Entendendo o Microsoft Identity and Access Management: tudo o que você precisa saber
Publicados: 2019-11-14Você sabia que US$ 445 milhões foram perdidos para os cibercriminosos apenas em 2018?
De acordo com o Relatório de Investigações de Violação de Dados da Verizon de 2019, 80% dos ataques no estilo de hackers envolveram credenciais comprometidas ou fracas. No geral, 29% de todas as violações foram devido a credenciais roubadas.
As soluções de gerenciamento de identidade e acesso nunca foram tão críticas para as empresas. Mas a maioria das empresas não tem ideia por onde começar. Criamos este artigo para fornecer um ponto de partida e explicar mais sobre as soluções Microsoft Identity and Access Management.
O que os serviços do IAM fazem?
Seus funcionários são seu maior risco de segurança. Se eles forem descuidados em manter suas senhas seguras ou usarem senhas fracas, você também pode enviar um aviso dizendo “Hack me”. Gerenciar o acesso é simples quando você administra uma pequena empresa com poucos funcionários. Quanto mais funcionários você tiver, mais difícil será gerenciar. É aí que os serviços do IAM entram em ação.
Gerenciar o acesso do funcionário
Eles permitem que você gerencie o acesso dos funcionários aos seus sistemas com mais eficiência. Eles oferecem opções de acesso alternativas e mais seguras. O Azure Active Directory da Microsoft, por exemplo, oferece a você um único ponto de entrada juntamente com um sistema de autorização multifator.
Portanto, em vez de apenas digitar seu nome de usuário e senha, você terá algumas etapas de autenticação diferentes. Você pode, por exemplo, digitar um código de autenticação enviado ao seu telefone. Ou, se você precisar de ainda mais segurança, a identificação biométrica pode ser acionada.
Com os sistemas IAM, você pode ver rapidamente quais sistemas um funcionário pode acessar. Você pode ajustar seu acesso apenas aos sistemas vitais para sua função. Você também pode programar o sistema para redefinir senhas automaticamente após um intervalo definido.
Melhore a Jornada do Cliente
Esses sistemas podem melhorar a jornada do cliente, tornando o processo de login mais fácil e seguro.
Gerenciar o acesso para contratados externos
Se você precisa trabalhar com freelancers, esses sistemas permitem que você configure os perfis dos usuários de forma rápida e fácil. Você pode atribuir privilégios de usuário limitados apenas aos sistemas que eles precisam acessar.
Você pode, por exemplo, dar a eles acesso a apenas um endereço de e-mail da empresa ou acesso básico ao seu banco de dados. Você também pode programar uma data final para o contrato para garantir que o acesso seja cancelado automaticamente.
Melhorar a produtividade
Eles também podem ser úteis para melhorar a produtividade porque permitem que os funcionários trabalhem em diferentes dispositivos com segurança. Muitos desses serviços são baseados em nuvem, portanto, não dependem do dispositivo. Em outras palavras, você não precisa baixá-los para o próprio dispositivo.
Ao limitar o acesso dos funcionários aos seus sistemas, você pode gerenciar melhor o congestionamento nesses sistemas. Isso, por sua vez, melhora a produtividade.
Conformidade de suporte
Com as leis de privacidade se tornando mais rígidas, as empresas estão sob maior pressão para proteger as informações dos clientes. Os sistemas IAM podem ajudar nisso.
Permitir que o pessoal de TI se concentre em tarefas mais importantes
Finalmente, esses sistemas permitem a automação de tarefas essenciais de segurança. Isso libera seu pessoal de TI para trabalhar em coisas mais importantes. Também reduz o potencial de erro humano.
Como a Microsoft se encaixa?
A linha Azure da Microsoft oferece um conjunto de ferramentas robustas que fornecem os níveis de segurança de que você precisa. Eles também fizeram parceria com vários fornecedores terceirizados para aumentar ainda mais a proteção. Portanto, se a Microsoft não tiver tecnologia para oferecer software de reconhecimento facial, por exemplo, ela fará parceria com uma empresa que tenha.
Gerenciamento de Identidade Privilegiada do Azure
Este produto fornece ativações baseadas em aprovação e tempo para ajudar a evitar o abuso de recursos e acesso não autorizado.
Os recursos incluem:
- Acesso privilegiado just-in-time : esse recurso permite bloquear o tráfego de entrada para sua máquina virtual do Azure. Isso protege você efetivamente contra ataques, reduzindo sua exposição. Quando o sistema não está em uso, ele é bloqueado.
- Privilégios de acesso com limite de tempo : digamos, por exemplo, que você está empregando alguém temporariamente. Insira as datas de início e término do contrato. O sistema cortará o acesso na data de rescisão automaticamente.
