gerenciamento de identidades e acesso gia
TRANSCRIPT
Gerenciamento de Identidades e Acessos (GIA)
Alfredo Santos
Alfredo Santos
• Formado em:– Ciências da Computação– Gestão de Empresas– Gestão de TI
• Autor de livros de Segurança e Arquitetura de Sistemas
• Certificado em Cobit e ISO 27002• Email: [email protected]• Linkedin: http://www.linkedin.com/profile/view?
id=871673
Agenda
• O que é Gerenciamento de Identidades?
• O que é Gerenciamento de Acesso?• Componentes de um GIA• Boas práticas de GIA
O que é Gerenciamento de Identidades?
• Gerenciamento de identidades é o conjunto de processos e tecnologias voltadas para o tratamento e manipulação de identidades de usuários desde o nascimento dos dados em sistemas de RH e cadastros de terceiros até as aplicações gerenciadas (sistemas operacionais, correios eletrônicos, acesso físico etc.).
O que é Gerenciamento de Acessos?
• Gerenciamento de acessos é o conjunto de processos e tecnologias voltadas para o tratamento das tentativas de acessos aos sistemas e inclui além da autenticação a autorização e o registro dos acessos.
Componentes de um GIA
• Fontes autoritativas• Metadiretório• Recursos conectados• Workflow• Rastreabilidade
Fontes autoritativas
Fontes autoritativas são os repositórios de origem de dados cadastrais de usuários.Fontes autoritativas podem ser divididas em categorias, exemplos:
• Cadastros básicos.• E-mail.• Autorização de acesso.
Fontes autoritativasFontes autoritativas de cadastros básicosResponsáveis por prover os dados básicos de um usuário, como nome, departamento, localidade. Devem conter dados confiáveis, sendo o primeiro local a saber que um usuário mudou de departamento, de unidade na empresa, saiu de férias ou foi demitido.Exemplos:
• Sistemas de RH.• Cadastros de terceiros.• Cargas periódicas de dados.
Fontes autoritativas
Fontes autoritativas de e-mailResponsáveis por prover o e-mail atualizado do usuário. Tradicionalmente, esta informação é gerenciada pelo administrador de correio eletrônico e a mesma é propagada aos demais recursos conectados, conforme figura 1.4, mas um ponto de atenção em gerenciamento de identidade na origem do e-mail é que o e-mail pode ser originado também pela ferramenta de gerenciamento de identidade, baseando-se em regras de criação, como, por exemplo, primeiro nome + sobrenome ou primeira letra do primeiro nome + sobrenome, mas um processo deste tipo pode ser complicado de gerenciar devido a conflitos de nomes gerados. ([email protected] pode ser Alfredo Santos ou André Santos).
Fontes autoritativasFontes autoritativas de e-mailExemplos de fontes autoritativas:•Sistemas de correio eletrônico.•Gerador de nome de e-mail corporativo.Nota: Gerador de nome de e-mail corporativo é uma ferramenta de cadastro e sugestão de e-mails utilizada em grandes corporações.Esta função pode ser exercida pelo gerenciamento de identidade, mas não é uma tarefa recomendada.
Fontes autoritativas
Fontes autoritativas de autorização de acessoResponsáveis por prover o que cada usuário pode fazer em cada sistema conectado. Pode ser um sistema desenvolvido na própria empresa ou um produto de mercado. Esta fonte autoritativa determina a concessão e remoção de acessos de usuários, informando o serviço de gerenciamento de identidade.Exemplos:•Cadastro em um banco de dados de aplicações/acessos.•Cadastro em um repositório ldap de aplicações/acessos.
MetadiretórioMetadiretório é o repositório central de identidades e acessos, responsável por ser o intermediário entre as fontes autoritativas e os recursos conectados.O armazenamento de dados pode ser em banco de dados relacional ou em diretórios hierárquicos como, por exemplo, LDAP compatíveis, mas alguns dados não ficam armazenados no metadiretório, apenas trafegam pelo gerenciamento de identidade, porque só interessam para um ou outro recurso.
Recursos conectadosRecursos conectados são todos os ambientes destino que possuem um repositório de usuários que possa ser gerenciado recebendo leituras, inserções, exclusões, alterações etc.Exemplos de recursos:•Correio eletrônico.•Bancos de dados JDBC.•Mainframe.•Unix.
Workflow• Workflow em GIA é responsável por gerenciar os
fluxos de solicitação de acesso, cancelamentos e alterações.
• Este fluxo interage com a solução de GIA para disparar atividades contra os Recursos conectados, como por exemplo a exclusão de um usuário.
Rastreabilidade• Rastreabilidade é todo registro de atividades
tanto de manutenção quanto de solicitações de acesso.
• Este item é muito importante para atender fins de auditoria, quando é necessário identificar tudo que ocorreu a um usuário.
Boas práticas de GIA• Realizar um projeto prévio de organização de
cadastro de usuários eliminando usuários duplicados.
• Definir processos de GIA de acordo com as regras de compliance necessárias para sua empresa
Boas práticas de GIA• Definir pessoas responsáveis por recursos• Definir perfis de acesso aos recursos• Definir pessoas responsáveis por estes perfis• Incluir o Gestor Hierarquico nas aprovações
de solicitações
Boas práticas de GIA• Incluir áreas de controle como aprovadoras no
processo quando isso se aplicar• Automatizar a integração das aprovações com
os recursos, diminuindo interações manuais• Gravar todos acessos de um usuário em um
repositório central
Boas práticas de GIA• Eliminar todos acessos de um usuário no
desligamento, consultando este repositório central• Incluir uma análise de segregação de funções no
processo de concessão de acesso• Gravar todas atividades relacionadas a concessão
de acesso
Boas práticas de GIA• Utilizar autenticação forte (Ex token, sms,
biometria) quando possível.• Tratar de forma diferenciada acessos
privilegiados ao ambiente.• Conceder de forma temporária acessos
críticos ao ambiente
Boas práticas de GIA• Controlar no Workflow de solicitação de
acesso o que o usuário pode pedir, minimizando solicitações incorretas
• Realizar reconciliação de cadastros entre o Metadiretório e os recursos para identificar inconsistências.
Boas práticas de GIA• Realizar recertificações de acesso períodicas
junto aos usuários responsáveis por recursos e perfis para que eles identifiquem eventuais acessos indevidos.