Parte 1 - Identificação e Autenticação
O universo como um todo é cercado de identidades, ainda que talvez não concorde com uma afirmação tão generalizada. Mas, o que é exatamente uma identidade? Pense no seguinte exemplo.
Você está dirigindo tranquilamente por uma rodovia e subitamente é abordado por um regulador de trânsito. Este, solicita sua licença ou carta de condução. Observa atentamente para seu nome no documento e procura confirmar sua validade. Também, verifica se o documento foi emitido por uma entidade (ou autoridade) reconhecida no estado ou país onde você mora. Após confirmar estes dados, o agente devolve sua documentação e deseje-lhe boa viagem. Você segue sua marcha feliz, rumo ao seu destino.
Como ilustrado neste cenário corriqueiro, para o agente de trânsito e a maria de nós, uma identidade é um conjunto de atributos que designam uma pessoa com características próprias, tais como o nome pessoal, gênero, idade, profissão, peso, etc.
De modo similar, no mundo da computação, todo e qualquer usuário ou dispositivo é qualificado como uma entidade, possuindo, portanto, uma identidade própria. Tem um determinado perfil. Pense por um instante, nas caraterísticas dos diversos computadores, telefones, impressoras, tablets, equipamentos industriais e assim por diante. Todos estes fazem parte de um tão vasto ecossistema de dispositivos conectados local e mundialmente.
Agora, perceba que, em um ambiente corporativo podemos encontrar muitos destes dispositivos que acabamos de mencionar. São, de facto, identidades dentro da empresa e frequentemente acessam recursos ou ativos valiosos da organização. Naturalmente, as pessoas ou colaboradores, são também designadas quais identidades e usam diversos dispositivos (computadores, telefones, tablets, etc) para aceder à ficheiros, aplicações ou quaisquer outros recursos essências para a sua atividade laboral.
“Pessoas e dispositivos electrónicos - computadores, laptops, telefones, impressoras são identidades.”
Como surgiu a necessidade de Gerenciamento de Identidade e Acesso
Volte seu olhar para o tema deste artigo. Por que pensar no gerenciamento de identidade? Ou mais importante ainda, por que precisamos de ter como preocupação a administração ou o controlo das pessoas e dispositivos que se conectam na infraestrutura de rede de uma empresa? A razão para isso é clara e simples.
Hoje, sobretudo com o aumento da força de trabalho remoto, observou-se uma escalada significativa de brechas de segurança tendo como origem pessoas e dispositivos -também chamados de endpoints - conectados remotamente através da internet. Segundo uma pesquisa realizada pela Check Point Software Technologies, cerca de 70% dos ataques cibernéticos teem origem nos dispositivos e pessoas, tornando-os principais vetores de ataque.
“Com 70% dos ataques cibernéticos começando no endpoint, a proteção completa do endpoint no mais alto nível de segurança é crucial para evitar violações de segurança e comprometimento de dados” – Resultado de pesquisa da Check Point Software Technologies.
Assim, precisamos lembrarmo-nos de que cada pessoa e dispositivo conectado à rede corporativa ou mesmo à internet, pode estar a mercê de uma vulnerabilidade e ser explorada por uma ameaça - através de um hacker ou qualquer outro agente malicioso - e comprometer gravemente os ativos de uma empresa. Por exemplo, se não devidamente controlados, pessoas e dispositivos podem constituir-se vetores, mediante os quais atacantes podem afetar adversamente serviços, infraestruturas, vazar dados pessoais ou ocasionar danos severos à reputação de uma organização. Além disso, as empresas podem enfrentar casos judiciais e pagar multas como resultado de não terem salvaguardados os interesses dos que dependem da operação sua infraestrutura crítica.
Assim, é vital que as empresas ganhem a consciência da importância do gerenciamento de acesso e identidade. Agora, como gestor ou diretor na sua empresa, talvez se pergunte: Como se pode gerenciar o acesso e identidade, permitindo apenas que entidades devidamente autorizadas tenham acesso aos recursos (aplicações, serviços e dados) da corporação? Como posso saber quem acessa o quê, quando e como?
Retomemos ao exemplo no início do artigo para entendemos como se pode fazer isso.
Para que se consiga gerenciar a identidade e controlar o acesso, são necessários a implementação de vários mecanismos, geralmente conhecidos como IAM (Identity and Access Management, sigla em inglês) e consistem de procedimentos que permitem identificar, autenticar, autorizar e auditar o acesso aos recursos da organização. Isto é análogo à tarefa de um regulador de trânsito que solicita a licença de condução de um motorista para aferir sua aptidão, verificar histórico de infrações, revogação do documento e decidir se irá liberar ou não o automobilista para seguir sua marcha. Talvez o agente tenha de consultar uma base de dados para extrair essas informações e tomar a melhor decisão neste caso.
Compreendendo o funcionamento do gerenciamento de identidade e acesso
Avancemos agora para discorrermos sobre o IAM (Identity and Access Management) e como este mecanismo de segurança funciona.
