A perspetiva da Cyber Academy
IAM é a disciplina que gere quem pode aceder a quê, quando, como e em que condições. Aprovisionamento, autenticação, autorização, desaprovisionamento. A identidade é o novo perímetro. Toda a arquitetura Zero Trust é, no fundo, um problema complexo de IAM disfarçado de problema de rede.
O que a IAM realmente abrange
A Identity and Access Management é a disciplina operacional que decide quem pode aceder a quê, quando, como e sob que condições. Na prática, constrói-se a partir de um pequeno conjunto de funções repetíveis: provisionar uma identidade quando uma pessoa ou serviço chega, autenticar essa identidade no momento do acesso, autorizar as ações e os recursos específicos permitidos, e desprovisionar a identidade quando o papel ou a relação termina. A parte difícil raramente é um único ecrã de início de sessão. Consiste em manter íntegro ao longo do tempo o vínculo entre uma pessoa real, as suas identidades digitais e os seus direitos acumulados, através de dezenas de sistemas que têm cada um a sua própria ideia do que é uma conta.
Um modelo mental útil é o ciclo de vida da identidade. Quem entra recebe contas e um acesso de base. Quem muda de função passa de uma equipa para outra e deve perder os direitos antigos à medida que adquire os novos. Quem sai deve ser desligado de forma limpa. A maioria dos incidentes de acesso remonta a uma falha neste ciclo de vida: contas órfãs que nunca foram desativadas, ou privilégios que se acumularam porque o acesso foi concedido mas nunca revisto. A IAM é o sistema que torna o processo de entrada, mudança e saída fiável em vez de uma azáfama manual.
A identidade como perímetro
A IAM importa mais agora porque o limite de rede deixou de ser um controlo significativo. Os utilizadores ligam-se de qualquer lugar, as cargas de trabalho são executadas em vários fornecedores de nuvem, e as identidades de máquina (contas de serviço, chaves de API, tokens de carga de trabalho) muitas vezes superam em número as humanas. Quando não há um dentro e um fora a defender, a identidade torna-se a linha que decide o acesso. Esta é a ideia central por detrás do Zero Trust: nunca confiar por predefinição, verificar cada pedido face à identidade, à postura do dispositivo e ao contexto. Uma arquitetura Zero Trust é, no fundo, um exigente problema de IAM disfarçado de problema de rede.
A IAM é também onde vários controlos adjacentes se ligam. A autenticação multifator reforça o passo de autenticação. A gestão de acessos privilegiados protege o pequeno número de identidades capazes de causar o maior dano. O princípio do menor privilégio é a política que a IAM aplica: conceder apenas o acesso de que um papel genuinamente precisa, e nada mais. Trate-os como camadas do mesmo problema e não como projetos separados.
Contexto de governação e normas
A IAM situa-se no centro da maioria dos frameworks de segurança porque o controlo de acesso é fundamental. A ISO/IEC 27001 trata o controlo de acesso e a gestão de identidades como áreas de controlo centrais de um sistema de gestão da segurança da informação, esperando que as organizações definam uma política de controlo de acesso, giram o acesso dos utilizadores ao longo de todo o ciclo de vida e revejam os direitos de acesso.
O NIST Cybersecurity Framework coloca a gestão de identidades e o controlo de acesso entre as funções de proteção que qualquer programa deve cobrir. Para os dados regulados, a disciplina de acesso também apoia as obrigações de privacidade ao abrigo do GDPR, uma vez que limitar quem pode alcançar dados pessoais faz parte da demonstração de medidas técnicas apropriadas.
O que os profissionais realmente fazem reflete isto. Constroem fontes de identidade autoritativas, automatizam o provisionamento e o desprovisionamento, centralizam a autenticação através do single sign-on, modelam os direitos como papéis sempre que possível, executam revisões de acesso recorrentes e mantêm um registo de auditoria de quem recebeu o quê e porquê. Bem feita, a IAM é invisível para os utilizadores e demonstrável perante os auditores. Mal feita, é a causa raiz silenciosa por detrás de uma grande parte das violações.
Frequently asked questions
01Qual é a diferença entre autenticação e autorização na IAM?
A autenticação prova quem é uma identidade, por exemplo através de uma palavra-passe mais um segundo fator. A autorização decide o que essa identidade comprovada está autorizada a fazer depois de verificada. A IAM tem de acertar em ambas: um início de sessão forte não significa nada se a conta tiver depois um acesso que nunca deveria ter tido.
02Como se relaciona a IAM com o Zero Trust?
O Zero Trust remove a confiança implícita baseada na localização de rede e, em vez disso, verifica cada pedido. Como essa verificação se apoia na identidade, no dispositivo e no contexto, uma implementação de Zero Trust é, em grande medida, um programa de IAM. A autenticação forte, o menor privilégio e as decisões de acesso contínuas são os blocos de construção.
03O que é o ciclo de vida da identidade?
É o fluxo de entrada, mudança e saída: provisionar o acesso quando alguém chega, ajustá-lo quando o seu papel muda e removê-lo quando sai. A maioria dos problemas de acesso, como as contas órfãs e a acumulação de privilégios, resulta de lacunas neste ciclo de vida.
04Em que é que a IAM difere do PAM?
A IAM governa o acesso para toda a população de identidades ao longo do seu ciclo de vida. A gestão de acessos privilegiados foca-se no pequeno conjunto de contas de alto risco, como administradores e contas de serviço, acrescentando controlos mais fortes como o armazenamento em cofre, a monitorização de sessões e a elevação just-in-time. O PAM é uma camada especializada dentro da disciplina IAM mais ampla.
05Por que razão as revisões de acesso são importantes?
O acesso tende a acumular-se porque conceder é fácil e revogar é esquecido. A certificação periódica de acessos pede aos proprietários que confirmem quem deve continuar a ter o quê, detetando a acumulação de privilégios e os direitos órfãos. É também um controlo que os auditores esperam ver evidenciado ao abrigo de frameworks como a ISO/IEC 27001.