Olá! Já enfrentamos dificuldades para lidar com acessos em sistemas? Já passamos pela experiência de preencher um cadastro extenso? Tivemos que usar a criatividade para criar uma senha complexa e, em seguida, esquecê-la? E já imaginamos como isso funciona dentro de grandes empresas, com dezenas ou milhares de funcionários, diversos sistemas e pessoas em diferentes localidades?
Meu nome é Danilo Régis, sou arquiteto de soluções.
Audiodescrição: Danilo é uma pessoa negra, quase sem cabelos, com barba preta. Usa óculos e veste uma camisa azul escura. Está no ambiente da Alura, com uma estante contendo itens decorativos ao fundo.
Convidamos vocês a participar do nosso curso de Gerenciamento de Acessos e Identidades em Cloud, nosso curso de IAM. Sou especialista em Segurança da Informação e Perícia Forense Computacional, também especialista em Direito Digital e Compliance, e possuo um MBA em Gestão de Empresas pela Fundação Getúlio Vargas. Atuo como arquiteto de soluções há mais de 15 anos no mercado, em empresas de diversos portes, sempre no segmento de arquitetura de sistemas seguros.
Nossa agenda começará com conceitos e o entendimento do que seria um gerenciamento de usuários e grupos. Vamos compreender que, no contexto de IAM, usuários vão muito além da pessoa física que acessa um sistema. Isso inclui identidades de dispositivos e, às vezes, identidades de sistemas próprios. As tratativas de grupos são cruciais e fundamentais para lidarmos com uma grande quantidade de usuários em ambientes complexos.
Nós vamos entender o que são Roles (Papéis) e Policies (Políticas), dois termos muito comuns na área de segurança e desenvolvimento de sistemas. Teremos exemplos práticos de como podemos combinar usuários, grupos, papéis e políticas para reforçar a segurança das aplicações e corporações. Mesmo com boas ferramentas, é possível cometer erros, por isso é importante passarmos por etapas de entendimento de boas práticas, que estão sendo utilizadas no mercado atualmente, para melhor gerenciar um grande número de usuários, com os devidos monitoramentos e auditorias, ou a possibilidade de auditoria.
O que iremos aprender? Muito sobre usuários e grupos, papéis ou Roles, políticas ou Policies, e Recursos ou Resources, que são os itens que desejamos proteger, como sistemas, portas, catracas e câmeras. Tudo isso chamamos de Recursos.
A quem se destina este curso? Inicialmente, a especialistas em segurança da informação, pessoas que desejam aprimorar suas habilidades no contexto de segurança, e pessoas desenvolvedoras de sistemas. Por quê? Porque é através de controles que nascem dentro do IAM que o sistema se protege. Também se destina a gestores de usuários, pois hoje existem equipes nas empresas especificamente voltadas ao IAM, especialmente para a gestão de usuários e integração de sistemas diversos com a plataforma de IAM. Vamos abordar também como essas integrações ocorrem.
Além disso, criadores de produtos digitais devem entender o que é possível fazer através do IAM. Por quê? Porque é importante compreender que conseguimos, de forma centralizada, unificada e uniforme, lidar com uma quantidade enorme de pessoas sem incorrer em custos elevados para essa atividade.
Esperamos que gostem e voltaremos em breve com a próxima aula.
Dando início à nossa série de aulas, vamos começar conceituando, pois é através do conceito que entenderemos o motivo e a razão de ser das coisas que vamos apresentar. IAM é a sigla para Identity and Access Management (gestão de identidades e acessos), algo que transcende a tecnologia e as plataformas, pois não é apenas com softwares que resolveremos essa questão de governança. Precisaremos de boas práticas, entendimento, organização, organograma, agrupamento e definição de papéis. Isso envolverá bastante compreensão do negócio e da diferença entre o que a pessoa é, o grupo ao qual pertence e o que faz.
Englobaremos pessoas e sistemas, sempre atentos ao conceito de proteção aos recursos. Por exemplo, uma pessoa pode acessar um sistema, e dentro desse sistema, pode visualizar determinada tela. Uma vez que visualizou, poderia alterar e inserir novos registros? Todos esses são controles granulares que conseguimos através de plataformas de identidade, plataformas de IAM.
