetros de configuração dos participantes entidades do sistema. Esta configuração é chamada de metadados e pode ser trocada de forma informal e forma não estruturada, ou padronizada e estruturada com metadados SAML.
Verificação em duas etapas (2FA) ou múltiplo fatores (MFA) – Consiste na verificação em duas ou mais etapas que reforçam a segurança do login de um usuário combinando algo que o usuário sabe (nome de login e senha) com algo que o usuário tem (por exemplo um código de login de mensagem de texto enviado para seu telefone ou uma notificação push do smartphone).
CIAM – O Gerenciamento de identidade e acesso do cliente ou Customer Identity and Access Management é a forma como as empresas fornecem aos usuários finais acesso às suas propriedades digitais, bem como administram, coletam, analisam e armazenam com segurança os dados desses usuários.
O CIAM fica na interseção de segurança, experiência do cliente e análise. Fornecer uma maneira fácil e sem atrito para os usuários integrarem e fazerem login é fundamental para impulsionar as conversões e construir a fidelidade do cliente. Proteger dados confidenciais de intrusões maliciosas e tomar medidas para evitar violações de dados é fundamental para uma política de segurança sólida e conformidade com as leis de privacidade de dados. E compilar os dados do usuário em uma única fonte de informações é essencial para entender seus clientes.
As organizações precisam de soluções de gerenciamento de identidade e acesso (IAM) para várias classes de usuários finais: funcionários, clientes corporativos e clientes. Mas cada tipo de usuário requer um equilíbrio diferente de segurança e experiência do usuário (UX). É por isso que as soluções CIAM fornecem um conjunto único de recursos distintos de soluções B2B ou de identidade da força de trabalho.
PAM – O gerenciamento de acesso privilegiado ou Privileged access management consiste em estratégias e tecnologias de segurança para exercer controle sobre o acesso elevado (“privilegiado”) e permissões para usuários, contas, processos e sistemas em um ambiente informatizado. Ao discar o nível apropriado de controles de acesso privilegiado, o PAM ajuda as organizações a condensar a superfície de ataque de sua organização e prevenir, ou pelo menos mitigar, os danos decorrentes de ataques externos, bem como de negligência interna ou negligência.
Embora o gerenciamento de privilégios englobe muitas estratégias, um objetivo central é a aplicação do menor privilégio, definido como a restrição de direitos de acesso e permissões para usuários, contas, aplicativos, sistemas, dispositivos (como IoT) e processos de computação ao mínimo absoluto necessário para realizar atividades de rotina autorizadas.
Protocolos
LDAP – O Lightweight Directory Access Protocol (LDAP) é um protocolo de código aberto não associado a nenhum fornecedor específico, embora forneça a base para o Active Directory da Microsoft. O LDAP foi estabelecido como um padrão da indústria na década de 1990 e está entre os protocolos de gerenciamento de acesso e identidade mais antigos. Ele é executado acima da pilha TCP / IP e é mais frequentemente usado em organizações modernas como uma ferramenta para lidar com a autenticação de aplicativos locais.
Como o nome sugere, o LDAP está associado ao acesso ao diretório. Quando um usuário deseja se conectar a um diretório, pesquisar seu conteúdo ou modificar o próprio diretório, o LDAP retransmite as informações necessárias para autenticação e autorização subseqüente. O protocolo é flexível e pode ser personalizado de acordo com as necessidades dos sistemas para tornar a localização e a interação com os recursos em uma rede mais fácil e segura.
SAML – O protocolo SAML (Security Assertion Markup Language) é um padrão aberto usado com frequência em sistemas que empregam o método Single Sign-On (SSO) permitindo que eles acessem vários aplicativos com um conjunto de credenciais, geralmente inserido apenas uma vez simplificando as experiências de login para os usuários, fortalecendo a segurança e reduzindo os custos e a complexidade para os provedores de serviços. Hoje o protocolo se encontra na versão 2.0.
Ele é baseado em XML (eXtensible Markup Language) para a transferência de dados de identidade entre duas partes: um provedor de identidade (IdP) que executa autenticação e passa a identidade do usuário e o nível de autorização para o provedor de serviços e e um provedor de serviços (SP) que confia no provedor de identidade e autoriza o usuário fornecido a acessar o recurso solicitado.
Mais informações sobre o protocolo SAML: https://datatracker.ietf.org/doc/html/rfc7522
OAuth – Este framework de autorização funciona permitindo que aplicativos aprovados usem credenciais de login de um serviço ou plataforma para fornecer acesso a aplicativos adicionais sem exigir logins separados. A autorização pode ser concedida ou revogada pelo usuário a qualquer momento.
Quando as credenciais são enviadas usando este protocolo, o OAuth funciona para autenticar a identidade do usuário inicial e autorizar conexões entre os aplicativos. Esse tipo de autorização é conhecido como autorização “segura, de terceiros, agente do usuário, delegada” e não exige que as credenciais iniciais sejam transferidas entre os aplicativos para que um usuário obtenha acesso. Grandes plataformas voltadas para o cliente, como Facebook, Google e Twitter, contam com OAuth para conectar aplicativos de terceiros com a permissão dos usuários.
