Ir para seção

O que é gerenciamento de identidade e acesso (IAM)?

Publicado 9 de fevereiro de 2022
Copiar URL

Visão geral

O gerenciamento de identidade e acesso (IAM) é uma forma centralizada e consistente de gerenciar as identidades dos usuários (ou seja, pessoas, serviços e servidores), automatizar controles de acesso e atender a requisitos de conformidade em ambientes tradicionais e de containers. Funcionários usando VPN para acessar recursos da empresa no trabalho remoto são um exemplo de uma solução de IAM em funcionamento.

O IAM faz parte da solução que verifica se as pessoas certas têm o acesso certo aos recursos certos, especialmente em instâncias de computação em várias nuvens. Os frameworks de IAM são essenciais para gerenciar identidades em ambientes bare-metal, virtual, de nuvem híbrida e edge computing a partir de um local centralizado, ajudando a reduzir os riscos de segurança e conformidade.

Suporte à sua estratégia de gerenciamento de identidade e acesso

Introdução aos métodos de IAM

Os métodos de IAM servem para controlar o acesso a ativos, aplicações e dados on-premise e na nuvem com base na identidade do usuário ou da aplicação e nas políticas definidas pelo administrador. Eles estão presentes em todos os estágios do ciclo de vida de DevOps e ajudam a proteger o sistema de acessos não autorizados e movimento lateral.  

Os conceitos de IAM incluem:

  • Autenticação: verificar a identidade de usuários, serviços e aplicações.

  • Autorização: conceder o acesso autenticado do usuário a recursos ou funções específicos. 

  • Provedores de identidade, cofres de segredo e módulos de segurança de hardware (HSMs): permitem que o DevOps gerencie e proteja credenciais de segurança, chaves, certificados e segredos tanto em repouso quanto em trânsito. 

  • Procedência: verificar a identidade ou autenticidade do código ou de uma imagem, geralmente usando algum tipo de assinatura digital ou registro de atestado.

Com a evolução contínua do cenário de segurança, o IAM também pode incluir outras funcionalidades, como inteligência artificial (IA), machine learning (ML) e autenticação biométrica.

Como implantar uma solução DevSecOps completa

Autenticação: gerenciamento das identidades de usuários

Autenticação é o processo de confirmação ou verificação da identidade de uma pessoa. A identidade do usuário (ou identidade digital) é o conjunto de informações usado para autenticar uma pessoa, serviço ou até mesmo dispositivos de IoT em conjuntos específicos de redes ou dados empresariais. O exemplo mais básico de autenticação é quando uma pessoa entra em um sistema usando uma senha. O sistema confirma a identidade apresentada verificando a informação fornecida (senha).

Além de capturar as informações de login, o processo de autenticação também permite que os administradores de TI monitorem e gerenciem atividades na infraestrutura e nos serviços. 

Há várias abordagens para implementar uma política que aumente a segurança do ambiente e mantenha a usabilidade para os usuários. As duas mais comuns são single sign-on (SSO, login único) e autenticação multifator (MFA).

  • SSO: diferentes serviços, dispositivos e servidores exigem autenticações separadas de acesso. O SSO configura um serviço de identidade central que os serviços configurados consultam para buscar usuários verificados. Os usuários fazem uma única autenticação e podem acessar vários serviços.

  • MFA:  uma camada adicional de segurança que requer várias consultas para verificar uma identidade antes de conceder acesso. Nesse método, use dispositivos criptográficos, como tokens de hardware e smart cards, ou configure tipos de autenticação, como senhas, raio, OTP de senha, PKINIT e senhas reforçadas.

Use outras ferramentas na sua infraestrutura para facilitar o gerenciamento de identidades, especialmente em ambientes distribuídos ou complexos, como pipelines de CI/CD ou nuvem, em que é difícil implementar com eficiência a autenticação de usuários. As funções do sistema são vantajosas principalmente em um ambiente DevSecOps. Com fluxos de trabalho de configuração automatizada consistentes e reproduzíveis, os administradores de TI economizam tempo e recursos, reduzindo ao longo do tempo a carga e as tarefas manuais associadas a implementação, administração de identidades e provisionamento/desprovisionamento.

Autorização: definição de acesso

Autenticação é o processo que identifica quem está tentando acessar um serviço. Autorização é o processo que define o que o usuário pode fazer com o serviço em questão, como editar, criar ou excluir informações. 

Os controles de acesso levam o gerenciamento de identidade um passo adiante, atribuindo a uma identidade de usuário um conjunto de direitos de acesso pré-determinados. Esses controles geralmente são atribuídos durante a configuração da conta ou o provisionamento do usuário, e funcionam com a prática do "menor privilégio", uma base do modelo de confiança zero.

O menor privilégio concede ao usuário acesso apenas aos recursos necessários para uma determinada finalidade, como um projeto ou tarefa, e permite que ele execute apenas as ações (permissões) obrigatórias. As políticas de acesso também podem limitar a quantidade de tempo disponível para determinados recursos. 

Por exemplo, um funcionário pode ter permissão para acessar uma variedade maior de recursos do que terceiros, como prestadores, parceiros, fornecedores e clientes. Se um usuário precisar de um nível de acesso diferente, os administradores de TI podem entrar no banco de dados de identidades e fazer os ajustes necessários.

Entre os sistemas de gerenciamento de acesso que usam o menor privilégio estão o gerenciamento de acesso privilegiado (PAM) e o controle de acesso com base em função (RBAC). 