Imagine, por exemplo, como um banco, como o Bradesco, lida com 90 mil funcionários e 70 milhões de clientes, com pessoas chegando e sendo desligadas diariamente. Controlar manualmente a ativação, desativação e criação de usuários seria extremamente complexo. Existem dentro das empresas uma dúzia ou mais de sistemas diferentes, alguns de 40 anos atrás, outros em plataformas como serviço, e outros em mainframe. Cadastrar um usuário em cada um deles, com padrões de senha variados, como alfanumérico ou código, login por e-mail ou código funcional, seria bastante complexo.
A Vale, por exemplo, possui 125 mil colaboradores e terceirizados, a Petrobras, 45 mil, e a IBM, 270 mil funcionários espalhados em mais de 170 países. Em alguns países, até mesmo o alfabeto é diferente. Funcionários no Japão utilizarão qual padrão de letra para criar suas senhas? E pessoas que utilizam o alfabeto árabe, como lidaremos com isso? Será que todos utilizam os mesmos conceitos e símbolos?
Para termos uma forma unificada, as plataformas da IBM em Cloud já estão preparadas para lidar com essas diferenciações. Elas sabem como se adaptar a cada uma das especificidades, pois o entendimento foi levado a um nível mais abstrato, no qual entenderemos o que a pessoa é e a autorização que possui. São dois níveis bem interessantes que percorreremos, entendendo e absorvendo onde cada uma dessas peças se encaixa. O IAM começa justamente centralizando...
Lembramos daquela dúzia de sistemas separados: sistemas em Cloud, mainframe, sistemas desktop. A ideia do IAM (Gerenciamento de Identidade e Acesso) é integrar cada um desses sistemas e centralizar, para que a pessoa tenha uma mesma identidade em todas as plataformas, através de alguns protocolos que vamos entender, e de determinadas barreiras que estarão interligadas, tendo como centro o IAM. Isso nos garantirá uma certa governança. Por exemplo, saberemos que um determinado funcionário, marcado no sistema de recursos humanos como estando de férias, não pode acessar o sistema financeiro. Veja, são dois sistemas distintos: um é o de controle de recursos humanos, outro é o de gestão financeira. Mas, através de uma plataforma de IAM, conseguimos tratá-los como se fossem parte de um único ecossistema. Mesmo que um deles seja desenvolvido pela empresa X e o outro pela empresa Y, um tenha 40 anos e esteja no mainframe, e o outro esteja publicado na web. Isso garante uma governança robusta e a possibilidade de uma auditoria muito forte, além de um nível de segurança elevado.
Por quê? Através de mecanismos nativos da IAM Cloud, conseguimos, por exemplo, exigir múltiplos fatores de autenticação. Utilizaremos a senha, mas também a biometria. Vamos discutir as diferenças de cada um desses níveis de acesso e como eles podem ser mesclados e variados para alcançar uma segurança adequada às necessidades. Por exemplo, podemos exigir um nível de acesso mais baixo para visualização de dados, mas um nível mais elevado se a pessoa quiser fazer uma alteração ou alterar uma senha, solicitando mais provas de identidade.
Os benefícios são claros: menor risco, pois trabalhamos para garantir que a identidade é autêntica. Existem mecanismos que utilizamos para isso. Conformidade regulatória é outro benefício. Existem normas governamentais, como as da Anvisa, e normas internacionais, como a ISO 27000, que o IAM busca atender. Por exemplo, a complexidade da senha. Se estivermos fechando uma parceria com uma empresa estrangeira que exige uma complexidade de senha específica e uma rotatividade de senha, conseguimos centralizar isso dentro de uma plataforma de IAM. Também alcançamos eficiência operacional de diversos modos, desde a facilidade para cadastros e remoções, até o acesso facilitado para redefinição de senha. Hoje, existem mecanismos que permitem redefinir uma senha de forma eficiente.
Com o decorrer das aulas, vamos entender cada uma dessas etapas e nos aprofundar em cada um dos conceitos. Encerramos por aqui e nos vemos na próxima.
