Gerenciamento de Identidade e Acesso (IAM): O que é e qual sua relevância na SI

1.     Introdução

A segurança da informação é um conceito fundamental para garantir a proteção das informações sensíveis e confidenciais de indivíduos, organizações e empresas. Ela se refere a um conjunto de práticas, medidas e tecnologias que buscam garantir a confidencialidade, integridade e disponibilidade das informações, além de garantir sua autenticidade e não-repúdio.

Os pilares essenciais da segurança da informação abrangem diversos aspectos cruciais. Entre eles, a confidencialidade, cujo propósito é assegurar que apenas indivíduos autorizados possuam acesso às informações confidenciais. Além disso, temos a integridade, que desempenha um papel fundamental ao garantir que as informações permaneçam íntegras e livres de modificações não autorizadas. Também merece destaque a disponibilidade, que se concentra em manter as informações acessíveis sempre que necessário. Por fim, a autenticidade desempenha um papel vital ao confirmar a origem das informações, conferindo-lhes uma identidade conhecida e passível de verificação.

Nesse cenário em evolução, o entendimento de Gerenciamento de Identidade e Acesso, ou IAM – Identiy and Access Management, desempenha um papel vital na asseguração da segurança da informação. Isso ocorre porque tal conhecimento viabiliza o eficaz gerenciamento e controle do acesso às informações, por meio de processos de autenticação e autorização de usuários e dispositivos.

Com o IAM, é possível definir regras de acesso, limitar privilégios e monitorar atividades, garantindo que apenas usuários autorizados tenham acesso às informações confidenciais e que as informações estejam protegidas contra ameaças internas e externas.

Esse artigo faz um levantamento sobre as bases fundamentais que formam esse conceito maior chamado IAM – Identiy and Access Management.

2.     Identidade

Um dos primeiros conceitos que iremos passar é sobre o que é uma identidade.

A identidade nada mais é que a representação de uma entidade capaz de identifica-la em um contexto particular e essa representação tem um conjunto de propriedades  que podem ser convenientemente medidas e registradas digitalmente. Nisso, uma entidade pode ter múltiplas identidades indicando a importância deste elemento de acordo para o acesso ao recurso.

No mundo real, podemos associar aos diversos documentos que podemos usar para nos identificar, como por exemplo o RG, Carteira de Habilitação, Passaporte. Cada um, dentro de um contexto específico, ajuda a nos identificar para determinado fim, seja entrar em algum local, seja para receber algum objeto e assim por diante. A identidade ajudar a provar quem a entidade diz ser.

Consequentemente, uma entidade é qualquer elemento que possa ser identificado e autenticado dentro de um sistema.

A identidade ela pode se dispor da seguinte forma:

• Como Identificador: conjunto de dígitos, caracteres e símbolos para identificar unicamente uma identidade (dentro de um contexto)
• Como credenciais: um objeto para provar aquela identidade. No mundo virtual pode vir no formato de login e senha.
• Como Atributos: são dados que descrevem características fundamentais de uma identidade, como por exemplo características que diferenciam professores e alunos numa identidade dentro de uma instituição de ensino.

3.     Autenticação

Seguindo a linha de conceitos fundamentais para a compreensão melhor sobre o que é IAM, iremos então dispor do conceito de Autenticação.

A autenticação tem um papel fundamental para a segurança de um ambiente, ao validar a identificação dos usuários, pois garante que apenas usuários legítimos tenham acesso a recursos e informações sensíveis. Após a autenticação, o sistema pode conceder a autorização para acesso aos recursos.

Segundo a RFC 2828, Autenticação é:

“O processo de verificação de uma identidade alegada por ou para uma entidade de sistema.

Etapas de Identificação – IAM

Um processo de autenticação consiste em duas etapas:

• Etapa de identificação: no qual a entidade apresenta um identificador ao sistema de segurança
  • Identificação é o meio pelo qual um usuário provê uma identidade alegada ao sistema.
• Etapa de verificação: apresentar informações de autenticação que corroborem a vinculação entre a entidade e o identificador”

Na etapa de verificação, pode envolver o fornecimento informações que podem ser usadas para corroborar fortemente na identificação exclusiva da entidade que está tentando se autenticar. Essas informações podem ser credenciais de autenticação como login e senha, token de segurança ou qualquer oura informação que caiba no contexto do sistema.