O PAM é o tipo de controle de acesso mais crítico. Normalmente, administradores e a equipe de DevOps que recebem essas atribuições têm o acesso mais completo a dados confidenciais e podem fazer alterações em bancos de dados, sistemas, servidores ou aplicações empresariais. 

O RBAC define funções, ou conjuntos de usuários, e concede a elas permissões a esses recursos ou funções com base nas responsabilidades das tarefas. O RBAC permite aplicar direitos de acesso de modo consistente e claro, o que simplifica a administração e a integração e reduz o acúmulo de privilégios. O RBAC poupa tempo e recursos ao automatizar a atribuição dos direitos de acesso com base na função de um usuário dentro da organização.

Como escolher a solução ideal de IAM

O IAM oferece um nível de segurança integrada em todo o pipeline de desenvolvimento de app e é essencial para implementar o DevSecOps na sua organização. Ele é uma das bases na criação de uma abordagem em camadas da segurança em ambientes bare-metal, virtual, de container e de nuvem. 

É importante verificar se o seu sistema de IAM é compatível com soluções em vários ambientes e cargas de trabalho, incluindo a implementação de IAM no desenvolvimento, teste, operações e monitoramento de aplicações.

Como há uma ampla gama de soluções de IAM disponíveis, as empresas podem restringir as opções desta maneira: 

  • Conduzir uma auditoria dos sistemas novos e legados, principalmente se você tiver aplicações on-premises e na nuvem.

  • Identificar lacunas na segurança de stakeholders internos e externos.

  • Definir tipos de usuário e respectivos direitos de acesso específicos.

Depois de definir as necessidades de segurança da organização, é o momento de implantar a solução de IAM. Escolha uma solução independente, um serviço de identidade gerenciado ou um serviço de subscrição na nuvem, como Identity as a Service (IDaaS), de um terceiro.

Modernize e proteja os ciclos de vida da aplicação com o DevSecOps

Uma solução de IAM da Red Hat

O Red Hat® Enterprise Linux® oferece uma experiência de autenticação simplificada, confiável e consistente em um ambiente de nuvem híbrida aberta. Ele inclui recursos de gerenciamento de identidade centralizado (IdM), que possibilitam a autenticação de usuários e implementação de RBAC usando uma interface única e escalável que abrange todo o data center.

Com o gerenciamento de identidade no Red Hat Enterprise Linux, é possível:

  • Simplificar substancialmente a infraestrutura de gerenciamento de identidade.

  • Ajudar a atender aos requisitos de conformidade modernos, como PCI DSS, USGCB, STIG. 

  • Reduzir o risco de acesso não autorizado ou escalação de privilégios de acesso.

  • Criar uma base para um ambiente operacional altamente dinâmico e escalável compatível com containers e nuvem.

  • Pré-configurar controles de acesso em novos sistemas, máquinas virtuais (VMs) e containers.

  • Reduzir o custo da operação diária e da carga de segurança sobre a TI.

O gerenciamento de identidade no Red Hat Enterprise Linux também se integra ao Microsoft Active Directory, ao protocolo lightweight de acesso a diretórios (LDAP) e a outras soluções de IAM de terceiros, usando interfaces padrão de programação de aplicações (APIs). Também é possível gerenciar centralmente a autenticação e autorização de serviços usando técnicas baseadas em certificado.

Com a automação de base, a segurança e o gerenciamento do ciclo de vida oferecidos pelo Red Hat Enterprise Linux, os produtos em camada executados no nível superior, como o Red Hat OpenShift®, herdam as mesmas tecnologias de segurança e estendem a cibersegurança ao desenvolvimento de aplicações baseadas em container.

Leitura recomendada

ARTIGO

O que é DevSecOps?

Se você quiser aproveitar ao máximo a agilidade e a capacidade de resposta do DevOps, a equipe de segurança da TI precisará participar de todo o ciclo de vida das suas aplicações.

ARTIGO

O que há de diferente na segurança em nuvem?

As preocupações gerais sobre a segurança afetam os sistemas de TI tradicionais e em nuvem. Descubra qual é a diferença.

ARTIGO

O que é SOAR?

Ele se refere a três importantes recursos de software usados pelas equipes de segurança: gerenciamento de casos e de fluxos de trabalho, automação de tarefas e acesso a meios centralizados de consulta e compartilhamento de informações sobre ameaças.

Leia mais sobre segurança

Soluções Red Hat

Red Hat Certificate System

Um framework de segurança para gerenciar identidades de usuários e manter a privacidade das comunicações.

Red Hat Advanced Cluster Security Kubernetes

Uma solução de segurança empresarial em containers nativa do Kubernetes  que viabiliza a criação, implantação e execução de aplicações nativas em nuvem.

Red Hat Insights

Um serviço de análises preditivas que ajuda a identificar e corrigir ameaças de segurança, desempenho e disponibilidade à sua infraestrutura Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Um console individual, com políticas de segurança integradas, para controlar aplicações e clusters do Kubernetes.

Artigos relacionados

Conteúdo adicional

Ebook

Simplifique seu centro de operações de segurança

Ebook

Aumente a segurança na nuvem híbrida

Leia mais

WHITEPAPER

Uma abordagem de segurança em camadas para Kubernetes e containers

VISÃO GERAL

Como implantar uma solução DevSecOps completa

DATASHEET

Red Hat Insights: análises preditivas para o Red Hat Enterprise Linux

EBOOK

Melhore a segurança e a conformidade

RESUMO

Aumente a eficiência operacional com o Red Hat Insights