- Controle quem está no controle : O sistema requer a criação e ativação de perfis de usuário. A ativação de privilégios especiais só pode ser obtida com a aprovação do administrador do sistema. Você pode, se preferir seguir o modelo maker/checker aqui. O profissional de TI 1 cria os perfis e os envia para aprovação da ativação.
- Use a autenticação multifator para ativações de usuários : a proteção vai além dos seus funcionários. Você também pode habilitar a autenticação de dois fatores para os usuários que se inscreverem no seu site. Se eles criarem um perfil, por exemplo, terão que verificar o endereço de e-mail para ativá-lo.
- Notificação quando uma função privilegiada se torna ativa : Esta é outra forma de autenticação. Se alguém entrar no sistema ou solicitar permissão para isso, uma notificação será enviada.
- Revisão do acesso : Os funcionários mudaram de função? Eles ainda precisam de tanto acesso quanto antes? O Microsoft Identity Access Management simplifica a revisão de funções e a alteração do acesso conforme necessário.
- Histórico de auditoria completo : Isso é útil se você estiver sendo auditado. Isso fornece provas de datas de ativação, datas de alteração de dados e assim por diante. Isso pode se tornar importante se sua empresa estiver enfrentando cobranças em termos de leis de privacidade. Também torna as auditorias internas muito mais fáceis de conduzir.
Quem está autorizado a fazer o quê?
O sistema atribui diferentes privilégios aos encarregados de gerenciá-lo. Veja como isso funciona.
- Administrador de segurança
O primeiro usuário registrado aqui recebe as funções de Administrador Privilegiado e Administrador de Segurança.
- Administradores Privilegiados
Esses são os únicos administradores que podem atribuir funções a outros administradores. Você também pode conceder a outros administradores acesso ao Azure AD. As pessoas nas funções a seguir podem visualizar as atribuições, mas não alterá-las. Essas pessoas incluem Administradores de Segurança, Administradores Globais, Leitores de Segurança e Leitores Globais.
- Administrador de assinatura
As pessoas nessas funções podem gerenciar as atribuições dos outros administradores. Eles podem alterar e encerrar atribuições. Outras funções com permissão para fazer isso são administradores de acesso de usuário e proprietários de recursos.
Deve-se observar que as pessoas nas seguintes funções precisam receber permissão para visualizar as atribuições: Administradores de Segurança, Administradores de Função Privilegiada e Leitores de Segurança.
Terminologia que você precisa saber
A terminologia usada no Microsoft Privileged Identity Management pode ser confusa para os não iniciados. Aqui está um detalhamento da terminologia básica.
- Elegível
Com essa atribuição, os usuários precisam realizar uma ação ou ações específicas para ativar sua função. A diferença entre esse papel e um permanente é que nem todos precisam de acesso o tempo todo. O usuário pode ativar a função quando precisar de acesso.
- Ativo
Essas são as atribuições de função atribuídas por padrão pelo sistema. Eles não precisam ser ativados. Por exemplo, os administradores do sistema podem criar atribuições para outros administradores.
- Ativar
Esta é a ação ou ações que as pessoas devem realizar para provar que estão autorizadas a usar o sistema. A inserção de um nome de usuário e senha é um exemplo disso. Muitos métodos de autenticação diferentes podem ser usados aqui.
- Atribuído
Isso significa que o usuário recebeu certos privilégios dentro do sistema.
- ativado
Este é um usuário que pode usar o sistema, ativar sua função e está usando-o no momento. O sistema solicitará que o usuário insira novamente suas credenciais após um determinado período de inatividade. Um exemplo é com o internet banking, onde você é desconectado após dez minutos de inatividade.
- Elegível Permanente
Esta é uma atribuição que permite ao usuário ativar sua função sempre que desejar. Eles terão que executar ações específicas para acessar as funções. Digamos, por exemplo, que um funcionário capture um pagamento a ser feito. Eles podem precisar inserir um código atribuído aleatoriamente para confirmar a transação.
- Permanente Ativo
Essa atribuição permite que o usuário use uma função sem ativação. Essas são funções que o usuário pode desempenhar sem outras ações.
- Expirar elegível
Este é um papel baseado no tempo. Aqui você terá que atribuir datas de início e término. Isso pode ser feito para freelancers. Também pode ser usado para forçar os funcionários a atualizar suas senhas regularmente.
O gerenciamento de acesso, especialmente em uma organização de médio a grande porte, pode ser uma tarefa desafiadora. Com o poder do pacote Azure da Microsoft, porém, torna-se muito mais fácil de realizar. Os serviços do IAM adicionam uma camada extra de segurança para proteção contra violações decorrentes de acessos internos e comprometimentos.
***
Chris Usatenko é um geek de computador, escritor e criador de conteúdo. Ele está interessado em todos os aspectos da indústria de TI. Um freelancer por natureza, ele está disposto a ganhar experiência e conhecimento de todo o mundo e implementá-los em sua vida.