Em geral, existem quatro formas gerais de se autenticar uma entidade ou indivíduo:

• Algo que o indivíduo conhece ou sabe. Ex: login e senha
• Algo que o indivíduo possui. Ex: token, cartão físico
• Algo que o indivíduo é. Ex: impressão digital, reconhecimento da íris
• Algo que o indivíduo faz. Ex: Gesto que o indivíduo faz ou som

As formas de autenticação podem ser usadas isoladas ou combinadas. Combinadas, temos uma técnica de segurança chamada Multi-Factor Authentication – MFA, no qual exige que o indivíduo apresente mais de uma forma de identificação antes de ser autorizado a acessar um sistema ou recurso protegido. Em vez de depender apenas de uma senha ou credencial por exemplo, a MFA combina vários fatores de autenticação para aumentar a segurança do processo de autenticação, tornando mais difícil para um invasor comprometer uma conta ou roubar sua identidade, pois precisariam obter acesso a múltiplos fatores ao invés de apenas um.

Pode-se definir o processo de autenticação bem-sucedida, como uma validação do usuário, ou seja, uma prova de que é ele mesmo.

4.     Autorização

O simples fato de que a identidade de um usuário seja verificada não significa que o indivíduo ou entidade deva ser capaz de acessar o que quiser dentro de um sistema ou rede. Após o processo de autenticação vem o processo de validação de acesso através do processo de autorização.

A autorização refere-se ao processo de conceder ou negar acesso a recursos ou informações em um sistema ou aplicação. A autorização é uma etapa subsequente à autenticação, que verifica a identidade da entidade que está solicitando acesso.

No contexto de autorização, as políticas de reforço e as políticas de definição são dois tipos de políticas de acesso que ajudam a controlar o acesso a recursos protegidos.

• Política de reforço: se um usuário está tendo acesso a um recurso, ele deve ter exatamente as permissões necessárias para acesso ao recurso.
• Política de definição: define que direitos o usuário tem de ter acesso aos recursos.

Juntas, as políticas de definição e as políticas de reforço ajudam a controlar o acesso a recursos protegidos, garantindo que apenas as entidades autorizadas tenham permissão para acessá-los e que essas permissões sejam aplicadas de forma consistente e confiável.

5.     Controle de Acesso

Acesso a recursos dentro de uma empresa precisam ser controlados. O que é importante para um funcionário pode não ser para o trabalho do outro, logo, não há necessidade de todos terem um acesso generalizado.

Na RFC 2828 define segurança de computadores da seguinte maneira: medidas que implementam e asseguram serviços de segurança em um sistema de computador, em particular as que asseguram o serviço de controle de acesso.

Ainda sobre a definição na literatura, a recomendação X.800 do ITU-T define controle de acesso da seguinte maneira:

“Prevenção de uso não autorizado de um recurso, incluindo a prevenção do uso de um recurso de maneira não autorizada.”

Logo, Controle de acesso é um conjunto de medidas de segurança que tem como objetivo controlar e gerenciar o acesso a recursos protegidos de uma organização.

Todo esse controle e gerenciamento é com base nos conceitos vistos anteriormente:  identificação, autenticação e autorização. Esses três elementos básicos formam a base para essa disciplina que aplica políticas que determinam quem pode acessar e com quais permissões, os recursos do ambiente.

