Aprendizado e descoberta 6min de Leitura - 04 de março de 2022

PAM ou IAM? Qual a diferença entre elas?

IAM PAM

This post is also available in: Português Español

A importância da gestão de acessos em uma empresa cresce a passos largos. Basta ver que as violações de dados em larga escala são manchetes de notícias com frequência, e 61% desses casos envolvem dados de credenciais. Não há como negar que é um problema que veio pra ficar, mas que pode ser evitado. E a solução passa por siglas como PAM e IAM, que possuem similaridades em suas propostas.

Os conceitos estão de fato intimamente relacionados, mas não são os mesmos. Ainda que os dois abordem o gerenciamento de usuários, acesso e funções, o Gerenciamento de Identidade e Acesso (IAM) se aplica amplamente a todos os usuários de uma empresa. As estratégias do IAM ditam como gerenciar o acesso geral a recursos como dispositivos, aplicativos, arquivos de rede e ambientes. Assim, elimina contas compartilhadas e exige que cada usuário tenha uma identidade digital confiável (por exemplo, nome de usuário e senha) que deve ser gerenciada e monitorada durante todo o seu ciclo de vida.

Já o gerenciamento de acesso privilegiado (PAM) é um subconjunto do IAM focado em usuários privilegiados — aqueles com autoridade para fazer alterações em uma rede, dispositivo ou aplicativo. Os usuários privilegiados podem ser usuários corporativos com requisitos de acesso elevados (como funcionários de RH, finanças etc), administradores de sistema, contas de serviço de aplicativos e outros usuários de alto nível. O gerenciamento de acesso privilegiado se baseia nas vantagens do IAM. O PAM estabelece políticas e práticas para garantir a segurança de dados confidenciais e infraestrutura crítica, e normalmente inclui observabilidade, automação e autenticação e autorização refinadas.

Dessa maneira, é possível perceber que existe uma espécie de sobreposição entre PAM e IAM, bem como entre outras categorias relacionadas.

Rastreando o acesso do usuário

Um sistema relacionado com muita sobreposição é o Identity Governance and Administration (IGA), que é capaz de monitorar e auditar o acesso. Isso aumenta a visibilidade e ajuda as empresas a atender aos requisitos de conformidade, como SOX, LGPD, SOC2 e ISO 27001.

Assim como o PAM lida com usuários privilegiados, as ferramentas IGA ajudam a automatizar fluxos de trabalho para criar e gerenciar contas, funções e acesso para todos os usuários.

O IGA ajuda a garantir que os protocolos IAM, incluindo PAM, sejam conectados e implementados adequadamente. Consegue então melhorar a segurança cibernética, reduz o risco relacionado à identidade e agiliza a implementação de muitas políticas do PAM, principalmente aquelas relacionadas à auditoria e conformidade. Em suma, o IAM concede acesso, o IGA o rastreia e o PAM faz as duas coisas – mas apenas para usuários privilegiados.

Desafios

Os ambientes de computação modernos apresentam uma série de novas questões para a implementação de políticas de gerenciamento de acesso. As soluções de acesso devem ser flexíveis o suficiente para lidar com a introdução e adoção de novas tecnologias, bem como as particularidades de infraestruturas em nuvem e a rápida evolução dos negócios.

Além dessas complicações, a força de trabalho é cada vez mais distribuída entre escritório e home office, e não raro usa seus próprios dispositivos. Se adicionar fornecedores e contratados terceirizados na mistura, e métodos manuais – como planilhas e listas de verificação – será possível perceber que algumas soluções simplesmente não conseguem acompanhar.

As soluções de acesso gerenciado na nuvem, como o AWS IAM, respondem a muitas dessas dificuldades, mas não são exatamente um mar de rosas. As configurações incorretas de gerenciamento de identidade e acesso podem deixar você com uma falsa sensação de segurança. Além disso, abrem as portas para brechas de segurança, aumentando a possibilidade de que invasores tenham acesso às contas da empresa e à propriedade intelectual.

Quando se trata de segurança na nuvem, é importante saber o que o provedor de serviços de nuvem fará ou não. Essencialmente, o provedor de cloud computing mantém a segurança da nuvem, enquanto o cliente mantém a segurança na nuvem. É importante então conhecer as responsabilidades compartilhadas do sistema, respeitando cada necessidade.

Depois de entender o papel que a empresa, como cliente, desempenha na segurança da nuvem, é importante ficar atento aos erros de configuração. Saber o que procurar é um primeiro passo importante para evitar e corrigir esses erros. Aqui estão alguns dos mais comuns:

  • Ferramentas subutilizadas:

uma “configuração incorreta” comum é o uso errôneo das ferramentas nativas do provedor de nuvem. Todos os principais provedores de nuvem incluem configurações para ajudar a implementar as políticas de PAM e IAM. Isso pode incluir controles de acesso baseados em função (RBAC), autenticação multifator (MFA) e gerenciadores de senhas. Afinal, nem sempre os usuários são especialistas em segurança. Em vez disso, é possível usar ferramentas integradas para garantir que eles sigam as políticas de acesso necessárias.

