Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

O que é gerenciamento de identidade e acesso (IAM)?

O gerenciamento de identidade e acesso (IAM) é a prática de garantir que pessoas e entidades com identidades digitais tenham o nível certo de acesso aos recursos da empresa, como redes e bancos de dados. As funções do usuário e os privilégios de acesso são definidos e gerenciados por meio de um sistema de IAM.

O que faz uma solução de IAM?

Uma solução de IAM permite que os administradores de TI gerenciem com segurança e eficácia as identidades digitais dos usuários e os privilégios de acesso relacionados. Com o IAM, os administradores podem configurar e modificar as funções do usuário, rastrear e relatar a atividade do usuário e aplicar políticas corporativas e regulatórias para proteger a segurança e a privacidade dos dados.

Uma solução de IAM pode ser uma coleção de vários processos e ferramentas, incluindo uma solução de controle de acesso à rede (NAC). Os administradores de TI usam soluções de NAC para controlar o acesso às redes por meio de recursos, como gerenciamento do ciclo de vida da política, acesso à rede para convidados e verificações de postura de segurança. As soluções de IAM podem ser fornecidas como serviços em nuvem ou implantadas no local, ou podem ser soluções híbridas, tanto no local quanto na nuvem. Muitas empresas escolhem aplicações em nuvem para IAM porque são mais fáceis de implementar, atualizar e gerenciar.

O que é identidade digital?

Identidade digital é uma fonte de verdade central no gerenciamento de identidade e acesso. Refere-se às credenciais necessárias para que um usuário obtenha acesso a recursos on-line ou em uma rede corporativa. As soluções de IAM correspondem a essas credenciais, conhecidas como fatores de autenticação, para usuários ou entidades que estão solicitando acesso às aplicações, principalmente no nível da camada 7. Os fatores ajudam a verificar a identidade dos usuários.

Quais são os fatores de autenticação comuns?

Três dos fatores de autenticação mais comumente usados para IAM são algo que o usuário conhece (como uma senha), algo que o usuário possui (como um smartphone) e algo que o usuário é (uma propriedade física, como uma impressão digital). Normalmente, um usuário precisa fornecer uma combinação de fatores de autenticação para uma aplicação de autenticador, para confirmar a identidade e conceder acesso aos recursos protegidos que ele tem o privilégio de visualizar ou usar.

Muitas empresas usam a autenticação de dois fatores (2FA), que é uma forma básica de autenticação multifatorial (MFA). O processo de 2FA requer que um usuário forneça um nome de usuário e uma senha e, em seguida, insira um código gerado pela aplicação de 2FA ou responda a uma notificação em um dispositivo, como um smartphone.

Vantagens do IAM

Maior segurança de TI

Com um sistema de IAM, as empresas podem aplicar as mesmas políticas de segurança em toda a empresa. O uso de ferramentas, como uma solução de NAC, permite que elas restrinjam quais usuários podem acessar recursos e quando. Isso ajuda a reduzir muito a chance de que terceiros não autorizados vejam ou usem de forma indevida, acidental ou intencional os dados confidenciais.

Os métodos de IAM, como o logon único (SSO) e a MFA, também reduzem o risco de que as credenciais do usuário sejam comprometidas ou abusadas, pois os usuários não precisam criar e controlar várias senhas. Como os usuários precisam de autorização baseada em evidências (por exemplo, perguntas de segurança, senhas únicas ou fatores inerentes como impressões digitais) para acessar recursos protegidos, há menos chance de um agente mal-intencionado obter acesso a recursos importantes.


Conformidade mais sólida

Os sistemas de IAM podem ajudar as empresas a cumprir os requisitos de muitos mandatos de conformidade relacionados à segurança e privacidade de dados. Por exemplo, o IAM pode ajudar na conformidade com a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA), que exige que as empresas que lidam com informações protegidas do setor de saúde implementem um acesso eletrônico seguro para os dados de saúde.

As empresas podem usar métodos de IAM, como SSO, MFA, controle de acesso baseado em função (RBAC) e "privilégios mínimos" (dando aos usuários e entidades, como aplicações de software, a quantidade mínima de acesso necessária para executar uma tarefa) para cumprir o mandato da HIPAA.