Elementos básicos do controle de acesso

Toda essa base nos leva a conhecer alguns elementos básicos do controle de acesso. São eles:

• – Sujeito: é uma entidade capaz de acessar objetos. Um sujeito, normalmente, é considerado responsável pelas ações que iniciou.
• Classes de sujeito
  • Proprietário
  • grupo
  • Global
• – Objeto: é um recurso cujo acesso é controlado. Em geral é uma entidade usada para conter e/ou receber informações
• – Direito de acesso: descreve o modo pelo qual o sujeito pode acessar um objeto.
  • leitura
  • Escrita
  • Executar
  • Remover
  • Criar
  • Buscar

Política de Controle de Acesso – IAM

Além desses elementos, é importante considerar as políticas, que, em outras palavras, estabelecem as diretrizes para o controle de acesso, determinando quais tipos de acesso são permitidos, em quais circunstâncias e por quem. Assim, é válido observar que existem três tipos principais de políticas de controle de acesso:

• Controle de acesso discricionário (Discretionary Access Controle – DAC): Controla acesso com base na identidade do requisitante e em regras de acesso (autorizações) que declaram o que os requisitantes têm ou não permissão de fazer. Essa política é denominada discricionária porque a entidade pode ter direito de acesso que lhe permitem, por sua própria vontade, habilitar outra entidade e acessar algum recurso.
  • EX: permissões linux
• Controle de acesso mandatório (Mandatory Access Control – MAC): Controla acesso de acordo com a classificação, configuração e autenticação do sistema. O gerenciamento e as configurações da política de MAC são estabelecidos em uma rede segura e limitados aos administradores do sistema.
• Controle de acesso baseado em papéis (RBAC): Controla o acesso com base nos papéis que os usuários desempenham dentro do sistema e em regras que definem quais acessos são permitidos a usuários em determinados papéis. Permite uma implementação efetiva do princípio do privilégio mínimo. Onde o conjunto de direitos para aquele papel devem ser mínimos.

Essas políticas não são mutuamente exclusivas. Um mecanismo de controle de acesso pode empregar duas ou mais políticas para abranger diferentes classes de recursos de sistema.

6.     IAM – Identity and Access Management

Com a computação em nuvem, os dados são acessados e armazenados remotamente através da internet. Como é possível acessar a nuvem a partir de qualquer lugar e dispositivo, os serviços de nuvem são independentes disso. Logo, os usuários não precisam mais estar no escritório ou em um dispositivo pertencente à empresa para acessar a nuvem – vide o trabalho 100% remoto atualmente tão acessível como nunca foi. Consequentemente, a identidade se tornou o fator mais importante para controlar o acesso. A identidade do usuário é o que determina quais dados ele pode acessar e em qual nível.

Segundo Gartner,

”O Gerenciamento de Identidade e Acesso (IAM) é uma disciplina de segurança e negócios que inclui várias tecnologias e processos de negócios para ajudar as pessoas ou máquinas certas a acessar os ativos certos no momento certo pelos motivos certos, mantendo o acesso não autorizado e a fraude sob controle.”

IAM garante:

• Segurança: as ferramentas de IAM reduzem os pontos de falha e protegem-nos com recursos para detecção quando eles ocorrem.
• Produtividade: a entidade não precisa se preocupar com o seu nível de acesso, senhas, além de terem acesso a um conjunto de ferramentas necessárias para seu tipo de trabalho.

Vantagens de se implementar IAM:

• Custo operacional reduzido
• Aprimora conformidade com os regulamentos de privacidade
• Segurança aprimorada. Reduz problema de gerenciamento de senhas, roubo de identidade.
• Acelera a eficiência dos times de segurança

IAM ajuda a prevenir ataques baseados em identidade e violações de dados provenientes de um aumento de privilégios. Logo, os sistemas de IAM são essenciais para a computação em nuvem.

O IAM, frequentemente utilizado como um serviço de nuvem, desempenha um papel crucial na permitindo que os usuários acessem a infraestrutura completa de uma organização na nuvem. No entanto, é importante ressaltar que, afinal, uma organização possui a flexibilidade de optar por implantar o sistema localmente em sua rede interna.

Adicionalmente, é válido observar que alguns provedores de serviços de nuvem pública também proporcionam a opção de acessar o IAM em conjunto com seus outros serviços.