  • Identidades mal configuradas:

Em alguns casos os administradores podem definir controles de acesso mais permissivos, para aliviar o atrito com os colaboradores da empresa e/ou para trazer maior fluidez e facilitar a gestão dos acessos. De todo modo, este tipo de posicionamento pode abrir portas para possíveis invasores. Um usuário superprovisionado pode causar muitos danos, intencionalmente ou por engano. Portanto, é necessário seguir as políticas estabelecidas em suas diretrizes de IAM e PAM e implementar suas identidades baseadas em nuvem, seguindo o princípio de privilégio mínimo.

  • Acesso excessivo ao armazenamento:

certifique-se de que seu armazenamento em nuvem não seja acessível publicamente ou irrestrito, pois isso pode permitir que os usuários acessem e manipulem seus dados. Eles podem excluí-lo, copiá-lo, criptografá-lo ou torná-lo inutilizável. Nos casos em que é necessário o acesso público ao armazenamento, certifique-se de tornar o acesso somente leitura. Acompanhe onde estão seus dados e quem precisa acessá-los e restrinja o acesso apenas ao que for necessário.

  • Registro/monitoramento não habilitado:

Utilize os recursos de registro de sua plataforma em nuvem para manter a visibilidade em sua rede. Monitore todos os recursos e ativos quando eles forem criados, alterados ou excluídos e mantenha um registro de quais identidades estão acessando seus recursos. É possível também usar ferramentas de análise nativas como AWS CloudTrail, Azure Log Analytics e GCP Cloud Audit Logs para detectar padrões de uso inadequados e atividades inesperadas. Conforme observado anteriormente, o monitoramento aumenta a visibilidade e oferece suporte aos requisitos de conformidade, para que se possa detectar problemas antes que saiam do controle. A correção desses erros comuns de configuração de nuvem ajudará a garantir que os dados e a infraestrutura fiquem menos vulneráveis a invasões.

Em ambientes de produção que utilizam mais de uma plataforma de nuvem (multinuvem), os administradores enfrentam um desafio adicional, pois precisam entender os padrões, configurações e ferramentas específicos de cada provedor. Em vez de tentar montar uma miscelânea de ferramentas de segurança por conta própria, muitas equipes estão procurando uma solução unificada.

Gerenciamento de acesso consolidado

Embora as listas de verificação e as planilhas sejam ferramentas organizacionais importantes, elas não são suficientes para lidar com a complexidade dos ambientes de nuvem modernos. E adicionar mais tecnologia nesse contexto pode até ajudar, mas também cria novos desafios à medida que se luta para integrar ferramentas incompatíveis.

Para que uma estratégia de gerenciamento de acesso funcione, ela deve executar políticas de segurança sem causar prejuízos para a operação e/ou desgaste com junto aos colaboradores da empresa. Uma solução de acesso unificado permitirá que a empresa conceda e rastreie acesso para usuários gerais e privilegiados com:

Controle de acesso baseado em função: restrinja o acesso à rede a usuários autorizados com base em sua função dentro da empresa, ajudando a reforçar o princípio de privilégio mínimo. Isso inclui ferramentas para habilitar e desabilitar contas comerciais privilegiadas e padrão, concedendo e revogando direitos de acesso para todos os usuários em dispositivos, aplicativos e plataformas.

  • Provisionamento automatizado:

substitua tarefas manuais tediosas por processos automatizados para mitigar o trabalho administrativo. Os administradores podem conceder acesso, incluindo acesso privilegiado, de maneira limitada no tempo. A adição ou remoção automática de acesso à medida que as funções mudam ajuda a evitar o aumento de privilégios e melhora a adesão à política.

  • Autenticação:

A integração de logon único melhora o fluxo de trabalho autenticando o acesso a várias contas a partir de um ponto de entrada centralizado, enquanto a autenticação multifator (MFA) adiciona uma segunda camada de verificação.

  • Gerenciamento de credenciais:

Automatize o armazenamento e a rotação de senhas para reduzir a janela de tempo em que permanecem válidas. Isso ajuda a eliminar problemas causados por senhas perdidas, roubadas ou compartilhadas.

  • Observabilidade:

Descubra e remova as credenciais abandonadas, que não são gerenciadas e mantenha a visibilidade das solicitações, aprovações e ações de acesso do usuário.

  • Ferramentas de auditoria:

Registre relatórios de sessão, revise o acesso e tome conhecimento de atividades incomuns. Isso facilita o atendimento de requisitos regulatórios e de conformidade, principalmente quando aplicado a acesso privilegiado.

  • Fácil de usar:

Proteja sua infraestrutura sem interromper o fluxo de trabalho. Afinal, uma ferramenta só é eficaz se você realmente puder usá-la. Uma ferramenta consolidada de gerenciamento de acesso simplificará a auditoria para usuários gerais e privilegiados, fornecerá um único ponto de controle para provisionamento de acesso e agilizará a integração e desconexão de todos os usuários.

Nesse contexto, as violações de segurança envolvendo credenciais representam um grande desafio para as empresas, especialmente aquelas que operam em ambientes multinuvem e gerenciam o acesso remoto. Assim, soluções como PAM e IAM devem ser dinâmicas e flexíveis o suficiente para proteger o acesso em um ambiente em constante mudança, sem causar atrito para usuários, clientes ou administradores.

Cadastre-se em nossa Newsletter e receba nossos últimos conteúdos associados a segurança digital e tecnologia!

This post is also available in: Português Español