O IAM também é útil para instituições de serviços financeiros, que precisam cumprir a Lei Sarbanes-Oxley (SOX). A seção 404 determina que as empresas implementem, testem e documentem controles internos adequados para preparar relatórios financeiros e proteger a integridade dos dados financeiros nesses relatórios. A aplicação das políticas de segregação de tarefas (SoD) é uma das muitas maneiras pelas quais as ferramentas e os sistemas de IAM podem ajudar as empresas a cumprir os requisitos da SOX.


Maior produtividade do funcionário

Com medidas de segurança, como SSO, MFA ou RBAC, as empresas podem aumentar a segurança e, ao mesmo tempo, reduzir as barreiras que impedem os funcionários de serem produtivos. Os funcionários têm acesso rápido aos recursos necessários para realizar o trabalho, onde quer que precisem trabalhar. Com o IAM, os funcionários podem se sentir mais confiantes de que estão trabalhando em um ambiente seguro.

Um sistema de IAM que permite o provisionamento automático de usuários também torna mais fácil para os funcionários solicitar e obter acesso autorizado a diferentes recursos quando necessário, sem sobrecarregar a TI ou torná-la um gargalo para a produtividade dos funcionários.


Redução nos custos de TI

As soluções de IAM podem automatizar e padronizar muitas tarefas relacionadas ao gerenciamento de identidade, autenticação e autorização. Isso significa que os administradores de TI podem dedicar seu tempo a tarefas que agregam mais valor para os negócios. Além disso, muitos serviços de IAM agora são baseados em nuvem, portanto, a necessidade de comprar, implementar e manter a infraestrutura local para IAM pode ser bastante reduzida ou eliminada.

Recursos de IAM

Permitir ou bloquear o acesso aos ativos

Os sistemas de IAM são criados para permitir ou bloquear o acesso às aplicações e aos dados protegidos. As soluções de IAM mais sofisticadas permitem que as empresas fiquem ainda mais granulares com as permissões. Por exemplo, elas podem definir condições na hora do dia em que um usuário específico pode acessar um serviço e em qual local.


Restringir o acesso à plataforma

Uma empresa pode usar uma solução de IAM para limitar quais usuários podem acessar as plataformas usadas para o desenvolvimento, a preparação e o teste de produtos e serviços.


Impedir a transmissão de dados confidenciais

Muitas empresas usam o IAM para aumentar a segurança dos dados, definindo permissões rigorosas que determinam quais usuários podem criar, alterar ou excluir dados e quem pode transmiti-los. Ao aplicar o RBAC, por exemplo, um funcionário temporário pode não ter permissão para enviar ou receber dados fora dos sistemas da empresa.


Fornecer relatório

Os sistemas de IAM fornecem relatórios que ajudam as empresas a garantir a conformidade com os regulamentos de segurança e privacidade de dados. Os insights desses relatórios podem ajudar as empresas a melhorar os processos de segurança e reduzir os riscos. Os insights também ajudam a entender melhor quais recursos são necessários para que os funcionários sejam mais produtivos.

Ferramentas e métodos de IAM

Autenticação multifator

Com a MFA, os usuários são solicitados a fornecer uma combinação de fatores de autenticação para verificar as identidades. Além de nomes de usuário e senhas, as empresas geralmente usam o método de senha única baseada em tempo (TOTP), que exige que os usuários forneçam uma senha temporária enviada por SMS, chamada telefônica ou e-mail. Outros sistemas de MFA exigem que os usuários forneçam a autenticação biométrica da identidade, também conhecida como fatores inerentes, como impressão digital ou leitura de identificação facial.


Logon único

O SSO é um sistema de identificação comumente usado nas empresas para verificar a identidade dos usuários. Ele permite que um usuário autorizado faça logon com segurança em várias aplicações de SaaS e sites usando apenas um conjunto de credenciais (nome de usuário e senha). O SSO pode ser visto como uma versão automatizada do MFA. Os sistemas de SSO autenticam usuários com a MFA e, em seguida, usando tokens de software, compartilham essa autenticação com várias aplicações. O SSO também pode ser usado para impedir o acesso a recursos ou locais designados, como plataformas e sites externos.

A vantagem de usar a abordagem de SSO para IAM, além de um processo de logon mais simples para usuários finais, é que ela capacita os administradores de TI para definir permissões, regular o acesso do usuário e provisionar e desprovisionar usuários com facilidade.