Mais informações sobre o OAuth: https://datatracker.ietf.org/doc/html/rfc6749
OpenID – Assim como o SAML, o OpenID é usado (muitas vezes em conjunto ao OAuth) para autenticação em aplicações da web e pode ser visto na prática ao interagir com produtos do Google e do Yahoo! A implementação desse protocolo é menos complicada do que a implementação do SAML, tornando-o mais acessível para uma variedade de aplicativos.
Parte do benefício do OpenID para aplicativos de consumidor é a capacidade dos usuários de manter uma identidade consistente entre as plataformas. Ele suporta o uso de um único identificador e senha para conectar-se a todos os serviços que um usuário está autorizado a acessar.
OpenID é semelhante ao OAuth em suas aplicações e tem algumas das mesmas funcionalidades do SAML. Como conceder acesso sem criar outro ponto no qual as credenciais de acesso possam ser comprometidas, o OAuth pode beneficiar as organizações que usam ou criam aplicações para os quais esse acesso estendido é necessário.
Mais informações sobre OpenID: https://datatracker.ietf.org/doc/html/rfc6616
Kerberos – Este protocolo aberto gratuito foi desenvolvido no Massachusetts Institute of Technology (MIT) e usa um sistema de tickets e autenticadores para verificar as identidades dos usuários. Kerberos não é amplamente utilizado, exceto por aplicativos do Microsoft Windows, nos quais auxilia no processo de entrada automática para produtos e recursos da Microsoft.
Em sistemas que usam Kerberos, um “reino Kerberos” é criado para encapsular todos os recursos aos quais um usuário pode solicitar acesso. Esse domínio também hospeda o Centro de distribuição de chaves (KDC), no qual reside o servidor de autenticação (AS) e o servidor de concessão de tíquetes (TGS). Quando as credenciais de autenticação são fornecidas usando o método SSO, ele aciona uma série de ações nas quais as informações do usuário estão localizadas, as chaves criptografadas são enviadas e recebidas entre o usuário e o servidor e, se as credenciais de acesso estiverem corretas, um tíquete é concedido para a sessão. Neste cenário de identificação cliente-servidor, informações
SCIM – O protocolo SCIM ou System for Cross-domain Identity Management torna o gerenciamento do ciclo de vida mais fácil, dando às organizações o poder de provisionar ou de provisionar usuários automaticamente conforme eles entram ou saem de um sistema. Ao compartilhar informações de atributos, o SCIM é capaz de auxiliar no gerenciamento de permissões de usuários e manter a unidade de dados.
Com muitas empresas dependendo fortemente de SaaS para troca de informações, colaboração e tarefas de atendimento ao cliente, é essencial ter um protocolo com a capacidade de suportar mudanças dinâmicas nos requisitos de acesso. O protocolo cumpre essa função como um padrão aberto capaz de automatizar a troca de dados de identificação de um sistema informatizado para outro.
Mais informações sobre SCIM https://datatracker.ietf.org/doc/html/rfc7644
RBAC e zero-trust
RBAC – O controle de acesso baseado em funções (RBAC – Role-based access control) é um método de restringir o acesso à rede com base nas funções de usuários em uma empresa. Permitindo que os funcionários tenham direitos de acesso apenas às informações de que precisam para fazer o seu trabalho e os impede de acessar informações que não lhes pertencem, o que vai de encontro com um dos princípios básicos de controle de acesso, que é a ideia de “privilégio mínimo”.
Privilégio mínimo – É o conceito de restringir os direitos de acesso para usuários, concedendo-lhes apenas aos recursos necessários para executar suas atividades rotineiras.
Zero-trust – Ao aplicar uma estrutura de segurança zero-trust como parte do RBAC, onde controles de acesso muito rigorosos são mantidos com todos os usuários que solicitam acesso aos recursos de trabalho, as empresas podem evitar ainda mais o acesso não autorizado, e até mesmo conter violações e reduzir o risco de movimentação lateral de um invasor através da rede.
ABAC – O controle de acesso baseado em atributos (ABAC), também conhecido como controle de acesso baseado em políticas para IAM, define um paradigma de controle de acesso em que os direitos de acesso são concedidos aos usuários por meio do uso de políticas que combinam atributos. As políticas podem usar qualquer tipo de atributos (atributos do usuário, atributos do recurso, objeto, atributos do ambiente etc.). Este modelo oferece suporte à lógica booleana, na qual as regras contêm instruções “IF, THEN” sobre quem está fazendo a solicitação, o recurso e a ação.
Ao contrário do controle de acesso baseado em função (RBAC), que emprega funções predefinidas que carregam um conjunto específico de privilégios associados a eles e aos quais os sujeitos são atribuídos, a principal diferença com o ABAC é o conceito de políticas que expressam um conjunto complexo de regras booleanas que pode avaliar muitos atributos diferentes.
Fontes:
Computer Security Division, Information Technology Laboratory (2016-05-24). “Attribute Based Access Control | CSRC | CSRC”. CSRC | NIST. Retrieved 2020-11-22.
https://csrc.nist.gov/
love4tek 
Achei o conteúdo fantástico, super bem escrito, não havia lido algo tão completo a com tantas referências, parabéns ao escritor.
CurtirCurtido por 1 pessoa