BR +55 11 3069 3925 | USA +1 469 620 7643

IAM x PAM – A diferença entre Identity & Access Management e Privileged Access Management

por | set 9, 2019 | Blog

É incontestável a importância de ter uma identidade. Não só os documentos pessoais definem nossa identidade perante a sociedade, mas qualquer característica que possa retratar quem somos e o que fazemos. 

Nome, personalidade, aparência física e outras características em conjunto criam uma imagem única de cada pessoa, definem a sua identidade. Considerando que o planeta Terra tem 7,7 bilhões de seres humanos registrados, não possuir uma identidade torna praticamente impossível a tarefa de reconhecer um indivíduo entre todos estes. 

Imagine um sistema em que todos os usuários possuem a mesma identidade: Bob loga no sistema e tem acesso ao banco de dados com informações dos clientes da empresa, da mesma forma que Alice faz todos os dias para executar suas tarefas, porém Bob trabalha na área de Recursos Humanos e não necessita de informações de clientes. Com usuários que possuem a mesma identidade, como saber se o acesso é autêntico? Ou se o usuário possui autorização para a sua requisição?  

A resposta mais provável é que este tipo de acesso não autorizado não pode ser evitado. Um sistema precisa possuir uma visibilidade que possibilite saber quem são os usuários do sistema e o que eles fazem, deste modo, cada um deve possuir sua identidade dentro do sistema. 

Devido a esta preocupação, surge o conceito Identity & Access Management (IAM) ou Identidade e Gestão de Acesso, sistema que possibilita gerenciar identidades e seus acessos aos recursos da organização (dispositivos, aplicações, ambientes, arquivos de rede etc.), ou seja, gerenciar e definir o que cada usuário é e poderá fazer no sistema. 

Esses usuários podem ser clientes que necessitam, de alguma forma, ter acesso a informações da organização, empregados, funcionários terceirizados ou até mesmo aplicações. Independentemente do tipo de usuário, sistemas IAM seguem a ideia que cada usuário deve ter a sua própria identidade digital, deve ser individual, mantida e monitorada de acordo com o ciclo de vida que possuirá (criação, manuseio e exclusão). A identidade digital inclui: username, senha e atividades realizadas on-line. 

O IAM possui alguns modelos de aplicação, talvez o mais comum seja o sistema usado como serviço. É chamado de Identity as a Service (IDaaS) ou Identidade como Serviço, isso se dá quando a infraestrutura de autenticação é sustentada e gerenciada por um terceiro. 

No geral, existem muitos modelos de aplicação, porém todo sistema IAM deve possuir ferramentas que possibilitem habilitar e desabilitar contas, banco de dados para armazenamento das informações de usuário e meios para conceder e revogar direitos de acesso. 

Infraestruturas organizacionais estão sempre evoluindo; ambientes em nuvem, BYOD (bring your own device ou traga o seu próprio dispositivo), IoT e outras tantas tecnologias podem ser um conjunto de fatores capazes de dificultar o gerenciamento de identidades, cujo número é crescente com essa evolução. Assim sendo, não possuir um sistema de gerenciamento de identidades efetivo pode acarretar problemas e riscos de segurança muito graves.

IAM x PAM

Em resumo, sistemas IAM gerenciam identidades digitais, tentando garantir que o acesso seja concedido àqueles que de fato têm direito, sendo que esta definição, para muitos, pode lembrar a de soluções Privileged Access Management (PAM) ou Gerenciamento de Acesso Privilegiado, que são contextualizadas como soluções que fazem a gestão de acesso a partir do controle, armazenamento, segregação e rastreamento de todas as credenciais privilegiadas.

Comumente, os dois termos são fáceis de serem confundidos se a palavra “privilégio” for ignorada. IAM gerencia identidades para acessos comuns que acontecem em atividades rotineiras; PAM controla o acesso de usuários privilegiados e ativos em ambientes críticos do sistema.  