Vamos agora entender dois conceitos muito importantes e, às vezes, esquecidos ou mal compreendidos: autenticação e autorização. Autenticação refere-se a quem nós somos. Por exemplo, somos uma pessoa física? Uma pessoa jurídica? Estamos representando outra pessoa? Tudo isso é possível. Podemos também ser um sistema. Como assim? Imagine que uma catraca, uma câmera ou um drone possam ter uma identidade própria dentro de um sistema de IAM. Podemos ser um dispositivo. Entenda que são três camadas que podem trabalhar juntas. Um dispositivo pode ter sua identidade, como um endereço MAC ou um endereço IP, e esse dispositivo terá um sistema, como um sistema operacional Android, Linux, Windows ou até mesmo o próprio software que está sendo executado, como um serviço. No próprio sistema operacional, Windows ou Linux, um serviço pode ter uma identidade própria.
Observe que temos um dispositivo que pode ter sua identidade. Temos um sistema operacional e, sobre ele, uma aplicação que pode ter uma identidade única. Temos uma pessoa e, às vezes, esses três elementos podem ser unificados para uma determinada política ou regra. Isso acontece, por exemplo, quando estamos com nosso aplicativo do banco instalado no celular. No banco, temos o registro do nosso dispositivo com determinado sistema, uma versão específica do software rodando, e estamos ali com nossa conta. Se qualquer um desses elementos variar, isso pode ser um indicador de fraude. Digamos que alguém pegou nosso dispositivo ou estamos com aquela conta que logamos em um determinado aparelho celular e, de repente, a mesma sessão parece ter sido transferida para outro aparelho, ou seja, parece que alguém roubou nossa sessão, nosso login, e foi utilizá-lo em outro. Portanto, são três elementos que juntos podem ser combinados e recombinados para avaliação de risco.
E como comprovamos que somos nós mesmos? Existem três formas possíveis de comprovarmos nossa identidade. A primeira delas, e mais clássica, é sobre aquilo que sabemos. Podemos ser identificados por algo que sabemos, sendo a senha o mais comum. Desde o início, há 50 anos, já existia esse conceito de senha. Consideramos hoje que o elo mais fraco é aquilo que sabemos. Por quê? Muitas vezes, aquilo que sabemos, anotamos em papel, em um caderno, deixamos na mesa ou dentro da gaveta e saímos de férias. Uma pessoa mal-intencionada pode encontrar nossa senha e facilmente ter acesso ao que deveria estar bem guardado. Portanto, aquilo que sabemos é o elo mais fraco.
Algo um pouco mais forte é aquilo que somos, o conceito de biometria. Existem diversos tipos de biometria. A mais comum, que costumamos ver e usar em aparelhos celulares, é a digital. A digital é um tipo de biometria, mas existem outras possibilidades, como o reconhecimento facial. Hoje, o reconhecimento facial é muito comum e já é implementado em câmeras pelas cidades. Na China, é comum realizar pagamentos utilizando a palma da mão. Alguns bancos autenticam nossa identidade através da palma da mão. Esses são alguns meios, mas existem outros, como a íris, a forma como falamos, andamos ou digitamos. Todas essas são marcações biométricas, marcações únicas que podem ser utilizadas para reforçar nossa identidade. Isso pode sempre ser combinado, por exemplo, usando a senha para operações simples e a biometria para ações mais complexas, como acessar o extrato com a senha, mas para realizar um PIX seria necessário a biometria.
Uma outra possibilidade é através de algo que temos.
Existem mecanismos, como chaves físicas, que podem ser um USB ou até mesmo nosso próprio aparelho celular, que carregam dentro de si uma chave que nunca sai do dispositivo físico. Essa é considerada uma forma mais segura, pois remotamente alguém pode obter nossa senha de alguma forma. A biometria, por exemplo, já possui algumas formas de ser fraudada ou obtida por terceiros. Alguns fraudadores conseguem a biometria facial ao fingirem ser entregadores ou ao ligarem e gravarem nossa voz. No entanto, a chave física é mais difícil de ser hackeada, pois normalmente fica em um local seguro e, para acessá-la, é necessário passar por um ambiente físico protegido.
Nós somos identificados por algo que sabemos, algo que somos ou algo que temos. Isso se refere à autenticação. Já a autorização diz respeito às ações que podemos realizar, como extrair um relatório, registrar um lançamento, registrar uma compra, excluir um registro ou acessar um banco de dados. Esses elementos de autorização costumam ser negligenciados por pessoas desenvolvedoras que não tomam os devidos cuidados. Muitas vezes, o sistema começa pequeno e a pessoa pensa que apenas autenticar é suficiente, sem se preocupar em implementar uma camada de autorização. Com o crescimento do sistema, o controle pode se perder, levando a usos indevidos.