7.     Conclusão

É de se observar que a segurança da informação é um conceito crucial para proteger informações confidenciais e garantir a confiança para seus clientes e usuários. Tornou-se um requisito essencial para as empresas de todo o tamanho e, com o aumento do uso de diversos tipos de dispositivos conectados a internet, uso de serviços em nuvem e outras tecnologias, a necessidade de gerenciar identidades e acessos de forma segura e eficiente nunca foi tão importante.

Ao decorrer deste artigo, todos os conceitos abordados se conectam e são fundamentais uns para os ouros. O assunto sobre gerenciamento de identidade e acesso é extenso e não se limita apenas aos conceitos deste artigo, valendo a busca por outros conceitos contidos e o aprofundamento.

Além de uma disciplina, o gerenciamento de identidade e acesso é, também, um conjunto de processos e tecnologias que permite controlar acessos a recursos e informações. A utilização das tecnologias e práticas de IAM é um passo importante para proteção contra ameaças cibernéticas e na proteção dos dados confidenciais de empresas, permitindo que as organizações se concentrem em seus negócios sem tantas preocupações, aliados com a segurança da informação.

8. Referências Bibliográficas

STALLINGS, William; BROWN, Lawrie. Segurança de Computadores: princípios e práticas. 2. ed. Rio de Janeiro: Elsevier Editora Ltda, 2014. 726 p.

DIÓGENES, Yuri; MAUSER, Daniel. Certificação Security+: da prática para o exame sy0-401. 3. ed. Rio de Janeiro: Nova Terra, 2015. 742 p.

CLOUDFLARE (São Paulo). O que é IAM (Gerenciamento de Identidade e Acesso)?  2023. Disponível em: https://www.cloudflare.com/pt-br/learning/access-management/what-is-identity-and-access-management/#:~:text=Em termos mais técnicos%2C o,privilégios associados a cada identidade.. Acesso em: 17 fev. 2023.

ESCOLA SUPERIOR DE REDES (Rio de Janeiro). Gestão de Identidade e de Acesso (IAM): saiba se você realmente entende esse conceito!. 2022. Disponível em: https://esr.rnp.br/seguranca/gestao-de-identidade-e-de-acesso/. Acesso em: 17 fev. 2023.

TELLES, William. IAM: Construindo um framework próprio de gestão . 2018. Disponível em: https://cryptoid.com.br/criptografia-identificacao-digital-id-biometria/iam-construindo-um-framework-proprio-de-gestao/. Acesso em: 20 fev. 2023.

FCBRASIL (São Paulo). O que é gerenciamento de identidade e acesso (IAM)?  Disponível em: https://www.fcbrasil.com.br/blog/o-que-e-gerenciamento-de-identidade-e-acesso-iam/. Acesso em: 21 fev. 2023.

PSAFE. 1 em cada 5 brasileiros já foi vítima de roubo de identidade na internet . 2021. Disponível em: https://www.psafe.com/blog/roubo-de-identidade/. Acesso em: 27 fev. 2023.

GARTNER. Identity and Access Management (IAM). Disponível em: https://www.gartner.com/en/information-technology/glossary/identity-and-access-management-iam. Acesso em: 01 mar. 2023.

UNION, International Telecommunication. X.800 : Security architecture for Open Systems Interconnection for CCITT applications . Disponível em: https://www.itu.int/rec/T-REC-X.800-199103-I/en. Acesso em: 01 mar. 2023.

9. Sobre o autor

Kelvin Dias Lopes: Pós-graduado em Engenharia de Redes de Computadores, pós-graduado em Computação Forense, pós-graduado em Blue Team Operations. Graduado em Redes de Computadores pelo Instituto Federal de Educação, Ciência e Tecnologia do Ceará, no campus Canindé. Comecei me formando no nível técnico como Técnico de Informática pela EEEP Joaquim Nogueira. Fiz diversos cursos nas áreas de segurança da informação, pentest, cybersecurity e computação forense. Possuo algumas certificações pela Microsoft, CompTIA e CertiProf, nas áreas de redes de computadores, segurança da informação e cloud computing. Atualmente trabalho como SecOps Engineer em uma empresa do ramo de pagamentos e sou pesquisador pela Academia Forense Digital.