Soluções PAM são um passo a mais em relação aos sistemas IAM, pois protegem dados críticos de usuários privilegiados que podem abusar de seus benefícios e fazer uso incorreto dos dados que manipulam. Sistemas IAM conseguem habilitar e remover acessos, mas não concedem as mesmas funcionalidades de soluções PAM, tais como:

  • Cofre de senhas: gerenciamento e proteção de credencias críticas através de monitoramento de sessões. 
  • Limite de uso: limitação do uso da conta com base em um tempo específico, uma quantidade de aprovação determinada. 
  • Discovery: auto discovery de credenciais privilegiadas que possam estar no sistema sem o conhecimento do administrador. 
  • Visibilidade: visão do que acontece quando um acesso é requisitado, aprovado e executado. 
  • Auditoria: gravação de evidências de acessos realizados de forma correta ou não.

Entre outras funcionalidades, enquanto o IAM define o que Bob e Alice poderão ver ou fazer no sistema, a solução PAM garante que Alice não poderá apagar, copiar ou modificar nenhuma informação de seu sistema crítico sem ser monitorada ou bloqueada, caso suas ações sejam consideradas maliciosas. 

Uma solução PAM faz parte de um sistema IAM, assim como funções de múltiplo fator de autenticação e single sign-on (acesso em diversas aplicações com apenas um login), já que essas funções e ferramentas habilitam uma autenticação mais segura, além do uso cauteloso de identidades e perfis. Por isso, IAM e PAM podem trabalhar juntos, aliás, é o que se recomenda.

Sistemas IAM oferecem aos administradores a facilidade de modificar um usuário, criar relatórios de uso e reforçar políticas, mas falham no gerenciamento de contas privilegiadas. Soluções PAM entregam informações sobre o que está sendo feito, as sessões iniciadas e como as credenciais estão sendo usadas. 

IAM + PAM

A primeira frente de batalha no gerenciamento deve ser o IAM, que define e gerencia as identidades existentes no sistema, seguida do PAM, que controla e monitora o uso de credenciais privilegiadas. 

As duas soluções suprem as necessidades uma da outra. IAM cria, modifica e apaga contas privilegiadas; mudanças em políticas e procedimentos serão automaticamente atribuídos em soluções PAM por meio do IAM.   

Obter o controle de usuários e contas do sistema é o objetivo de segurança de muitas organizações. Implementar soluções IAM e PAM é um ótimo começo, mas quando feitas de forma independente, podem não ser tão eficazes, mas quando integradas, conseguem de fato cobrir questões importantes de acesso. Soluções IAM gerenciam todas as identidades digitais e seus acessos, e soluções PAM dão um passo a mais trazendo segurança e compliance para estes acessos, protegendo dados críticos e controlando contas privilegiadas.

Alta disponibilidade: tecnologia que garante produtividade e credibilidade

Neste artigo, explicamos mais detalhes sobre o assunto. Nosso texto está dividido por tópicos para facilitar sua compreensão. São eles: O que é alta disponibilidade? O que é um cluster de alta disponibilidade? Qual é a importância da alta disponibilidade para as...

Múltiplo Fator de Autenticação: como se beneficiar dessa estratégia de segurança

O múltiplo fator de autenticação é uma solução inteligente que proporciona proteção de ataques cibernéticos a pessoas físicas e jurídicas.  Essa estratégia é especialmente importante nos dias atuais, considerando o aumento expressivo de tentativas de invasão. Uma...

Gestão de Acesso Privilegiado

A implementação do gerenciamento de acesso privilegiado em uma empresa é fundamental para garantir que não haja roubos de informação e outros problemas de segurança. Os chamados ciberataques são os responsáveis, por exemplo, pelo roubo e sequestro de informações em...

Gerenciamento de Credenciais

Com o aumento significativo no número de malwares e ransomwares por todo o mundo, garantir a segurança das credenciais privilegiadas da sua empresa tornou-se uma prática fundamental para se proteger de ameaças internas, vazamentos de dados e perdas financeiras...

Como evitar ataques DDoS na sua empresa?

Existem diversos métodos por meio dos quais agentes mal-intencionados atacam websites e desestabilizam serviços e recursos em rede. Uma das técnicas mais comumente utilizadas é o ataque DDoS, da sigla em inglês distributed denial-of-service ou “negativa distribuída de...
Copy link
Powered by Social Snap