Um forte mecanismo de autenticação deve ser a primeira linha de defesa e controlo de acesso aos recursos na rede corporativa. Esta solução combina vários controlos técnicos para limitar quais sujeitos terão acesso aos objectos. Aqui, sujeitos designam- se pessoas e dispositivos (endpoints), ao que passo objectos afiguram-se como a infraestrutura de rede, servidores, aplicações, banco de dados, ficheiros e assim por diante.
Em geral, o IAM é composto por quatro processos ou componentes como descritos abaixo:
- Identificação – Envolve a criação de uma conta ou ID que de maneira inequívoca representa uma pessoa, dispositivo ou software (serviço);
- Autenticação – Provê um modo de garantir que uma pessoa ou dispositivo é o que ela afirma ser quando tenta acessar recursos na rede;
- Autorização – Determina quais direitos ou acessos o sujeito (pessoa ou dispositivo) pode ter sobre os recursos na rede e os reforça continuamente;
- Auditoria – Regista o uso autorizado ou tentativas não autorizadas sobre os recursos da organização. Adicionalmente, alertas são emitidos quando o uso ou tentativas não autorizadas são verificados na infraestrutura;
Além disso, o IAM permite ainda identificar e autenticar usuários ou dispositivos usando atributos como papel ou profissão, função e articula informações contextuais tais como, lugar (geolocalização ou de onde são tentados os acessos), tempo (quando o acesso é realizado) e como (se os acessos são feitos usando PCs, tablets, telefones celulares, etc).
Isto torna o processo do IAM bastante flexível e funcional, possibilitando igualmente a aplicação de políticas de acordo com as normas da organização e assegura o uso da abordagem de confiança zero (zero trust model) para todo e qualquer dispositivo ou pessoa que pretenda aceder aos recursos na rede corporativa.
Os protocolos e servidores que implementam o IAM são comumente referidos como authentication, authorization and accounting (AAA) e representam processos largamente utilizados hoje para prover serviços de autenticação, autorização e auditoria dos acessos.
Entretanto, quando se trata de autenticação, fatores são conjugados para garantir a autenticidade e o não-repúdio das entidades (pessoas e dispositivos) que requisitam os acessos. Mas, o que são esses fatores?
Para ajudar-nos a entender isso, retomemos mais uma vez ao exemplo do regulador de trânsito. Para ter a certeza de que o automobilista tem a habilitação para conduzir, ele atenta-se para, dentre outras coisas, (1) nome da pessoa, (2) número de identificação, (3) autoridade que emitiu o documento (4) impressões digitais, se comprovadas por um banco de dados, etc. Estes são os fatores, por assim dizer, que uma vez conjugados possibilitam o agente deixar ou não o condutor seguir sua viagem.
Similarmente, em tratando-se de gerenciamento de identidade e acesso, quando são criadas contas (credencias) que representam entidades (pessoas e dispositivos), é importante assegurar-se de que o detentor desta conta seja de facto àquele que afirma ser o seu detentor. Por exemplo, se um usuário introduzir suas credencias (usuário e palavre, para ilustrar), estas devem ser confrontadas com o registo em uma base ou fonte de identidade, e, caso não correspondam, o acesso deve ser negado.
Foi assim que os chamados fatores vieram à existência e há diversas tecnologias que possibilitam o uso destes. Estes são resumidamente descritos da seguinte maneira:
(1) – Alguma coisa que você sabe
Autenticação baseada em conhecimento (alguma que você saiba) tipificam o uso de nome de usuário e palavras-passe, PIN e assim por diante, que são detidas quer por pessoas, quer dispositivos que precisem aceder à recursos na rede corporativa;
(2) – Alguma coisa que você tem
Autenticação baseada em posse (alguma coisa que você tenha) assume-se como o uso, por exemplo, de tokens recebidos através de telefones celulares, certificados digitais, placas USBs, etc.
(3) – Alguma coisa que você é
Autenticação baseada em alguma coisa pode traduzir-se no uso de controlos biométricos, reconhecimento facial, impressões digitais ou comportamentos observáveis.
Em resumo, gerenciamento de acesso e identidade, afigura-se como umas das
estratégias de defesa cibernética mais importantes do que nunca, visto que muitos incidentes e brechas de segurança teem origem nas atividades de pessoas e dispositivos que se conectam à rede corporativa, quer localmente ou mediante acesso remoto.
Mecanismos de autenticação, autorização e auditoria asseguram o controlo,
gerenciamento e visibilidade das entidades, reforçando políticas com vistas a mitigar os riscos de segurança e ajudam a salvaguardar os ativos da organização contra uso indevido, roubo ou vazamento de dados da empresa.
Como implementar gerenciamento de acesso e identidade baseada em conhecimento, reforçando o paradigma de autenticação de múltiplos fatores e a política de zero trust (confiança zero)? Estas e outras perguntas serão respondidas na parte 2 desta série de artigo. Até lá!