Gestão de Identidade (IAM)

O que é Gestão de Identidade e Acesso (IAM)?

IAM (Identity and Access Management) é um framework de políticas, processos e tecnologias que garantem que as pessoas certas tenham o acesso apropriado aos recursos certos, no momento certo. É fundamental para segurança, conformidade e eficiência operacional.

Componentes Fundamentais de IAM

1. Autenticação

Processo de verificar a identidade de um usuário, sistema ou entidade.

  • Fatores de Autenticação:
    • Algo que você sabe (senha, PIN)
    • Algo que você tem (token, smartphone)
    • Algo que você é (biometria)
  • Métodos Modernos:
    • Autenticação passwordless (FIDO2, WebAuthn)
    • Autenticação baseada em risco
    • Autenticação contínua

2. Autorização

Determinar quais recursos e operações um usuário autenticado pode acessar.

  • RBAC (Role-Based Access Control): Permissões baseadas em funções
  • ABAC (Attribute-Based Access Control): Decisões baseadas em atributos
  • PBAC (Policy-Based Access Control): Políticas dinâmicas
  • ReBAC (Relationship-Based Access Control): Baseado em relações

3. Provisionamento e Desprovisionamento

  • Criação automatizada de contas
  • Atribuição de permissões baseada em função
  • Onboarding e offboarding de usuários
  • Sincronização entre sistemas (HR → IAM → Apps)

Autenticação Multifator (MFA)

MFA adiciona camadas extras de segurança, exigindo múltiplas formas de verificação antes de conceder acesso.

Tipos de MFA

  • SMS/Voice: Código enviado por texto ou chamada (menos seguro)
  • Aplicativos Authenticator: TOTP (Google Authenticator, Authy)
  • Push Notifications: Aprovação via smartphone
  • Hardware Tokens: YubiKey, RSA SecurID
  • Biometria: Impressão digital, reconhecimento facial
  • FIDO2/WebAuthn: Padrão moderno sem senha

Implementação de MFA

  • MFA obrigatório para contas privilegiadas
  • MFA condicional baseado em risco
  • Opções de backup para recuperação
  • Educação de usuários sobre importância

Single Sign-On (SSO)

SSO permite que usuários acessem múltiplas aplicações com um único conjunto de credenciais, melhorando experiência e segurança.

Protocolos SSO

  • SAML 2.0: Padrão empresarial, XML-based
  • OAuth 2.0: Autorização, usado com OpenID Connect
  • OpenID Connect (OIDC): Camada de identidade sobre OAuth 2.0
  • Kerberos: Protocolo de autenticação de rede

Benefícios do SSO

  • Redução de fadiga de senha
  • Menor helpdesk de reset de senha
  • Melhor experiência do usuário
  • Centralização de autenticação e auditoria

Privileged Access Management (PAM)

PAM protege e monitora contas com privilégios elevados, críticas para segurança.

Recursos de PAM

  • Password Vaulting: Armazenamento seguro de credenciais privilegiadas
  • Session Management: Gravação e monitoramento de sessões privilegiadas
  • Just-in-Time Access: Elevação temporária de privilégios
  • Password Rotation: Mudança automática de senhas
  • Secrets Management: Gestão de API keys, tokens, certificados

Arquitetura Zero Trust

Zero Trust elimina a confiança implícita, verificando continuamente cada acesso independentemente da origem.

Princípios Zero Trust

  • Verificar explicitamente (sempre autenticar e autorizar)
  • Usar acesso de menor privilégio
  • Assumir violação (limitar raio de explosão)
  • Micro-segmentação
  • Monitoramento e logging contínuos

Implementação Zero Trust

  • Identity-centric security perimeter
  • Autenticação contínua e adaptativa
  • Device trust and posture assessment
  • Network segmentation and microsegmentation
  • Encrypted traffic inspection

Governança de Identidade (IGA)

IGA garante que as pessoas certas tenham o acesso certo aos recursos certos, com auditoria completa.

Recursos de IGA

  • Access Certification: Revisões periódicas de acesso
  • Access Request Workflow: Solicitações com aprovações
  • Segregation of Duties (SoD): Prevenção de conflitos
  • Analytics and Reporting: Visibilidade de acessos
  • Policy Enforcement: Automação de políticas de acesso

Diretórios e Provedores de Identidade

Diretórios Corporativos

  • Active Directory (AD): Microsoft, onpremises
  • Azure AD (Entra ID): Microsoft, cloud
  • Okta: Identity provider as a service
  • Auth0: Platform de identidade para developers
  • Ping Identity: Enterprise IAM

Open Source

  • Keycloak: IAM open source, Red Hat
  • FreeIPA: Identity management para Linux/Unix
  • OpenLDAP: Diretório lightweight

Melhores Práticas

Gerenciamento de Senhas

  • Políticas de complexidade adequadas (12+ caracteres)
  • Rotação periódica apenas para contas privilegiadas
  • Proibir reutilização de senhas
  • Detectar senhas comprometidas (Have I Been Pwned)
  • Incentivar uso de gerenciadores de senha

Princípio do Menor Privilégio

  • Conceder apenas permissões essenciais
  • Revisar acessos regularmente
  • Remover acessos não utilizados
  • Usar grupos/roles ao invés de permissões individuais

Auditoria e Compliance

  • Logging de todas as atividades de identidade
  • Revisões de acesso trimestrais
  • Relatórios de acessos privilegiados
  • Alertas para atividades anômalas

Desafios Comuns

  • Shadow IT: Aplicações não gerenciadas pelo IAM
  • Orphaned Accounts: Contas de ex-funcionários ativas
  • Over-Privileged Users: Usuários com mais acesso que necessário
  • Credential Stuffing: Uso de credenciais vazadas
  • Phishing: Roubo de credenciais via engenharia social

Tendências Futuras

  • Passwordless Authentication: Eliminação de senhas
  • Decentralized Identity: Self-sovereign identity (SSI)
  • AI-Powered IAM: Detecção de anomalias com ML
  • Blockchain Identity: Identidades distribuídas
  • Biometrics Evolution: Biometria comportamental

Gestão eficaz de identidade e acesso é crítica para segurança moderna. Uma estratégia robusta combina autenticação forte (MFA), autorização granular (RBAC/ABAC), governança contínua (IGA) e arquitetura Zero Trust. Com a evolução para trabalho remoto e cloud, IAM tornou-se o novo perímetro de segurança, exigindo implementação cuidadosa e manutenção contínua.