Visão geral
O gerenciamento de identidade e acesso (IAM) é uma forma centralizada e consistente de gerenciar as identidades dos usuários (ou seja, pessoas, serviços e servidores), automatizar controles de acesso e atender a requisitos de conformidade em ambientes tradicionais e de containers. Funcionários usando VPN para acessar recursos da empresa no trabalho remoto são um exemplo de uma solução de IAM em funcionamento.
O IAM faz parte da solução que verifica se as pessoas certas têm o acesso certo aos recursos certos, especialmente em instâncias de computação em várias nuvens. Os frameworks de IAM são essenciais para gerenciar identidades em ambientes bare-metal, virtual, de nuvem híbrida e edge computing a partir de um local centralizado, ajudando a reduzir os riscos de segurança e conformidade.
Introdução aos métodos de IAM
Os métodos de IAM servem para controlar o acesso a ativos, aplicações e dados on-premise e na nuvem com base na identidade do usuário ou da aplicação e nas políticas definidas pelo administrador. Eles estão presentes em todos os estágios do ciclo de vida de DevOps e ajudam a proteger o sistema de acessos não autorizados e movimento lateral.
Os conceitos de IAM incluem:
Autenticação: verificar a identidade de usuários, serviços e aplicações.
Autorização: conceder o acesso autenticado do usuário a recursos ou funções específicos.
Provedores de identidade, cofres de segredo e módulos de segurança de hardware (HSMs): permitem que o DevOps gerencie e proteja credenciais de segurança, chaves, certificados e segredos tanto em repouso quanto em trânsito.
Procedência: verificar a identidade ou autenticidade do código ou de uma imagem, geralmente usando algum tipo de assinatura digital ou registro de atestado.
Com a evolução contínua do cenário de segurança, o IAM também pode incluir outras funcionalidades, como inteligência artificial (IA), machine learning (ML) e autenticação biométrica.
Autenticação: gerenciamento das identidades de usuários
Autenticação é o processo de confirmação ou verificação da identidade de uma pessoa. A identidade do usuário (ou identidade digital) é o conjunto de informações usado para autenticar uma pessoa, serviço ou até mesmo dispositivos de IoT em conjuntos específicos de redes ou dados empresariais. O exemplo mais básico de autenticação é quando uma pessoa entra em um sistema usando uma senha. O sistema confirma a identidade apresentada verificando a informação fornecida (senha).
Além de capturar as informações de login, o processo de autenticação também permite que os administradores de TI monitorem e gerenciem atividades na infraestrutura e nos serviços.
Há várias abordagens para implementar uma política que aumente a segurança do ambiente e mantenha a usabilidade para os usuários. As duas mais comuns são single sign-on (SSO, login único) e autenticação multifator (MFA).
SSO: diferentes serviços, dispositivos e servidores exigem autenticações separadas de acesso. O SSO configura um serviço de identidade central que os serviços configurados consultam para buscar usuários verificados. Os usuários fazem uma única autenticação e podem acessar vários serviços.
MFA: uma camada adicional de segurança que requer várias consultas para verificar uma identidade antes de conceder acesso. Nesse método, use dispositivos criptográficos, como tokens de hardware e smart cards, ou configure tipos de autenticação, como senhas, raio, OTP de senha, PKINIT e senhas reforçadas.
Use outras ferramentas na sua infraestrutura para facilitar o gerenciamento de identidades, especialmente em ambientes distribuídos ou complexos, como pipelines de CI/CD ou nuvem, em que é difícil implementar com eficiência a autenticação de usuários. As funções do sistema são vantajosas principalmente em um ambiente DevSecOps. Com fluxos de trabalho de configuração automatizada consistentes e reproduzíveis, os administradores de TI economizam tempo e recursos, reduzindo ao longo do tempo a carga e as tarefas manuais associadas a implementação, administração de identidades e provisionamento/desprovisionamento.
Autorização: definição de acesso
Autenticação é o processo que identifica quem está tentando acessar um serviço. Autorização é o processo que define o que o usuário pode fazer com o serviço em questão, como editar, criar ou excluir informações.
Os controles de acesso levam o gerenciamento de identidade um passo adiante, atribuindo a uma identidade de usuário um conjunto de direitos de acesso pré-determinados. Esses controles geralmente são atribuídos durante a configuração da conta ou o provisionamento do usuário, e funcionam com a prática do "menor privilégio", uma base do modelo de confiança zero.