Federação

A federação permite o SSO sem senhas. Usando um protocolo de identidade padrão, como Linguagem de Aumento da Segurança da Declaração (SAML) ou WS-Federation, um servidor de federação apresenta um token (dados de identidade) para um sistema ou uma aplicação com a qual tem uma relação de confiança estabelecida. Por causa dessa confiança, os usuários podem se mover livremente entre os domínios conectados, sem precisar se autenticar novamente.


RBAC e zero-trust

Muitas empresas de grande porte usam o RBAC, que é um método para restringir o acesso a redes, dados confidenciais e aplicações importantes com base na função e nas responsabilidades de uma pessoa dentro de uma empresa. O RBAC também é conhecido como administração de acesso. As funções definidas no RBAC podem incluir usuários finais, administradores ou empreiteiros terceirizados. Uma função pode ser baseada na autoridade, localização, responsabilidade ou competência para o cargo de um usuário. Às vezes, as funções são agrupadas, por exemplo, Marketing ou Vendas, para que os usuários com responsabilidades semelhantes em uma empresa que colaboram com frequência possam acessar os mesmos recursos.

Ao aplicar uma estrutura de segurança zero-trust como parte do RBAC, onde controles de acesso muito rigorosos são mantidos com todos os usuários que solicitam acesso aos recursos de trabalho, as empresas podem evitar ainda mais o acesso não autorizado, e até mesmo conter violações e reduzir o risco de movimentação lateral de um invasor através da rede.

Implementação do IAM

Pensar nas necessidades atuais e futuras do IAM

As soluções de IAM com recursos básicos para gerenciar o acesso do usuário aos recursos da empresa podem ser configuradas de forma fácil e "imediata". Mas, caso empresa seja de grande porte e complexa, você pode precisar de uma solução mais avançada ou de uma combinação de sistemas e ferramentas.

Antes de investir em um sistema de IAM, pense bem no que a empresa precisa hoje e no que ela pode precisar no futuro. Imagine as necessidades da infraestrutura de TI, além dos recursos da própria solução. Duas perguntas importantes incluem: a solução será fácil de manter? Ela será escalável para atender às nossas necessidades comerciais, à medida que adicionarmos mais aplicações e usuários?


Verificar a compatibilidade e conformidade

Antes de investir em uma solução de IAM, confirme se ela é compatível com o sistema operacional, as aplicações de terceiros e os servidores da Web atuais. Você pode criar uma lista de todas aplicações necessárias para integrar ao IAM, para que nada seja esquecido.

Confirme também se o sistema de IAM que você deseja implementar está em conformidade com todos os requisitos regulatórios locais e federais aplicáveis. Uma solução de IAM deve melhorar a conformidade, e não criar mais possíveis riscos para a empresa.


Gerenciar a mudança

Mudar para uma nova forma de autenticação e autorização de usuários pode exigir a gestão de mudanças. Implante a nova solução de IAM para selecionar primeiro as áreas da empresa, como finanças, antes de implementá-la em toda a empresa.

Lembre-se de que o IAM afetará tudo e todos que precisam acessar os recursos de TI da empresa. Para ajudar a incentivar a adoção das novas ferramentas e dos processos de IAM, reserve um tempo para obter a adesão de todas as principais partes interessadas.


Definir e rastrear as principais métricas

Você vai querer rastrear a eficácia da solução de IAM e determinar se o sistema está gerando um retorno sobre o investimento. Assim que o sistema estiver funcionando plenamente, rastreie e relate regularmente o tempo necessário para provisionar novos usuários, o número de redefinições de senha e o número de possíveis violações de SoD.


Pensar nos endpoints ou dispositivos

Em uma rede complexa com infraestrutura de TI privada ou em um ambiente de Internet das Coisas (IoT) e tecnologia operacional (OT), o uso de um sistema de IAM isolado para gerenciar o acesso do usuário aos recursos de TI pode, na verdade, criar um risco de segurança. Mais especificamente, pode deixar a empresa aberta a ataques de botnet.

Uma solução de NAC pode aumentar a segurança nesses ambientes. Por exemplo, ela pode aplicar políticas definidas de perfis e acesso em diversas categorias de dispositivos de IoT. Também pode reduzir as ameaças à rede ao aplicar políticas de segurança que bloqueiam, isolam e reparam máquinas incompatíveis sem a atenção do administrador.

Comece já

Saiba mais sobre produtos e soluções da Cisco relacionados ao gerenciamento de identidade e acesso.