O primeiro risco é o acesso indevido, onde um usuário que não deveria ter acesso a determinada informação começa a acessá-la. Por exemplo, em um hospital, se todos os usuários tiverem o mesmo nível de acesso, uma pessoa responsável apenas por agendar exames poderia acessar laudos, o que representa um risco enorme. Outro risco são os registros fraudulentos, onde um estagiário pode ter permissão para cadastrar ordens de compra ou pedidos de reembolso sem supervisão, possibilitando registros fraudulentos e até crimes. A remoção de rastros é outro problema, onde um profissional de TI com acesso ao banco de dados pode excluir registros e logs, manipulando a fonte da verdade. Por fim, crimes financeiros podem ocorrer quando pessoas com acessos indevidos exploram vulnerabilidades para obter recursos financeiros.
Resumindo nossa parte de autenticação e autorização, a primeira boa prática é conhecer nossos usuários, entender quem são e quem está dentro do nosso ambiente para acessar nossos sistemas. Devemos confirmar a identidade por algo que sabemos, somos ou temos, e fornecer privilégios mínimos. Por exemplo, uma pessoa responsável apenas por agendar exames em um hospital não deveria ter acesso a laudos ou registros médicos, o que também tem implicações perante a LGPD (Lei Geral de Proteção de Dados), onde esses controles devem ser sempre restritos.
É importante verificar sempre as autorizações, monitorar e revisar, pois uma pessoa pode ser desligada ou movida de cargo ou departamento. Não importa quão boa seja nossa ferramenta tecnológica, sem o devido processo e cuidado, não conseguiremos ter a governança e o controle adequados sobre nossos usuários.
Com isso, chegamos ao final da nossa segunda aula. Esperamos que estejam gostando e nos vemos na próxima.
O curso IAM: gestão de identidades e acessos em ambientes cloud possui 217 minutos de vídeos, em um total de 48 atividades. Gostou? Conheça nossos outros cursos de Segurança em DevOps, ou leia nossos artigos de DevOps.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
Impulsione a sua carreira com os melhores cursos e faça parte da maior comunidade tech.
2 anos de Alura
Matricule-se no plano PLUS 24 e garanta:
Jornada de estudos progressiva que te guia desde os fundamentos até a atuação prática. Você acompanha sua evolução, entende os próximos passos e se aprofunda nos conteúdos com quem é referência no mercado.
Mobile, Programação, Front-end, DevOps, UX & Design, Marketing Digital, Data Science, Inovação & Gestão, Inteligência Artificial
Formações com mais de 1500 cursos atualizados e novos lançamentos semanais, em Programação, Inteligência Artificial, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
A cada curso ou formação concluído, um novo certificado para turbinar seu currículo e LinkedIn.
No Discord, você participa de eventos exclusivos, pode tirar dúvidas em estudos colaborativos e ainda conta com mentorias em grupo com especialistas de diversas áreas.
Faça parte da maior comunidade Dev do país e crie conexões com mais de 120 mil pessoas no Discord.
Acesso ilimitado ao catálogo de Imersões da Alura para praticar conhecimentos em diferentes áreas.
Explore um universo de possibilidades na palma da sua mão. Baixe as aulas para assistir offline, onde e quando quiser.
Acelere o seu aprendizado com a IA da Alura e prepare-se para o mercado internacional.
2 anos de Alura
Todos os benefícios do PLUS 24 e mais vantagens exclusivas:
Luri é nossa inteligência artificial que tira dúvidas, dá exemplos práticos, corrige exercícios e ajuda a mergulhar ainda mais durante as aulas. Você pode conversar com a Luri até 100 mensagens por semana.
Aprenda um novo idioma e expanda seus horizontes profissionais. Cursos de Inglês, Espanhol e Inglês para Devs, 100% focado em tecnologia.
Para estudantes ultra comprometidos atingirem seu objetivo mais rápido.
2 anos de Alura
Todos os benefícios do PRO 24 e mais vantagens exclusivas:
Mensagens ilimitadas para estudar com a Luri, a IA da Alura, disponível 24hs para tirar suas dúvidas, dar exemplos práticos, corrigir exercícios e impulsionar seus estudos.
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.
Conecte-se ao mercado com mentoria individual personalizada, vagas exclusivas e networking estratégico que impulsionam sua carreira tech para o próximo nível.
