O segmento dos softwares de gerenciamento de acesso e identidade(IAM) está proliferando. As organizações precisam de acesso seguro aos seus sistemas críticos para combater o crescente número de ataques cibernéticos que causam as tão desastrosas violações de dados.
Mas o mercado de IAM também é segmentado, com produtos distintos que fazem coisas diferentes. Por exemplo, o gerenciamento de acessos privilegiados (PAM, Privileged Access Management) e o gerenciamento de identidade convencional atendem a propósitos diferentes.
O gerenciamento convencional de identidades lida principalmente com contas de usuário associadas a logins pessoais. A maioria das organizações utiliza esses produtos para provisionar e desprovisionar usuários, mas nem sempre pensam em logins privilegiados. É aí que entra o PAM, concedendo acesso elevado a identidades privilegiadas.
As identidades privilegiadas não são gerenciadas por sistemas de gerenciamento de identidade padrão. Ao contrário das identidades de usuários, as privilegiadas geralmente não são provisionadas, e aparecem na rede sempre que ativos de TI físicos e virtuais são inseridos ou alterados.
Gerenciando e Protegendo Todas as Identidades
Fundamentalmente, um usuário comum e um privilegiado são diferentes. Fazendo uma analogia, as identidades dos usuários padrão são as chaves para qualquer colaborador entrar na empresa, enquanto as identidades privilegiadas são chaves usadas pelos seguranças para acessar todas as portas dos prédios.
Um usuário comum – digamos, João – possui uma identidade digital em um ambiente de TI. Tudo na infraestrutura de TI conectado a João está ligado à essa identidade. Talvez João seja parte de um determinado grupo do Active Directory porque ele precisa de acesso a um sistema de arquivos específico. Ou talvez ele precise entrar no SharePoint ou em qualquer um dos vários ativos de TI em um ambiente que os funcionários precisem usar.
As identidades privilegiadas, por outro lado, não são mapeadas para uma única pessoa. Elas podem ser usadas por muitas pessoas, muito embora, às vezes, elas nem são usadas por pessoas, como as identidades criadas para executar contas de serviço. O PAM considera o fato de que as pessoas que usam uma identidade privilegiada podem ser diferentes a qualquer momento. Portanto, é essencial ter uma maneira de acompanhar quem tem acesso privilegiado e controlar o que eles estão fazendo com esse acesso.
Embora as identidades de usuários padrão e as privilegiadas tenham funções diferentes, ambas precisam de controle e gerenciamento. Aliás, quais são as consequências de não gerenciar suas identidades? Para identidades de usuários, as implicações são bem conhecidas, incluindo a falta de percepção sobre quem tem acesso a quê e usuários que têm muito acesso a muitos sistemas.
Desconsiderar o gerenciamento de contas privilegiadas pode ser muito grave. Os ataques cibernéticos que superam a segurança do perímetro podem explorar identidades privilegiadas não gerenciadas e obter acesso elevado na rede. E os colaboradores com acesso privilegiado podem causar sérios problemas - seja por acidente ou por projeto.
Tais consequências severas exigem uma solução que possa gerenciar e proteger todos os tipos de identidades para obter uma visão completa do contexto de identidade para decisões relacionadas a acesso.
Governança de Identidade
A governança de identidade permite que empresas modernas enxerguem uma visão completa do risco relacionado à identidade. A camada de governança de identidade oferece uma abordagem totalmente integrada ao ciclo de vida de todas as identidades, incluindo funcionários, parceiros, fornecedores e até mesmo a alta liderança.
Uma política que imponha como e quando um administrador autorizado tem acesso a uma identidade privilegiada é domínio do PAM. Mas como esse administrador se torna "autorizado"? Essa é uma decisão de negócios e é exatamente o tipo de escolha que um sistema de controle de identidade pode gerenciar e rastrear. À medida que os funcionários mudam de função e acabam saindo da organização, a governança permite que a empresa mantenha a segurança intacta em todos os pontos de decisão do ciclo de vida.
Historicamente, as soluções de governança de identidades e PAM existiam como silos - soluções separadas que não funcionavam juntas para mitigar ameaças cibernéticas. Como resultado, a governança de identidade não tinha visibilidade das contas privilegiadas. Ao mesmo tempo, faltava ao PAM a supervisão e a visibilidade abrangentes fornecidas pela governança de identidade.
A redução dessa abordagem em silos para o gerenciamento de identidade corporativa exigia o próximo passo: uma solução automatizada que pudesse provisionar e controlar o acesso para usuários finais, administradores de TI e outros tipos de usuários com base em políticas e governança de negócios.
A integração BeyondTrust e SailPoint
Uma nova integração tecnológica entre o PasswordSafe da BeyondTrust e o IdentityIQ, da SailPoint, dá às organizações a visibilidade e o controle centralizado de que precisam para controlar o acesso de contas privilegiadas e não privilegiadas.
A integração aproveita a API SCIM (System for Cross-domain Identity Management) incorporada ao Módulo PAM do IdentityIQ da SailPoint, que permite que os cofres de conta e os direitos associados sejam visíveis e gerenciados em todo o processo de controle de identidade. Isso permite o provisionamento automatizado de contas privilegiadas para novos usuários finais, com base em suas funções de trabalho, podendo inclusive ser associadas a grupos. E permite que os gerentes recertifiquem ou removam contas privilegiadas desnecessárias em uma base periódica e / ou orientada a eventos.
São duas informações importantes e necessárias- quem é o usuário e a que grupos ele pertence? Quando os usuários fazem parte de um grupo específico, eles recebem permissões para acessar dados desse grupo. Isso proporciona à TI uma visão das atribuições de funções e do acesso do usuário, bem como alterações contínuas de funções. A adição e a remoção do acesso são fornecidas automaticamente quando os funcionários mudam de função, garantindo que cada usuário tenha acesso apropriado em todos os momentos.
Vamos avaliar um cenário do mundo real: Silvio é um novo funcionário, e portanto, TI já o incorporou à infraestrutura de TI. Existe um processo automatizado que coloca Silvio no IdentityIQ como uma identidade. De lá, dependendo do departamento que trabalha, quem é seu gerente e outros pontos de decisão, Silvio recebe contas em vários sistemas. Suponha que ele precise de uma conta para se logar no Password Safe. O IdentityIQ obtém informações sobre Silvio a partir de várias fontes e, em seguida, provisiona uma conta no Password Safe para ele. Além disso, o sistema também informará ao Password Safe os grupos aos quais Silvio pertence, o que dará a ele as permissões necessárias para trabalhar com a ferramenta.
Outro cenário: um auditor de segurança deseja ver todas as contas existentes e todos os usuários podem acessar essas contas. O IdentityIQ pode relatar as permissões de acesso para vários sistemas, sejam eles quais forem - Service Now, SharePoint, Password Safe. No caso do Password Safe, ele informa ao SailPoint, quando solicitado - quais são todas as contas e quais são os privilégios que acompanham essas contas? Considere isso como uma visão detalhada de informações de identidade importantes. Você me contou sobre os usuários nos grupos, deixe-me dizer o que essa associação de grupo permite que eles acessem.
Essencialmente, a integração do SailPoint - BeyondTrust fornece à TI visibilidade de todas as identidades e acesso sob uma plataforma de governança de identidade. Isso facilita a detecção de usuários com risco excessivo relacionado à identidade. Enquanto isso, a administração ganha a supervisão necessária para garantir que a TI esteja fazendo escolhas racionais que alinham o acesso adequado às necessidades do negócio.
É uma vantagem dupla. O risco de segurança de acesso privilegiado é mitigado, enquanto a eficiência operacional de TI é aumentada.