O menor privilégio concede ao usuário acesso apenas aos recursos necessários para uma determinada finalidade, como um projeto ou tarefa, e permite que ele execute apenas as ações (permissões) obrigatórias. As políticas de acesso também podem limitar a quantidade de tempo disponível para determinados recursos.
Por exemplo, um funcionário pode ter permissão para acessar uma variedade maior de recursos do que terceiros, como prestadores, parceiros, fornecedores e clientes. Se um usuário precisar de um nível de acesso diferente, os administradores de TI podem entrar no banco de dados de identidades e fazer os ajustes necessários.
Entre os sistemas de gerenciamento de acesso que usam o menor privilégio estão o gerenciamento de acesso privilegiado (PAM) e o controle de acesso com base em função (RBAC).
O PAM é o tipo de controle de acesso mais crítico. Normalmente, administradores e a equipe de DevOps que recebem essas atribuições têm o acesso mais completo a dados confidenciais e podem fazer alterações em bancos de dados, sistemas, servidores ou aplicações empresariais.
O RBAC define funções, ou conjuntos de usuários, e concede a elas permissões a esses recursos ou funções com base nas responsabilidades das tarefas. O RBAC permite aplicar direitos de acesso de modo consistente e claro, o que simplifica a administração e a integração e reduz o acúmulo de privilégios. O RBAC poupa tempo e recursos ao automatizar a atribuição dos direitos de acesso com base na função de um usuário dentro da organização.
Como escolher a solução ideal de IAM
O IAM oferece um nível de segurança integrada em todo o pipeline de desenvolvimento de app e é essencial para implementar o DevSecOps na sua organização. Ele é uma das bases na criação de uma abordagem em camadas da segurança em ambientes bare-metal, virtual, de container e de nuvem.
É importante verificar se o seu sistema de IAM é compatível com soluções em vários ambientes e cargas de trabalho, incluindo a implementação de IAM no desenvolvimento, teste, operações e monitoramento de aplicações.
Como há uma ampla gama de soluções de IAM disponíveis, as empresas podem restringir as opções desta maneira:
Conduzir uma auditoria dos sistemas novos e legados, principalmente se você tiver aplicações on-premises e na nuvem.
Identificar lacunas na segurança de stakeholders internos e externos.
Definir tipos de usuário e respectivos direitos de acesso específicos.
Depois de definir as necessidades de segurança da organização, é o momento de implantar a solução de IAM. Escolha uma solução independente, um serviço de identidade gerenciado ou um serviço de subscrição na nuvem, como Identity as a Service (IDaaS), de um terceiro.
Uma solução de IAM da Red Hat
O Red Hat® Enterprise Linux® oferece uma experiência de autenticação simplificada, confiável e consistente em um ambiente de nuvem híbrida aberta. Ele inclui recursos de gerenciamento de identidade centralizado (IdM), que possibilitam a autenticação de usuários e implementação de RBAC usando uma interface única e escalável que abrange todo o data center.
Com o gerenciamento de identidade no Red Hat Enterprise Linux, é possível:
Simplificar substancialmente a infraestrutura de gerenciamento de identidade.
Ajudar a atender aos requisitos de conformidade modernos, como PCI DSS, USGCB, STIG.
Reduzir o risco de acesso não autorizado ou escalação de privilégios de acesso.
Criar uma base para um ambiente operacional altamente dinâmico e escalável compatível com containers e nuvem.
Pré-configurar controles de acesso em novos sistemas, máquinas virtuais (VMs) e containers.
Reduzir o custo da operação diária e da carga de segurança sobre a TI.
O gerenciamento de identidade no Red Hat Enterprise Linux também se integra ao Microsoft Active Directory, ao protocolo lightweight de acesso a diretórios (LDAP) e a outras soluções de IAM de terceiros, usando interfaces padrão de programação de aplicações (APIs). Também é possível gerenciar centralmente a autenticação e autorização de serviços usando técnicas baseadas em certificado.
Com a automação de base, a segurança e o gerenciamento do ciclo de vida oferecidos pelo Red Hat Enterprise Linux, os produtos em camada executados no nível superior, como o Red Hat OpenShift®, herdam as mesmas tecnologias de segurança e estendem a cibersegurança ao desenvolvimento de aplicações baseadas em container.